Un honeypot o “panal de miel” es un sistema o dispositivo de seguridad que se utiliza para atraer a los atacantes y detectar sus actividades maliciosas.
El sistema o dispositivo se configura para parecer un objetivo atractivo para los atacantes, como un servidor o una red vulnerable, pero en realidad está diseñado para detectar y registrar los intentos de ataque.
Los honeypots son útiles para detectar nuevas amenazas y técnicas de ataque, ya que los atacantes a menudo buscan objetivos desprotegidos y no detectados. Además, también pueden ayudar a los profesionales de seguridad a evaluar la eficacia de sus medidas de seguridad existentes, ya que los ataques detectados en un honeypot pueden indicar una vulnerabilidad en la seguridad de la red.
Sin embargo, hay que tener en cuenta que los honeypots no son una solución de seguridad completa y deben ser utilizados como una herramienta adicional en una estrategia de seguridad integral.
Existen diferentes tipos de honeypots que se pueden utilizar para detectar amenazas. Vamos a nombrar algunos de los más utilizados o conocidos.
Se trata de un detector de spammers, es decir, emisores de correo de spam. El objetivo de este honeypot es detectar correos electrónicos de spam, para que estos vayan directamente a la bandeja de correo no deseado.
Para conseguirlo, lo que hace este honeypot es que los especialistas en ciberseguridad colocan como trama una dirección de correo electrónico falsa en un lugar oculto donde solo un recolector de direcciones automatizado podrá encontrarla. De esta manera, cualquier correo que llegue a ella, se identificará automáticamente como correo no deseado. Una manera de bloquear los correos maliciosos.
Al activar un honeypot de base de datos se pueden observar y aprender técnicas de ataque como por ejemplo la explotación de servicios SQL, el abuso de privilegios, entre muchas otras amenazas dirigidas al robo de datos.
Este tipo de honeypot tiene como objetivo detectar amenazas a través de los rastreadores web (crawlers).
Para ello, se crean páginas web falsas y enlaces con acceso solo para los rastreadores web. Una manera de bloquear robots o bots maliciosos y rastreadores de redes.
El honeypot de malware se crea con el objetivo de simular aplicaciones, API y sistemas vulnerables para inducir ataques de malware. Una manera de poder estudiar patrones que ayuden a crear detectores de malware.
Gracias al monitoreo de los honeypots se puede obtener la siguiente información:
Saber de dónde vienen las amenazas.
El nivel de la amenaza.
Método con el que están operando los ciberdelincuentes.
La eficacia de las medidas de seguridad implementadas en el sistema frente a un ciberataque.
Los honeypots son una buena manera de exponer las vulnerabilidades de una infraestructura IT.
Los honeypot no pueden recibir tráfico legítimo. Es por eso, que si se registra actividad, es posible que sea un intento de amenaza.
Son fáciles de configurar. Además, no tienen muchas exigencias en cuanto al hardware y se pueden configurar en ordenadores que no estés utilizando.
Facilita la detección de patrones para la identificación de amenazas.
Permiten detectar nuevas amenazas.
Ayudan a captar amenazas internas.
La utilización de honeypots te ayuda a fortalecer tu estrategia de ciberseguridad, aportándote información relevante sobre la seguridad de tu sistema, así como, al tipo de amenazas a las que puede ser vulnerable.
No obstante, no toda la estrategia de ciberseguridad de una empresa debe estar basada en la información que le aporta un honeypot, puesto que estos solo pueden detectar actividad peligrosa dirigida directamente a ellos. Las amenazas que el honeypot no haya detectado, no significa que no existan. Por eso, la utilización de honeypots debe ser un método de seguridad adicional a otras soluciones de seguridad informática.