Tabla de contenidos
Un honeypot, en español: tarro de miel, es el término informático para un mecanismo de seguridad que se utiliza para engañar. Simulan programas de aplicación o servicios de red que representan un objetivo valioso. Si dos o más están configurados en una red, forman una red trampa. Una granja de miel es una colección centralizada de varios honeypots.
Leer: Cosas que no debes buscar en Google
¿Cuál es el propósito de los honeypots?
Con ellos se pueden perseguir dos objetivos. Por un lado, se utilizan para engañar con la ayuda de aplicaciones simuladas o servicios de red y para que los ciberataques no se ejecuten en ninguna parte. Es una trampa o cebo virtual que tiene como objetivo atraer a los piratas informáticos para distraerlos de los sistemas productivos reales y así protegerlos.
El segundo propósito es recopilar información sobre cómo se llevan a cabo los ataques de piratería automatizados o manuales. Al analizar la información recopilada, los sistemas de seguridad se pueden mejorar y los puntos débiles se arreglan. Dependiendo del objetivo que se persiga con un honeypot, se puede instalar en el servidor o en el cliente.
Honeypots del lado del servidor y del lado del cliente
Los honeypots del lado del servidor son sistemas aislados que se utilizan para atraer a los piratas informáticos y mantenerlos alejados del sistema real y de las partes sensibles de una red. Simulando servidores de red, se pueden rastrear y registrar los ataques sin poner en peligro el sistema productivo. Pueden configurarse como servidor real o virtual.
El lado del servidor se utiliza principalmente para rastrear y analizar ataques que se llevan a cabo de forma manual o automática. Es importante con los honeypots del lado del servidor que se implementen lo más completamente aislados posible, para que los piratas no puedan propagarse al sistema que se deseas proteger para prevenir.
Un honeypot del lado del cliente es un software de aplicación simulado. Por ejemplo, simulando un navegador web u Office 365. Se utiliza un navegador simulado para analizar sitios web inseguros y recopilar información sobre vulnerabilidades de seguridad. Si el navegador es atacado a través de una de estas páginas, el ataque se registra para su posterior análisis. La información recopilada se puede utilizar para mejorar el software.
Diferentes tipos
Puro
Los honeypots puros son sistemas completos de producción. Se controlan escuchando las conexiones que conectan el honeypot a la red. El seguimiento se lleva a cabo mediante la llamada trampa de errores. La trampa de errores se instala en la conexión entre el honeypot y la red. Dado que en su mayoría están completamente basados en sistemas operativos, son difíciles de escalar y se comprometen deliberadamente.
Baja interacción
Los honeypots de baja interacción solo simulan servicios y sistemas que a menudo atraen la atención de los delincuentes. Por ejemplo, servidor SSH o HTTP. Los servicios o aplicaciones solo se simulan en la medida en que el honeypot parece ser un objetivo valioso para los atacantes. A menudo se utilizan para recopilar información sobre ataques de botnets o malware.
Alta interacción
Los honeypots de alta interacción son configuraciones complejas que se comportan como una infraestructura de producción real. Las actividades de los atacantes no están restringidas. Permiten a los atacantes obtener información completa sobre las funciones de seguridad del sistema. Los honeypots de alta interacción requieren un mantenimiento intensivo y un amplio conocimiento especializado. A menudo se configuran en máquinas virtuales para garantizar que los atacantes no puedan acceder al sistema real.
Ejemplos de aplicación
Un ejemplo son los honeypots de malware. Cada vez más, el malware se utiliza para buscar criptomonedas en los servidores con el fin de robarlas. Al igual que el software antivirus, se utilizan para detectar malware. USB Flash unidades pueden ser revisados por signos de cambios no deseados utilizando honeypots.
El spam es otro ejemplo del uso de honeypots. Los spammers suelen utilizar retransmisores de correo abiertos o proxies que aceptan correos electrónicos de cualquier remitente y los reenvían a su destino. Un honeypot de spam pretende ser un servidor de correo para descubrir las actividades de los spammers. Los proveedores de servicios de correo electrónico los utilizan además de los filtros SPAM para proteger a los usuarios del spam.
Ventajas y desventajas
Si bien requieren experiencia y recursos, un honeypot también ofrece importantes beneficios. Los datos reales de los ataques cibernéticos reales pueden ser recogidos de los honeypots y se utilizan para mejorar los problemas de seguridad. A diferencia de otras tecnologías, rara vez provocan falsos positivos porque los usuarios autorizados no tienen ninguna razón para acceder a ellas. También son una forma rentable de protegerse.
No necesitan recursos de alto rendimiento, ya que solo interactúan con actividades maliciosas. Sin embargo, también hay un par de desventajas. Solo recopilan información cuando ocurre un ataque cibernético. Además, los piratas informáticos experimentados pueden diferenciar un honeypot de los sistemas de producción reales, por ejemplo, con la ayuda de System-Finger-Print Tec.