Honeypots - Sistemas señuelo que atrapan atacantes
Lectura de 2 min aprox.
Un honeypot es un sistema señuelo desplegado intencionadamente para atraer a los atacantes y analizar sus métodos. Simula servicios vulnerables en un entorno aislado del de producción y recopila información como los patrones de comportamiento de los atacantes, las herramientas que utilizan y las vulnerabilidades que buscan explotar. A día de hoy, en 2025, se han generalizado los servicios de honeypot nativos de la nube y las técnicas de detección que aprovechan los honeytokens (credenciales falsas), lo que convierte a los honeypots en una importante fuente de inteligencia de amenazas para que los defensores aprendan las técnicas de los atacantes.
Casos de uso reales
«Al detectar el acceso a un honeypot desplegado en nuestra red interna, pudimos identificar un dispositivo infectado con malware. Dado que se produjo comunicación hacia un servidor al que los usuarios legítimos nunca accederían, logramos detectarlo y aislarlo en menos de 30 minutos desde la infección.»
Arquitectura de despliegue del honeypot
Tipos de honeypots
Los honeypots de baja interacción son sistemas sencillos que solo emulan las respuestas de los servicios; son fáciles de desplegar, pero la información que pueden recopilar es limitada. Los honeypots de alta interacción ejecutan un sistema operativo y servicios reales, lo que permite registrar el comportamiento detallado de los atacantes, pero son complejos de gestionar y conllevan el riesgo de ser utilizados por los atacantes como trampolín. Una honeynet es una configuración de varios honeypots dispuestos como una red, que reproduce un entorno más realista.libros de seguridad sobre honeypots (Amazon) pueden ayudarte a aprender cómo construir uno.
Escenarios de uso práctico
Una empresa desplegó honeypots en su red interna para construir un mecanismo que detectara accesos no autorizados desde dentro. Al detectar conexiones a servidores a los que los usuarios legítimos nunca accederían, logró descubrir de forma temprana infecciones de malware y conductas indebidas de personal interno. En entornos de nube, también se ha generalizado la técnica de colocar endpoints de API falsos y credenciales falsas (honeytokens) para detectar el uso indebido de credenciales filtradas. Es un medio eficaz para acelerar la respuesta inicial de la respuesta a incidentes.
Consideraciones operativas
Un honeypot debe estar completamente aislado del entorno de producción y gestionarse con rigor para que los atacantes no puedan usarlo como trampolín para introducirse en otros sistemas. El análisis de los registros recopilados requiere conocimientos especializados, y la integración con un SIEM puede hacerlo más eficiente. Protege el panel de administración del honeypot con una contraseña aleatoria fuerte y ten cuidado de que los atacantes no se apoderen de los privilegios administrativos. Como parte de la seguridad de confianza cero, puede aprovecharse para la detección de anomalías dentro de la red.guías de detección de intrusiones (Amazon) también son referencias útiles.
¿Te resultó útil este artículo?