¿Qué es un honeypot y por qué los hackers lo detestan?

¿Qué es un honeypot en ciberseguridad?

Los honeypots cumplen tres funciones principales: 

1. 1.Detectar ciberataques antes de que alcancen sistemas críticos.
2. 2.Desviar amenazas hacia el señuelo alejándolas de activos valiosos.
3. 3.Recopilar inteligencia sobre las tácticas, técnicas y herramientas de los atacantes.

Gracias a esta inteligencia, los equipos de seguridad pueden conocer la dirección IP y la ubicación de los ciberdelincuentes, aunque el uso de una VPN o un proxy puede enmascarar esta información. También identifican las contraseñas utilizadas en los intentos de acceso, lo que puede indicar si circulan credenciales filtradas. Si quieres saber si las tuyas están entre ellas, puedes comprobar si tus datos han sido filtrados. 

Además, registran las técnicas empleadas para acceder al sistema, lo que permite detectar exploits y vulnerabilidades activas, y rastrean el destino final de los archivos robados gracias a marcadores únicos incrustados en los datos del honeypot.

¿Cuáles son los tipos de honeypots?

Los honeypots se clasifican según su propósito y el nivel de interacción con el hacker.

Según su propósito

En esta categoría, debemos definir dos subtipos.

• Honeypots de investigación. Los utilizan investigadores de ciberseguridad, gobiernos y fuerzas armadas. Son sistemas complejos diseñados para estudiar el comportamiento de los atacantes en detalle: cómo evolucionan sus técnicas, qué vectores de ataque explotan y cómo se mueven por una red. Su objetivo no es la protección directa, sino generar conocimiento para desarrollar mejores defensas.
• Honeypots de producción. Los despliegan empresas dentro de su infraestructura real como parte de un Sistema de Detección de Intrusiones (IDS). Son más sencillos que los de investigación y están orientados a la alerta temprana: detectan actividad maliciosa antes de que afecte a los sistemas reales.

Según su nivel de interacción

Pasemos a ver sus tres subcategorías y en qué se diferencian.

• Honeypots puros. Sistemas de producción completos que no requieren software adicional. Son los más creíbles para el atacante, pero también los más arriesgados: si no están bien aislados, pueden convertirse en una puerta de entrada hacia la red real.
• Honeypots de interacción alta. Imitan entornos de producción complejos con múltiples servicios y datos reales. Requieren muchos recursos y suelen ejecutarse sobre máquinas virtuales, lo que facilita aislar, desactivar y restaurar los sistemas comprometidos sin afectar al resto de la infraestructura.
• Honeypots de interacción baja. Emulan únicamente los servicios más buscados por los atacantes. Son más sencillos de gestionar y menos arriesgados, aunque los atacantes experimentados pueden identificarlos con mayor facilidad. Se usan principalmente para detectar malware distribuido por botnets y gusanos.

Más allá del honeypot individual: honeynet y honey farm

Al combinar múltiples honeypots interconectados se forma una honeynet, que simula una red completa con varios servidores. Esto hace el engaño mucho más convincente, ya que el atacante puede moverse de un sistema a otro sin sospechar. 

Una honey farm va un paso más allá: es una colección centralizada de honeypots junto con herramientas de análisis automatizado, lo que permite gestionar el cebo a gran escala sin necesidad de un equipo de seguridad dedicado.

Los honeypots y la inteligencia artificial: la nueva frontera

La evolución más significativa en el mundo de los honeypots es la integración de la inteligencia artificial. Los honeypots tradicionales eran estáticos: el atacante podía identificarlos porque sus respuestas eran predecibles y limitadas. Los honeypots con IA cambian las reglas del juego.

Los honeypots polimórficos basados en IA adaptan su comportamiento en tiempo real según las acciones del atacante, haciendo que el engaño sea mucho más difícil de detectar. Los modelos de lenguaje de gran escala (LLM), como los que impulsan los chatbots modernos, ya se emplean para simular API web y conversaciones que resultan indistinguibles de las reales, atrayendo a atacantes sofisticados durante más tiempo.

El impacto de esta tendencia en el mercado es notable. El sector de la tecnología honeypot estaba valorado en aproximadamente 350 USD millones en 2025 y se prevé un crecimiento sostenido en los próximos años. Si se suma el mercado de deception technology en su conjunto (del que los honeypots forman parte), la cifra asciende a 2.410 USD millones en 2025, con una tasa de crecimiento anual del 13,3%. Este incremento responde a un contexto amenazante: los ataques potenciados por IA han aumentado un 112% en 2025, lo que obliga a las organizaciones a adoptar defensas igualmente eficientes.

Honeytokens y cuentas honeypot

Junto a los honeypots clásicos, han ganado popularidad los honeytokens: activos digitales trampa que no simulan un sistema completo, sino elementos concretos como credenciales falsas, archivos señuelo o registros de base de datos. Cuando alguien accede o usa un honeytoken, se genera una alerta inmediata.

Un caso especialmente útil es la cuenta honeypot, un perfil de usuario ficticio dentro de la organización. Si alguien intenta autenticarse con esa cuenta, es señal inequívoca de que las credenciales han sido robadas o de que hay un ataque de fuerza bruta en curso.

¿Los honeypots son infalibles?

Los honeypots son herramientas poderosas, pero tienen limitaciones claras que conviene conocer antes de implementarlos.

En primer lugar, solo recopilan datos cuando son atacados. Si un hacker pasa de largo, no generan ninguna inteligencia. En segundo lugar, pueden ser detectados por atacantes experimentados que analizan el comportamiento del sistema antes de actuar: si las respuestas resultan artificiales o demasiado permisivas, levantan sospechas inmediatas.

Además, no detectan ataques fuera de su perímetro. Un honeypot solo observa lo que ocurre dentro de sus límites, así que los ataques que afectan a otros sistemas de la red pasan desapercibidos. Si no están correctamente aislados, pueden convertirse en una puerta de entrada, y el atacante los usa como trampolín para acceder a sistemas reales, tal como ocurre en los ataques man-in-the-middle. Por último, como cualquier sistema, arrastran sus propias vulnerabilidades tecnológicas: firewalls débiles, cifrado insuficiente o configuraciones incorrectas pueden comprometer su eficacia.

En definitiva, los honeypots son una capa adicional dentro de una estrategia de ciberseguridad más amplia, no una solución completa. La mejor defensa siempre combina señuelos con autenticación robusta, monitorización continua y educación en seguridad.