¿Qué es un Honeypot?
Ya sea mediante software o a través de la acción humana, el honeypot hace que una empresa simule tener algunas ‘puertas de entrada’ a sus sistemas que no han sido suficientemente protegidas.
Cómo funciona
De manera preventiva, una empresa decide habilitar una serie de servidores o sistemas cuyo aspecto parezca vulnerable. En apariencia, la empresa ha descuidado ciertos aspectos de su seguridad. Una vez dejada la trampa, la intención es atraer al atacante, que acudirá a la llamada para intentar entrar.
Sin embargo, lo que el cibercriminal no sabe es que, lejos de estar encontrando una puerta vulnerable, en realidad está siendo perfectamente controlado y monitorizado por la empresa en cuestión.
De este modo, las empresas obtienen un beneficio triple: en primer lugar, contener posibles ataques verdaderamente peligrosos; en segundo, entretienen y desgastan a los atacantes haciéndoles perder el tiempo; y en tercero analizan sus movimientos para detectar posibles nuevas formas de ataque que se estén llevando a cabo en su sector.
Medida de control
El Honeypot es similar al llamado contraespionaje de ciberseguridad, que también opta por colocar señuelos de ciberseguridad que, aparentando ser vulnerables, consigan atraer a los atacantes para manipularlos y frenar sus amenazas, y todo ello a la vez que espían, analizan y monitorizan todos sus movimientos.
Es una estrategia que puede resultar muy útil, sobre todo, en el caso de las grandes empresas, ya que suelen almacenar mucha más información confidencial y, por su propio volumen de actividad, resultan más atractivas para los posibles atacantes.
Honeypots de malware
Los honeypots de malware se utilizan para detectar malware explotando la replicación conocida y los vectores de ataque del malware. Los vectores de replicación, como las unidades flash USB, pueden verificarse fácilmente para comprobar la existencia de modificaciones, ya sea a través de medios manuales o utilizando honeypots especiales que emulan las unidades.
El malware se utiliza cada vez más para buscar y robar criptomonedas, lo que ofrece oportunidades para que servicios como Bitcoin Vigil creen y supervisen honeypots utilizando una pequeña cantidad de dinero para crear un sistema de incentivos, que fomente las alertas tempranas en caso de infección por malware.
Honey nets
De hecho, existen formas de refinar aún más el proceso: si el Honeypot no se desarrolla sobre redes que no están en uso, sino sobre aplicaciones y sistemas totalmente reales, podemos hablar de otro concepto, el de honeynet, que conseguirá engañar aún más al cibercriminal y hacerle creer, sin ninguna posibilidad de dudas, que está consiguiendo atacar la seguridad informática de la empresa.
Una Honeynet es una red de honeypots de alta interacción que simula una red de producción y que está configurada de tal manera que toda la actividad es monitorizada, registrada y discretamente regulada. Normalmente, una Honeynet se utiliza para monitorizar una red más grande y/o diversa en la que una sola honeypot podría no ser suficiente.
La combinación de Honeynets y Honeypots se suele implementar como parte de sistemas más grandes de detección de intrusos en la red. Las Honeynets ofrecen una colección centralizada de honeypots y herramientas de análisis.
