Los honeypots ofrecen algo decisivo: adelantarse al atacante y observar sus movimientos. Por eso se han convertido en una pieza clave de la ciberseguridad actual.
En un entorno cada vez más desafiante y sofisticado, no basta con herramientas que permitan a las organizaciones defenderse de las amenazas conocidas. También es necesario comprender los nuevos procedimientos y estrategias utilizados por los atacantes e identificar los ciberataques lo antes posible.
Los honeypots son un recurso fundamental tanto en la investigación como en entornos operativos. Gracias a ellos, es posible obtener inteligencia en tiempo real sobre tácticas emergentes para que los equipos de seguridad puedan reforzar su infraestructura de una manera más efectiva. Además, facilitan la detección temprana de actividades sospechosas antes de que se pongan en riesgo sistemas críticos reales.
ÍNDICE
¿QUÉ ES UN HONEYPOT?
Un honeypot es un sistema informático que actúa como un señuelo para los atacantes (de ahí su nombre, “tarro de miel”), ya que está configurado para atraerlos y monitorizar las actividades que se realicen sobre él. Ésta es su función principal, lo que permite registrar y analizar cada intento de acceso a sus servicios para identificar ataques, extraer patrones de comportamiento, determinar las herramientas o técnicas utilizadas, y conocer los objetivos prioritarios de los ciberdelincuentes en una infraestructura
CLASIFICACIÓN DE HONEYPOTS
Los honeypots se clasifican según varios criterios, algunos de ellos son:
- Según su nivel de interacción:
- Baja interacción: estos honeypots simulan servicios muy concretos que no son completamente funcionales, por lo que los atacantes pueden identificar que es una trampa. Se despliegan rápidamente, pero la información que proporcionan es limitada.
- Alta interacción: a diferencia de los anteriores, son sistemas completamente funcionales que permiten al atacante interactuar como lo haría con un sistema real. Generan gran cantidad de información útil para su análisis posterior.
- Según su finalidad:
- Investigación: destinados al estudio de nuevas amenazas y técnicas utilizadas por los atacantes.
- Producción: integrados en redes corporativas, permiten desviar ataques sobre sistemas críticos y generar alertas tempranas.
- Según la infraestructura utilizada para su despliegue:
- Físicos: se utiliza un equipo físico, lo que permite simular con gran realismo un sistema de producción real. El coste y mantenimiento de este tipo de honeypots son elevados.
- Virtuales: en este caso, el honeypot se despliega sobre hipervisores o contenedores. Su coste es inferior, ya que se pueden ejecutar varios honeypots en una única máquina física. Su mantenimiento también es más sencillo, por ejemplo, cuando hay que restaurarlos por quedar inservibles tras un ataque.
USOS DE LOS HONEYPOTS
Los honeypots se pueden utilizar para distintas finalidades, como:
– Detección de alerta temprana:
Integrados en redes de producción, los honeypots actúan como cebos que tratan de atraer y distraer a los atacantes. Monitorizando los accesos no autorizados y las actividades sospechosas que se realicen sobre ellos, se generan alertas que facilitan una respuesta rápida antes de alcanzar los sistemas reales.
– Evaluación de vulnerabilidades en infraestructuras
Simulando infraestructuras reales, es posible determinar cuáles de sus sistemas o servicios son más atractivos para los atacantes, identificar vulnerabilidades de las que no se tenga constancia y validar las medidas de seguridad reales sin exponer los sistemas de producción.
– Investigación de amenazas emergentes e inteligencia
El objetivo es recopilar información sobre nuevas amenazas en un entorno controlado. Cuanto más sepamos sobre el comportamiento de los atacantes y de sus técnicas, más fácil será detectarlos. Esta información puede compartirse para mejorar el conocimiento colectivo.
– Formación de equipos de respuesta
Su uso permite entrenar al personal de seguridad y poner a prueba los protocolos de respuesta ante incidentes mediante ataques reales.
BENEFICIOS DE LOS HONEYPOTS EN CIBERSEGURIDAD
Los beneficios de los honeypots son evidentes. Ayudan a abordar la necesidad actual de investigación activa de amenazas mediante la recopilación de inteligencia, y también proporcionan un medio de detección y alerta temprana de ataques. Su integración en la arquitectura de seguridad de las organizaciones lo convierte en un elemento estratégico.
RIESGOS Y CONSIDERACIONES AL DESPLEGAR HONEYPOTS
Sin embargo, también es necesario tener una serie de consideraciones y precauciones cuando se despliegan. Para que los honeypots sean efectivos deben parecer sistemas reales, ya que en caso contrario los atacantes pueden darse cuenta de la trampa. Además, si el honeypot no está bien configurado, alguien podría utilizarlo para tratar de acceder a la red interna de la organización, o como origen para lanzar ataques contra sistemas de terceros que derivaría en responsabilidades legales.
EXPERIENCIA DE ITCL CON LOS HONEYPOTS
En ITCL hemos trabajado en varios proyectos con honeypots. Por ejemplo, en el proyecto CYBERSEC cuyo objetivo fue desarrollar soluciones para proteger entornos como infraestructuras críticas. En concreto, desplegamos dos honeypots, uno simulando una infraestructura crítica de energía y otro una de transporte. Gracias a ellos fue posible identificar los activos más atractivos para los atacantes, analizar sus ataques y definir las contramedidas necesarias para mejorar la seguridad de las infraestructuras críticas reales.
Artículos relacionados
Ciberseguridad en 2025: IA, redes tensoriales y computación cuántica contra amenazas digitales
¿Cómo proteger tus dispositivos IoT de Ciberataques?
Proteger el Internet de las Cosas: Seguridad para el IoT
Ingeniero Informático. Responsable de las soluciones de Ciberseguridad dentro del Grupo de Investigación Electrónica Aplicada e Inteligencia Artificial de ITCL.
Especialista en seguridad informática para Ciberseguridad empresarial y en tecnologías avanzadas. Sus principales trabajos se centran en el diseño y el desarrollo de nuevos sistemas electrónicos de diversa aplicación industrial, basados en microcontroladores y microprocesadores, con especial relevancia en la investigación de vulnerabilidades en dispositivos IoT así como en su protección frente a ataques.