Taller Seguridad

Camilo Alejandro Arrechea Vidal

Profesor: Andrés Felipe Gonzales Coronado

Tema de exposición: HoneyPot

2022
Qué es HoneyPot
Es un sistema informático que se sacrifica para atraer ciberataques, como un
señuelo. Simula ser un objetivo para los hackers y utiliza sus intentos de intrusión
para obtener información sobre los cibercriminales y la forma en que operan o para
distraerlos de otros objetivos.

Para qué sirve un HoneyPot

Un HoneyPot, tambien conocido como sistema trampa, está ubicado en una red o
sistema informático para que su objetivo sea evitar un posible ataque al sistema
informático. La función principal de esta herramienta es detectar y obtener
información del ataque informático, y, sobre todo, de dónde procede, para
posteriormente tomar las medidas de seguridad necesarias. Actualmente los
honeypot son realmente potentes, y nos permiten simular el comportamiento real de
un sistema, haciendo creer a los ciber atacantes que han entrado a un sistema real,
y que es fácil hacerse con el control.

Herramientas de HoneyPot
Estas herramientas pueden estar diseñadas y programadas con diferentes y
múltiples objetivos, los cuales son los siguientes:

Alertar: puede estar diseñada y programada con el objetivo de detectar, pero sin
realizar ninguna acción más.
Obtener información: puede estar diseñada y programada con el objetivo de
obtener información sobre el ataque que está detectando, pero sin realizar ninguna
acción más.
Ralentizar: puede estar diseñada y programada con el objetivo de ralentizar el
ataque que está detectando, pero sin realizar ninguna acción más.
Combinación: puede estar diseñada y programada con el objetivo de alertar,
obtener información, y ralentizar el ataque que está detectando.
Gracias a las herramientas HoneyPot, se pueden descubrir nuevas formas de
ataque desconocidas, pero, además, también se pueden descubrir vulnerabilidades
propias de cada una de nuestras redes y, por lo tanto, poner soluciones y diseñar
estrategias de protección más efectivas. Podemos tener varios HoneyPot instalados
en nuestra red y que, además, se comuniquen entre ellos. Esta última técnica es
conocida como una red HoneyNet.

Tipos de HoneyPot

HoneyPot de producción: Son los sistemas que utilizan las empresas para
investigar por qué motivo reciben ciberataques de los ciberdelincuentes. Este tipo
de honeypot es ampliamente utilizado por medianas y grandes empresas con el
objetivo de comprobar qué están atacando los ciberdelincuentes, para estar
preparados ante un futuro ataque a la infraestructura real.

Investigación de HoneyPot: Estos sistemas son utilizados por organizaciones sin

ánimos de lucro e instituciones educativas, donde el único objetivo que persiguen
es investigar los motivos y las maneras que usan los ciberdelincuentes para atacar.
La diferencia es que, este tipo de sistemas, se utilizan solamente para entender las
motivaciones y, en cierta medida, la psicología del atacante.
Cómo implementar Honeypot

podemos recurrir a dos soluciones principalmente, un sistema físico o un sistema

virtual:

HoneyPot físico: El HoneyPot físico se trata de incorporar un ordenador exclusivo

para esta función, que se integraría dentro de nuestra red, con su propia dirección
IP. Este tipo de honeyPot se hace pasar por un servidor más, pero realmente está
altamente protegido y envía toda la información del atacante a los administradores,
con el objetivo de que puedan averiguar y estudiar a fondo todas las técnicas del
atacante.
HoneyPot virtual: El HoneyPot virtual es un sistema virtualizado dentro de un
equipo físico que, a través del software de virtualización, recibe los recursos como
si de un equipo físico se tratara. En este caso se trata de un sistema operativo virtual
dentro de un servidor físico que podría compartirse con otros sistemas operativos
con honeyPot o en producción. Este es uno de los más utilizados porque no
estariamos dedicando recursos específicos a un servidor físico que en realidad
solamente sirve para intentar detectar a un ciberdelincuente, y es posible que no
siempre esté en funcionamiento. Gracias a la virtualización podremos ahorrar en
recursos optimizando el gasto.

Las ventajas de usar honeyPots

El uso de un honeyPot tiene varias ventajas sobre el intento de detectar una

intrusión en el sistema real. Por ejemplo, por definición, un honeyPot no debería
recibir tráfico legítimo, por lo que es probable que cualquier actividad registrada sea
un intento de intrusión o de sondeo.
Los honeypots pueden ser una buena forma de exponer las vulnerabilidades de los
sistemas más importantes. Por ejemplo, un honeypot puede mostrar el alto nivel de
amenaza que suponen los ataques a los dispositivos de IoT. También puede
proponer formas de mejorar la seguridad.
Eso facilita mucho la detección de patrones, como direcciones IP similares o
direcciones IP que provienen todas de un mismo país que se utilizan para llevar a
cabo un barrido de redes, Por el contrario, tales indicios de ataque se pierden
fácilmente en el ruido cuando se observan altos niveles de tráfico legítimo en la red
central.
Las desventajas de usar honeyPots

Si bien la ciberseguridad de los honeyPots ayuda a delimitar el entorno de amenaza,

estos no detectan todo lo que sucede, sino solo la actividad que está dirigida a ellos.
El hecho de que una determinada amenaza no haya apuntado al honeyPot no
significa que no exista.
Un buen honeyPot bien configurado engañará a los atacantes y les hará creer que
han accedido al sistema real, tendría los mismos mensajes de aviso de acceso, los
mismos campos de datos, incluso el mismo aspecto y logotipos que los sistemas
reales. Sin embargo, si un atacante se da cuenta de que es un honeyPot, puede
atacar otros sistemas y dejar el honeyPot intacto.
Una vez que el atacante ha identificado las huellas digitales de un honeyPot, puede
crear ataques falsos para distraer la atención de un verdadero exploit dirigido contra
tus sistemas de producción, también puede proporcionar información incorrecta al
honeyPot.
Peor aún, un atacante inteligente podría usar un honeyPot para acceder a los
sistemas. Es por eso por lo que los honeyPots nunca pueden reemplazar los
controles de seguridad propiamente dichos, como los firewalls y otros sistemas de
detección de intrusos, teniendo en cuenta que un honeyPot podría servir como
plataforma de lanzamiento para una intrusión mayor.

Ejemplos del HoneyPot

Este apartado podemos dividirlo en varias partes, pues dependiendo de las

necesidades que nos lleven a usar un HoneyPot, obtendremos unos resultados u
otros, para ello tendremos varios sistemas que pueden emular diferentes servicios
como por ejemplo SSH, FTP, HTTP, RDP, MySQL, SMTP, VNC, entre otros.
También es posible encontrar algunos relacionados directamente con servicios de
aplicaciones y específicamente creados para estos.

Conclusión

Lo que nos aportan los Honeypot es la posibilidad de saber cómo nos están
atacando, e intentar descubrir quién es el atacante, es decir, los honeypot son una
función de control adicional respecto a la seguridad, para saber cómo actuar en
caso de recibir un ataque, ya que sabremos cómo actúan gracias al estudio previo
del equipo de seguridad que se encargue de controlar estos Honeypot.