Un honeypot, sistema trampa o seuelo, es una herramienta de la seguridad informtica dispuesta en una red o sistema informtico que simulan ser equipos vulnerables para ser el objetivo de un ataque.
Estos honeypots han ido evolucionando y actualmente se implementan en forma de honeynets que son redes enteras de honeypots que simulan sistemas completos, permitiendo as recabar mucha ms informacin sobre los ataques.
El honeypot puede estar configurado para que realice distintas acciones una vez un atacante se introduce en l.
1. Alertar: puede estar configurado simplemente para que alerte una vez un atacante se introduce pero sin realizar ninguna accin ms.
2. Obtener informacin: obtener toda la informacin sobre qu est haciendo y utilizando el atacante.
3. Ralentizar: ralentizar el ataque lo mximo posible.
4. Una combinacin de todas las anteriores.
Sabiendo esto, si una empresa despliega un honeypot no hay razn legtima para que los s de esa organizacin intenten acceder a l, por lo que cualquier interaccin con el equipo puede considerarse maliciosa. La idea de este sistema es hacer creer al atacante que est entrando a un sistema real, sin embargo, est realizando sus actividades maliciosas en un ambiente completamente controlado por nosotros.
Convencer a un atacante para que caiga en el honeypot implica en parte cometer los descuidos normales que tiene una persona pero de forma voluntaria en lugares de internet frecuentemente visitados por los atacantes, como incluir contraseas en blocs de notas o en Github, una pgina donde millones de personas comparten sus proyectos y donde es habitual ciertos despistes por parte de los s.
Una vez puesta la trampa, un atacante puede entrar al honeypot y bajo el pensamiento de haber accedido a algo seguro e importante, comenzar a tirar de cdigo y a utilizar todas sus herramientas para intentar robar toda la informacin disponible e incluso enviar esa informacin a otras redes, criminales o no, que estn interesadas en el ataque, todo esto bajo nuestro control y conocimiento.
Como todo, esta tcnica tiene sus ventajas y sus inconvenientes. En cuanto a las ventajas encontramos una mencionada anteriormente, cualquier actividad registrada puede considerarse como maliciosa, en un sistema real existe mucho trfico y sera difcil detectar un ataque. Por esto mismo los honeypots tienen un trfico muy reducido, por lo que exigen pocos recursos y no tienen grandes exigencias para desplegarlos. Existen honeypots ya escritos en lnea, lo que reduce la cantidad de trabajo interno para poner uno en marcha. Tienen una baja tasa de falsos positivos en contraste con otros sistemas tradicionales. Proporcionan informacin sobre nuevas tcnicas de intrusin que hayan desarrollado los atacantes.
En cuanto a los peligros de un honeypot encontramos que estos no detectan todo lo que sucede, si no solo la actividad que est dirigido a ellos. Que una amenaza no haya apuntado al honeypot no significa que no exista por lo que es importante no depender nicamente de ellos para detectar amenazas. Existe la posibilidad de que un atacante se de cuenta de que es un honeypot y se ponga a atacar a los otros sistemas dejando el honeypot intacto, o lo que es peor, utilizarlo para acceder a tus sistemas, es por ello que se deben tener otros controles de seguridad como pueden ser los firewall.
En conclusin los honeypot son herramientas muy tiles que pueden ayudar a proteger a tu organizacin y a obtener gran cantidad de informacin sobre un atacante pero que deben complementar a otras tcnicas de seguridad.
Diego Calvo Maroas (DLTCode)
