¿Qué es un Honeypot y para qué sirve?

Honeypot significa literalmente en inglés "tarro de miel", aunque los anglosajones usan este término para otras acepciones. Suele llamarse tarro de miel o honeypot a algo tentador pero que en realidad es una trampa.

En informática, un Honeypot se refiere a una herramienta se seguridad (normalmente un PC, o varios PCs con cierto software) usado como sistema de detección y registro de datos de ataques informáticos en una red.

Habitualmente, un Honeypot suele ser un PC usado como un señuelo para animar a hackers a entrar en su sistema y observar que tipo de acciones realizan. Todo esto con el objetivo de recabar todo tipo de datos y verificar además los hoyos de seguridad vulnerables en un sistema.


Hay principalmente dos diferentes tipos de Honeypots dependiendo de su función, los de baja interacción y los de alta interacción.



Además hay redes completas de honeypots interconectadas y dedicadas en exclusiva para ser potenciales objetivos de ataques. A estas redes se las denomina Honeynets.


Un Honeypot es un equipo real, con un sistema operativo real, conectados a servidores reales y con archivos reales, aunque inútiles... esto es, no contienen información realmente de valor, solo es un señuelo, una trampa cuyo objetivo es animar a hackers a entrar en su sistema.

En ocasiones es un equipo colocado como puerta de entrada a una red verdadera. En esos casos sirve como alerta ante posibles ataques. En otras ocasiones toda la red a la que se conecta es un señuelo. Normalmente estos últimos se usan como sistemas de registro de información acerca del daño causado por malwares, objetivos preferidos de un atacante y otros datos.



Los Honeypot de baja interacción suelen usarse como medida de prevención y alerta. Su principal función es alertar cuando se produce un ataque a una red o un sistema, disponiendo varias soluciones para impedir que el atacante tome algún control sobre el mismo.

Los de alta interactividad son más complejos y suelen usarse como método de investigación, recabando datos como que tipos de archivos son los más buscados por un atacante, actividades dentro del sistema, herramientas usadas, posibles daños en el sistema, dirección IP del atacante, etc...


El uso de Honeypots no es reciente y hace ya muchos años que se usan para todo tipo de actividades, todas ellas relacionadas con la seguridad. Incluso algunos hackers los usan como señuelos para infectar equipos y sistemas y robo de datos. Muchas agencias gubernamentales, en especial las relacionadas con seguridad nacional y militar los usan desde hace años.


En el año 2006, la BBC realizó una investigación para determinar la incidencia de ataques y malware en ordenadores de uso típico. Para ello usaron un Honeypot con el cual se establecieron dos fases.

En una primera fase tan solo se tomó nota de la cantidad de ataques que una computadora de uso hogareño sufría normalmente a lo largo de una jornada conectada a internet y con un uso típico. Los resultados fueron que de media, cada 15 minutos, se recibía un spam, principalmente relacionado con ofertas fraudulentas de herramientas de "limpieza" y mejoras del rendimiento del ordenador.

Sin embargo el dato más llamativo fue el de que al menos cada hora el ordenador recibía un ataque serio, habitualmente un intento de infección a través de gusanos tipo SQL Slammer o MS.Blaster.


En una segunda fase, se usó un Honeypot de alta interactividad, y se dejó que se instalasen en el sistema todo tipo de malware, adware y spyware. El objetivo era determinar el nivel de daño que estos podían ocasionar en el sistema y el ordenador mismo. Los resultados fueron drásticos y dramáticos. Si esos ataques hubiesen sido realizados en un ordenador hogareño típico, posiblemente este quedaría inservible.


Fred Cohen ha sido uno de los pioneros en cuanto a seguridad informática. De hecho él fue el que acuñó el término "virus informático" y el que se dio cuenta del peligro real que estos podrían representar. También fue uno de los primeros en trazar guías y lineamientos en cuanto a seguridad informática. Él diseñó un programa llamado "Deception Toolkit", el cual se usa para simular hoyos de seguridad en un sistema que está siendo atacado y redirecciona esos ataques a un círculo sin salida evitando que este tome control del sistema. Al mismo tiempo, este sistema de seguridad va recogiendo todo tipo de información acerca del atacante.


Un uso que se le ha dado a los honeypots es el de detectar a spammers que abusan de los recursos de servidores y proxies abiertos para lanzar campañas abusivas. Este tipo de honeypots integran herramientas específicas para este fin, como "spamhole", "Jackpot" o "smtpot.py".


Honey Proyect es un proyecto de investigación dedicado a recabar información y generar estadísticas acerca de las herramientas, motivaciones y tácticas usadas por criminales informáticos usando para ello Honeynets.


PenTBox Security Suite es otro proyecto, esta vez licenciado bajo GNU/GPL, que consiste en una serie de herramientas de seguridad orientadas a redes y sistemas. Programado en Ruby, originalmente se diseñó para sistemas Linux, aunque actualmente es compatible con Windows y Mac. Entre las varias herramientas que integran la suite, se encuentra un Honeypot.


El uso e implementación de un honeypot en una red hogareña no es ni práctica ni económica. Requiere de buenos conocimientos de informática y en especial de seguridad informática, de equipos y recursos dedicados que no suelen estar al alcance de cualquiera. Sin embargo pueden usarse a modo de investigación o educativos sistemas honeypot gratuitos, como el comentado PenTBox Security Suite.

0 comentarios