'Honeypot', la trampa del tarro de miel para engañar a los ciberdelincuentes

Las bases de datos, los servidores o incluso el correo electrónico son algunos de los elementos de información que las empresas más se esfuerzan en proteger. Pero, lejos de constituir siempre una vulnerabilidad, pueden ser utilizados también como 'honeypots' o señuelos para ver de dónde vienen los ciberatacantes, su modus operandi y qué datos o aplicaciones les interesan para desarrollar en consecuencia medidas de seguridad eficientes.

Esta estrategia es la que ha utilizado GoSecure durante más de tres años. Los ciberdelincuentes se topaban con una máquina virtual alojada en Estados Unidos que les resultaba de fácil acceso. Sin que lo supieran, cada vez que uno de los más de 2.000 atacantes entraba por la fuerza, los investigadores de la empresa de ciberseguridad podrían observar sus movimientos recopilando una información realmente valiosa sobre los ataques. Gracias a ello, descubrieron las herramientas que utilizaban, cómo las utilizaban y de qué forma operaban cuando entraban en su sistema.

Igual que el panal atrae a las abejas con su miel, en ciberseguridad es posible tender trampas. En términos de seguridad informática, una "trampa de tarro de miel" o 'honeypot' es un sistema señuelo que se sacrifica para atraer y recibir ataques: es decir, hace las veces de cebo para obtener información.

El Instituto Ponemon explica que las empresas que utilizan estrategias de inteligencia para anticiparse a las amenazas tienen 2,5 veces más probabilidades de tener una postura de ciberseguridad eficaz. Así, pueden desarrollar una comprensión más completa del panorama de riesgos cibernéticos de su organización y tomar decisiones informadas sobre la asignación de recursos y la inversión en medidas de seguridad.

'Honeypot' para atraer a los ciberatacantes

Un 'honeypot' es una herramienta de seguridad informática diseñada para simular sistemas de información y atraer a posibles atacantes. Su objetivo principal es recopilar información sobre las tácticas, técnicas y procedimientos utilizados por los ciberdelincuentes. La idea es que los 'honeypots' imiten activos de una red real, como servidores, aplicaciones o dispositivos, que están configurados para atraer a los atacantes y registrar sus actividades.

El Instituto Nacional de Ciberseguridad (INCIBE) explica que, para engañar a los ciberdelincuentes, los 'honeypots' crean servicios falsos, que suelen ser propensos a atacar, como una página web, un servidor web o una base de datos. Una vez que caen en la trampa y atentan contra ellos, los datos del ataque se recogen y son analizados para conocer sus características y preparar los sistemas reales ante posibles amenazas similares. Para ello, poseen paneles de control a través de los cuales se muestran los datos obtenidos.

Entonces, ¿cómo se usa un 'honeypot' para detectar intrusiones? Generalmente, se instala en un equipo que no se utiliza en el trabajo diario y será el que reciba el ataque. A partir de ahí, se recopila información sobre la irrupción en el sistema y se analiza para poder evitarlo en los equipos que sí están en producción, según detalla el INCIBE. En caso de ataque, los sistemas de seguridad ya tendrán información sobre el tipo, procedencia, servicio atacado o sistema operativo.

La principal ventaja que ofrece esta herramienta es que permite actuar rápidamente, corregir errores y vulnerabilidades y aumentar la capacidad de previsión, tres factores imprescindibles para cualquier organización. Además, puede aplicarse de manera flexible y personalizada, ya que se puede desplegar tanto de forma local como en la nube, según las necesidades y las características de la infraestructura técnica.

Por otro lado, los 'honeypots' tienen una baja tasa de falsos positivos en contraste con los sistemas tradicionales de detección de intrusos, que producen un nivel elevado de falsas alertas, de acuerdo con Kaspersky. Es decir, identifican en mayor medida a los ciberatacantes.

Así funcionan los distintos tipos de 'honeypots'

Existen diferentes tipos de 'honeypots', clasificados según su propósito y el nivel de interacción que permiten con los atacantes. El uso de cada uno de ellos dependerá de la estrategia de ciberseguridad elegida por la compañía.  WeLiveSecurity los divide en tres tipos principales:

• De interacción baja. Simulan servicios básicos, como la conectividad IP, y sistemas vulnerables. Son menos arriesgados, al limitar la interacción posible con los ciberatacantes, pero por el mismo motivo obtienen menos información detallada. En general, se podrá saber si alguien está escaneando la red, pero no obtener información concreta sobre las técnicas o intenciones detrás de esta acción. Además, un ciberdelincuente experimentado podría darse cuenta de que es un señuelo.
• De interacción media. Tiene algunos servicios básicos, por ejemplo, un servidor web o protocolo de transferencia de archivos (FTP, por sus siglas en inglés) que se pueden programar para responder de alguna manera el ataque. Eso sí, al no ser reales los servicios, el atacante no tendría acceso al sistema, aunque se genera información valiosa.
• De interacción alta. Permiten una mayor participación de los atacantes, incluso llegando al punto de permitir que los atacantes comprometan un sistema simulado con servicios reales instalados, como cualquier otro servidor real. Esto proporciona información más detallada sobre las tácticas y herramientas utilizadas, pero también es más arriesgado. Por ello, es importante asegurar que el anzuelo esté perfectamente aislado del resto de la red y así impedir que el ataque tenga éxito. Este tipo de 'honeypot' se puede implementar, por ejemplo, en un servicio HTTP.

A esta clasificación se le podría añadir un cuarto tipo: los 'honeynets' o redes de miel. Es decir, una red de 'honeypots' que trabaja en conjunto para simular una red completa. Los 'honeynets' son especialmente útiles para observar las interacciones entre diferentes fases de un ataque cibernético.

'Honeypot' nómada, ¿el futuro que viene?

El proveedor francés de ciberseguridad Tehtris XDR ha lanzado una nueva generación de 'honeypots' nómadas distribuidos de forma estratégica simulando una red. En concreto, son 1.300 repartidos en 50 países, lo que constituye una nueva generación de señuelos para identificar mejor las amenazas cambiantes y mejorar las defensas frente a ellas.

Esta propuesta es una de las primeras dentro de un concepto emergente acuñado por Gartner Research: Automated Moving Target Defense (AMTD). Se espera que la defensa automatizada de objetivos en movimiento mejore las técnicas de defensa cibernética. La empresa de investigación y consultora tecnológica calcula que el 25% de las aplicaciones en la nube aprovecharán este tipo de funcionalidades AMTD para 2025.

El nuevo enfoque representa una transición de mecanismos de defensa pasivos a métodos más proactivos, con señuelos más dinámicos y con mayor capacidad de automatización. La idea es que los sistemas de ciberseguridad, como un 'honeypot', pueda actuar más rápidamente ante un ataque, aumentando el nivel de protección y reduciendo el riesgo y, por tanto, el coste, el tiempo y el esfuerzo.

Eso sí, en el caso de estos anzuelos, es importante recordar que ayudan a delimitar el entorno de amenaza, pero Kaspersky advierte que no detectan todo lo que sucede, sino la actividad dirigida a ellos. Los 'honeypots' están diseñados para ser atractivos para los atacantes, pero no son sistemas de detección de amenazas omniscientes. No pueden detectar automáticamente todo el tráfico malicioso que ocurre en una red, especialmente si no está dirigido hacia ellos. Una funcionalidad AMTD facilitará la obtención de información para aplicar nuevas estrategias de ciberseguridad, pero colocar el cebo debe formar parte de un plan estratégico de seguridad informática empresarial.