Honeypot
¿Qué es un Honeypot?
En ciberseguridad el término Honeypot hace referencia a un sistema informático como trampa o señuelo para los ciberdelincuentes. Este sistema se utiliza para llamar la atención de los ciberdelincuentes por su facilidad para ser atacado, haciendo que los esfuerzos se dediquen a introducir malwares o realizar ataques a este sistema, consiguiendo que el resto de sistemas no sean atacados. Además una vez que ha sido atacado el Honeypot envía señales de alerta para que los expertos en ciberseguridad o el propio Honeypot recaben y consigan información sobre el ciberdelincuente o malware.
¿Cómo funciona un Honeypot?
Un Honeypot tiene que ser lo más parecido a un sistema normal, por ello el Honeypot tiene que contar con elementos que le hagan parecer lo más realista posible, aplicaciones, datos, sistema operativo, etc. Con estas características, un ciberdelincuente creerá que es un sistema real utilizado por un usuario. Por ejemplo, un Honeypot podría ser la réplica de un CRM empresarial, un ecommerce, etc.
El Honeypot debe contar con alguna vulnerabilidad sin cubrir de manera intencionada. Por ejemplo, puertos abiertos, contraseñas sencillas, usuarios con privilegios elevados sin protección, etc. Es importante tener en cuenta que estas vulnerabilidades tampoco deben ser muy obvias, ni tener demasiadas, ya que los ciberdelincuentes podrían darse cuenta y no caer en la trampa.
Una vez que el ciberdelincuente logra entrar en el sistema (Honeypot) gracias a haber explotado la vulnerabilidad o mientras trata de explotar otra, se comienzan a rastrear los movimientos, procedimientos, técnicas y recursos que utiliza el ciberdelincuente.
El objetivo final del Honeypot es comprobar el correcto funcionamiento de algunas medidas preventivas de ciberseguridad, como puede ser un Firewall, cómo se puede comportar un ciberdelincuente, que información de la empresa puedan buscar, etc., por lo que permite recabar mucha información de valor para luego poder proteger los sistemas de la empresa.
Para implementar el Honeypot y simular el sistema vulnerable se puede realizar de dos formas:
- Honeypot físico: Se trata de utilizar un dispositivo físico en la red empresarial, es decir instalar un ordenador con el sistema con el que queramos crear la trampa y conectarlo con el internet y la red de la empresa. Es importante que este ordenador se aísle de la manera adecuada para evitar que pueda comprometer la red empresarial.
- Honeypot virtualizado: Para ello se creará una Máquina Virtual con el sistema a comprobar. La ventaja es que el Honeypot Virtualizado tiene un coste menor y se puede aislar por completo, actualizarlo de manera más rápida y pararlo o encenderlo cuando se necesite. Además la escalabilidad es mayor, ya que no es necesario tener un dispositivo físico por cada Honeypot, pudiendo crear tantas trampas como sistemas se quieran comprobar.
Tipos de Honeypot
Es importante tener en cuenta que en función del tipo de Honeypot la implementación del mismo podrá aportar mucho valor e información a la empresa o poco. Por lo que antes de implementar un Honeypot es necesario tener en cuenta que se quiere conseguir. Para ello, recomendamos responder estas preguntas:
- ¿Qué quiero comprobar con el Honeypot?
- ¿Quiero saber si mi firewall funciona correctamente?
- ¿Solo quiero conocer el modo de actuación de un ciberdelincuente?
- ¿Quiero comprobar si los sistemas de ciberseguridad de mi empresa funcionan correctamente y como responden ante los diferentes tipos de ataque?
Teniendo claras las respuestas, la primera clasificación de los tipos de Honeypot puede ser en función de la cantidad de información que se quiere conseguir y el comportamiento de nuestro sistema. Aquí encontramos 2 tipos
- Honeypot de baja interacción: Solución de rápida implementación y necesidad de utilización de pocos recursos. La desventaja es que con este tipo de Honeypot lo único que se consigue es simular un sistema y recopilar los datos del atacante. No se crean respuestas, ni configuraciones extra para la defensa y prueba de las medidas de ciberseguridad. Existen muchas soluciones de Honeypot gratuitas y de código abierto en internet con las que poder recopilar información de ataques de manera sencilla.
- Honeypot de alta interacción: Solución más compleja que busca un fin en concreto, comprobar los sistemas, reglas, respuesta, etc. Están integrados en la red empresarial por lo que tienen que estar más protegidos y aislados para asegurar que el ciberdelincuente no consigue entrar en la red empresarial. Con este tipo de Honeypot se consigue comprobar como es la seguridad de la empresa y recabar incluso más información sobre el delincuente que en el caso anterior.
También podemos clasificar los Honeypot en función de los tipos de amenazas que se quieran detectar:
- Honeypot de correos electrónicos spam: También conocidos como trampas de correos electrónicos o spam buscan a través de un sistema con un correo electrónico falso que los recolectores de sitios web o los recolectores de direcciones de correo automatizados envíen emails al correo trampa. Esto permite detectar las direcciones IP de este tipo de sistemas pudiendo bloquear la IP en los servidores.
- Honeypot Base de datos señuelo: El objetivo será comprobar las vulnerabilidades del sofware y la arquitectura del sistema a través de ataques de inyección SQL, escalado de privilegios, etc.
- Honeypot de Malware: Se simulan sistemas completos con la finalidad de ver cómo son atacados por los diferentes tipos de malwares y así proteger a los sistemas reales frente a esos ataques, ya sea por medio de softwares desarrollados a medida teniendo en cuenta esos atauques, antivirus, firewalls configurados para dichos ataques, etc.
- Honeypot para Crawlers: Los Crwalers o arañas son los rastreadores de internet que buscan leer toda la información visible pública de una web, servidor, etc, a través de sus enlaces. El objetivo de estas arañas puede ser variado como clonar webs, extraer información para copiarla, spam, simular tráfico, crear tráfico negativo, ver rendimientos de marketing, etc. Una vez que se detectan estas arañas se puede bloquear su IP.
Ventajas de los Honeypot y por qué usarlos en el entorno empresarial
- Detección de amenazas: Los Honeypot permiten detectar los tipo de amenazas que más pueden afectar a la empresa y proponer medidas para proteger los datos y sistemas.
- Analisis de los sistemas: Los Honeypot recopilan la información del ataque lo que permite analizar no solo las amenazas y la información que le puede interesar a los ciberdelincuentes, sino también cómo atacan, que técnicas se utilizan y poder adaptar la seguridad de la empresa a los nuevos modos de ataque.
- Reducción de Costes: Al tener uno o varios sistemas que estudian las amenazas, las interpretan y permiten al equipo de ciberseguridad de la empresa crear las medidas necesarias para securizar los sistemas, supone una reducción del riesgo notable y por tanto se evitan los costes extra asociados a afrontar un ciberataque, con sus consecuencias económicas, reputacionales y de producción asociadas.
Los peligros de los Honeypot
Es importante tener en cuenta que un Honeypot detecta una parte parcial de las amenazas, por lo que tener varios sistemas simulados para la detección y análisis de los ciberdelincuentes no garantiza estar totalmente protegido gracias a la detección de amenazas.
Por otro lado, un ciberdelincuente con ciertos conocimientos puede tener la capacidad de detectar los Honeypot y lanzar ataques falsos que funcionen como distracción mientras que por otro lado intenta atacar a los sistemas reales.
Por último si el Honeypot está conectado a la red empresarial y no se ha aislado de la manera correcta, el ciberdelincuente podría moverse lateralmente hacia los sistemas de la empresa y explotar alguna vulnerabilidad.