¿Qué es un honeypot, y por qué los hackers los detestan?

¿Qué es un honeypot?

Comencemos por la propia definición de honeypot. ¿Qué es, y cómo hacer un honeypot? Bueno, un honeypot es un equipo o un sistema informático que sirve como cebo para atraer a los hackers. Un honey pot se configura como si fuese un sistema real con vulnerabilidades que pueden ser explotadas por los hackers, con la única diferencia de que se encuentra aislado del resto de la red y cuidadosamente monitorizado. Los hackers no saben esto, así que se lanzan a por el honeypot como las abejas al polen.

Los honeypots sirven para ayudar a detectar un ciberataque, desviar los ataques de otros objetivos más importantes, y reunir información sobre los ciberdelincuentes y sus tácticas. Sirven para saber:

• La dirección IP y ubicación de los hackers. Esta información puede ayudar a identificar a los hackers, salvo que estén utilizando una VPN o un proxy. Si aún no sabes qué es una VPN, recuerda que se trata de un servicio que permite encriptar la conexión y redirigirla a través de servidores privados.
• El tipo contraseñas empleadas por los hackers para acceder a él. Quizá han usado contraseñas filtradas y es el momento de actualizar los sistemas para protegerlos con una contraseña segura.
• La técnica usada por los hackers para acceder al honeypot. Esto sirve para detectar cuáles son las principales vulnerabilidades de un sistema.
• Dónde terminan tus archivos robados. Los honeypots pueden almacenar datos con características únicas que sirvan para identificar los archivos y que pueden ayudar a los propietarios a detectar dónde se terminan. Esto también puede servir para identificar a los hackers, a su entorno, y las diferentes conexiones entre ellos.

Los honeypots, entonces, pueden ser excelentes herramientas contra los hackers, y por eso se los utiliza en grandes empresas e instituciones dedicadas a la ciberseguridad. Existen muchas configuraciones de honeypots que esencialmente son de código abierto. Algunas simulan servidores y sirven para ayudarte a analizar sus datos, con lo que ya tendrás parte del trabajo hecho y no necesitarás contratar un equipo de ciberseguridad que lo haga por ti.

Tipos de honeypots

Generalmente se pueden categorizar en función de quién los usa y cuáles son sus objetivos primarios.

• Los honeypots de investigación generalmente son utilizados por investigadores de ciberseguridad, ejércitos y gobiernos. Son muy complejos y proporcionan una información esencial necesaria para estudiar y analizar las actividades de los hackers a medida que progresan en el honeypot. Esto contribuye a identificar fisuras en la seguridad y desarrollar nuevas formas de subsanarlas.
• Los honeypots de producción suelen utilizarse por las empresas. Normalmente se configuran dentro de un sistema de producción, y se los utiliza como parte de un Sistema de Detección de Intrusiones (IDS) diseñado para monitorizar la actividad maliciosa. Son menos complejos que los honeypots de investigación, y no proporcionan tanta información.

Los sistemas de los honeypots también pueden clasificarse de la siguiente manera:

• Honeypots puros. Se trata de sistemas de producción completa que no requieren de ningún otro software. En otras palabras, son servidores de producción que pasan a constituirse como honeypots, y pueden estar conectados al resto de la red. Son los honeypots más creíbles, pero también los más arriesgados y peligrosos.
• Los honeypots de interacción alta son sistemas operativos no-emulados. Imitan sistemas de producción y normalmente tienen muchos datos y servicios, así que requieren de muchos recursos para operar. Estos honeypots normalmente operan en máquinas virtuales (VM), ya que permiten gestionar diversos honeypots en un solo dispositivo. Esto también permite aislar los sistemas comprometidos, desactivarlos y restaurarlos.
• Los honeypots de interacción baja emulan únicamente los sistemas o servicios más buscados por los hackers. De esta manera requieren de menos recursos, con lo que son principalmente gestionados en máquinas virtuales. Son menos arriesgados y más fáciles de mantener, pero también resultan más fáciles de identificar por parte de los hackers. Se los suele utilizar principalmente para detectar malware distribuido por parte de botnets y worms.

Los investigadores o las empresas pueden utilizar diversos honeypots para conformar una honeynet. Incluso pueden desarrollar una colección centralizada de honeypots y herramientas de análisis, lo que se denomina una ‘honey farm’. Usar honeynets o honey farms hace que el cebo sea más creíble, porque los hackers pueden pasar de un servidor a otro creyendo que se trata de un sistema real.

¿Los honeypots son infalibles?

Por más que un honeypot suene bien, tiene sus limitaciones y vulnerabilidades, por ejemplo:

• Solo reúnen datos cuando son atacados.
• No son muy secretos. Los hackers experimentados pueden utilizar diversas técnicas para identificar un honeypot, con lo que tratarán de evitarlo y redirigirán su atención a un servidor o una red más valiosa
• No pueden detectar ataques fuera de sus sistemas.
• Si no se los configura correctamente –sobre todo en el caso de un honeypot puro–, pueden actuar como una puerta de entrada para que los hackers accedan a otros sistemas y redes.
• Como ocurre con cualquier otro sistema operativo, puede que tengan vulnerabilidades tecnológicas, por ejemplo firewalls débiles o una encriptación pobre, o quizá simplemente no logren identificar los ataques correctamente. En definitiva: los honeypots, simplemente, no son perfectos.