Inteligencia
🍯 Honeypots y Honeynets: Guía Completa 2025
📅 5 enero 2025 · 10 min lectura·👤 Equipo CiberSeguroMX
¿Qué es un Honeypot?
Un honeypot (literalmente "tarro de miel") es un sistema de seguridad diseñado para atraer a atacantes, imitando ser un objetivo legítimo y valioso. Su propósito es detectar, desviar y estudiar los intentos de acceso no autorizado a sistemas de información.
Concepto clave: Un honeypot nunca debería recibir tráfico legítimo. Cualquier tráfico hacia él es potencialmente malicioso y debe ser investigado.
¿Qué es una Honeynet?
Una honeynet es una red completa de honeypots interconectados que simula una infraestructura real. Permite observar ataques más complejos que requieren múltiples sistemas comprometidos, como movimiento lateral dentro de una red.
Tipos de Honeypots
Por nivel de interacción
- Baja interacción: Simulan servicios básicos (SSH, HTTP, FTP). Seguros y fáciles de mantener. Capturan información limitada. Ejemplo: Dionaea, Cowrie en modo básico.
- Media interacción: Simulan sistemas más complejos con respuestas más realistas. Balance entre seguridad y riqueza de datos.
- Alta interacción: Sistemas reales que permiten al atacante interactuar completamente. Muy peligrosos si no están bien aislados. Generan la inteligencia más valiosa.
Por propósito
- Honeypots de producción: Desplegados en entornos reales para detección temprana de ataques
- Honeypots de investigación: Para estudiar técnicas de ataque y obtener inteligencia sobre amenazas
Herramientas populares
Cowrie
- Honeypot SSH y Telnet de media-alta interacción
- Registra todas las sesiones del atacante en detalle
- Puede emular un sistema de archivos completo
- Muy usado para estudiar ataques de fuerza bruta
Dionaea
- Diseñado para capturar malware
- Emula vulnerabilidades en servicios Windows
- Guarda automáticamente los binarios maliciosos capturados
- Excelente para análisis de malware
OpenCanary
- Honeypot modular y ligero
- Emula múltiples servicios: HTTP, FTP, SSH, MySQL, Redis
- Fácil de configurar y desplegar
- Alertas en tiempo real por email o Slack
Consideraciones de seguridad
- Aislamiento: El honeypot nunca debe tener acceso a sistemas de producción
- Monitoreo: Debe estar bajo vigilancia constante para evitar que sea usado como pivot
- Legal: Consulta el marco legal de tu país sobre el uso de honeypots
- Datos capturados: Tratar con cuidado — pueden contener información sensible de atacantes
InteligenciaCiberseguridad2025
Artículos relacionados