Es de especial importancia para los negocios proteger sus datos, sobre todo los generados por el ecommerce, las transacciones bancarias o los servicios virtuales. Las herramientas clásicas de seguridad informática para las empresas, como los antivirus, cortafuegos y sistemas de detección de intrusos (IDS), se están quedando cortos ante el crecimiento de la web.
Además, los ciberatacantes encuentran cada vez nuevas formas de infiltrarse en los sitios web, aprovechando el menor descuido, como una desactualización, una contraseña débil o fallos en el sistema. Sin embargo, para dar solución a esto tenemos el honeypot. Acompáñanos a conocer todos los detalles para que lo implementes en tu sitio web.
¿Qué es un honeypot?
Un honeypot es un recurso de la red que crea un sistema web falso o señuelos (honeytokens) para detectar malwares o intrusos que pretendan atacar. Es una herramienta de seguridad web, su objetivo es atraer ciberataques para analizar su origen y comportamiento; luego, con base en ello, reforzar su protección.
El término viene del inglés y significa «tarro de miel», que alude a algo irresistible para las personas, por lo que representa una tentación innegable. Dentro de la informática, es el sistema que funciona como anzuelo para detectar los intentos de hackeo que puede sufrir cualquier tipo de entorno web, especialmente si es el de tu empresa o negocio.
Aunque parezca contradictorio, un honeypot abre la puerta a los intrusos y hackers para que ejecuten comandos en su contra. Pero lo hace en un espacio que ha sido condicionado y limitado previamente, donde existe la opción de restringir el acceso y detener el ataque en cualquier momento.
¿Para qué sirven los honeypots a la ciberseguridad empresarial?
Como empresario es de vital importancia que observes las acciones que los intrusos pretenden realizar en tu honeypot, porque te sirven como retroalimentación para conseguir una ciberseguridad más efectiva que no ponga en peligro tu información más valiosa.
Un honeypot tiene que contar con un diseño y funcionamiento que imite a la perfección el sitio web real de la empresa, ya que el objetivo es engañar a los ciberatacantes y hacerles creer que es el sitio original. Solo si esto se logra y los datos falsos ofrecidos son lo suficientemente atractivos, empezará la interrupción del sistema.
La función básica del honeypot cibernético es la de notificar cuando se esté efectuando un ataque en el sitio web o en alguno de sus archivos. Sus tareas van desde lo más simple hasta lo más complejo, como veremos a continuación.
- Informa sobre el origen: es capaz de detectar el país y la ciudad de donde viene el ataque, así como la hora y la fecha exactas.
- Señala el tipo de dispositivo y sistema operativo: especifica si se trata de una computadora de escritorio, una laptop, una tablet o un móvil. Además de detallar si es un sistema Windows, Mac, Linux, Android, entre otros.
- Determina el tipo de amenaza: identifica los comandos o el tipo de malware que se intenta ejecutar y cuán potencialmente peligroso es.
- Sigue el comportamiento del ciberatacante: permite observar cada una de las acciones que el hacker realiza y estudiar el orden de sus pasos.
- Identifica el objetivo del ataque: con la información que recopila del ciberataque, es capaz de reconocer patrones y cuál es la meta del intruso.
- Ralentiza el ataque: no frena las acciones del ataque como tal, pero sí es capaz de proporcionar el tiempo a los administradores para responder o defender el sitio.
¿Qué es un honeytoken y cómo lo usan las compañías?
Anteriormente mencionamos la palabra «anzuelo»; en términos informáticos esto es un honeytoken, es decir: un archivo, texto, URL o datos confidenciales que representan información valiosa para una compañía. Con este elemento se busca llamar la atención de los ciberatacantes para que se trasladen al honeypot.
Los tipos de honeytoken son diversos, puede ser un documento de word, un número de tarjeta de crédito, un programa, una hoja de cálculo, un enlace, un correo electrónico, una base de datos, un archivo de voz, entre otros elementos.
En el caso de los negocios, sus sistemas de cobro o de facturación son los que más sufren atentados, por lo que un ejemplo sería la creación de un número de tarjeta de crédito falso que esté oculto en las páginas web. Como es ficticio, se evidenciará que quien lo encuentre o use es un intruso o ciberatacante.
Otro ejemplo es cuando una empresa coloca un correo electrónico falso dentro de una base de datos de modo aleatorio. Dado que esa dirección tampoco existe, cuando esta recibe algún mail significa que el emisario es un spammer, es decir, alguien que se dedica a robar bases de datos y a enviar correos no deseados para atentar contra la seguridad web.
4 ejemplos de honeypots
Existen cuatro grandes grupos de honeypots, los cuales dependen de los elementos informáticos en los que se especializan.
El honeypot HTTP se dedica a hacer páginas web, aplicaciones e interfaces de programación de aplicación (API) idénticos a los originales para recibir a los ciberatacantes. En ellas se vulneran a propósito los puertos, contraseñas y demás accesos para que sean fácilmente objeto de malware. Entre los programas de honeypot para aplicaciones web tienes el Nodepot, Glastopf o Google Hack Honeypot.
El honeypot spider consiste en crear sitios web, enlaces o archivos falsos que solo puedan ser rastreables con los software que utilizan los ciberatacantes o hackers, por lo que un usuario normal no puede acceder a ellos por medios manuales o comunes. Para crear tu sistema web falso puedes recurrir a programas con protocolo SSH como lo son Kippo, Cowrie o Blacknet.
El honeypot de base de datos es especialista en crear bases de datos falsas, dado que son el objetivo de un gran número de ciberdelincuentes que buscan datos de contacto y de cuentas bancarias. Con este tipo de honeypot puedes analizar cómo mejorar la seguridad de tus bases de datos. Hazlo posible con software basados en SQL como ElasticHoney, HoneyMysql o MongoDB-HoneyProxy.
El honeypot de correo electrónico se encarga de crear una o varias direcciones de mail falsas que pueden agregarse a listas públicas de contactos o sitios donde los spammers suelen infiltrar bases de datos para enviar correos no deseados. Esta es una forma de identificar a los ciberatacantes, bloquearlos y colocarlos en una lista negra. Algunos software que te ayudarán en este proceso son SpamHat, Honeymail o Mailoney.
También existen software que combinan varios tipos de honeypot, por ejemplo, T-Pop o FaPro.
¿Cómo usar un honeypot para la seguridad informática de tu negocio?
1. Elige un honeypot en función de tus prioridades
Conforme al rubro que se dedique tu empresa determina dónde es posible que la seguridad de tus datos web sea más vulnerable. Por ejemplo, los bancos se enfocan en proteger sus bases de datos de cuentas bancarias, el área de marketing asegura los datos de sus clientes, instituciones educativas sus correos electrónicos o grandes marcas cuidan que sus páginas web no sean hackeadas.
Recuerda que puedes elegir un software que cubra varios tipos de honeypot como el correo electrónico, páginas web, bases de datos o sitios web falsos.
![<< Descubre cómo proteger la seguridad web de tu empresa .[Guía gratis] >>](https://no-cache.hubspot.com/cta/default/53/d5e771e2-b59c-41b7-924a-2608c1ddd4eb.png){kind=small}
2. Realiza un presupuesto de ciberseguridad
Los honeypots son una medida de seguridad web con precios muy accesibles. Su tasa de error de detección de intrusos es bastante baja y son fáciles de mantener, debido a que tampoco generan mucho tráfico. De acuerdo con tu presupuesto tienes la opción de seleccionar entre un honeypot de baja interacción o uno de alta interacción.
Honeypot de baja interacción
Se caracteriza por brindar datos básicos de un ataque cibernético como alerta en tiempo real, hora y fecha, ubicación del IP, tipo de dispositivo y, en algunos casos, sistema operativo. Es recomendado para pequeños y medianos negocios.
La ventaja es que son de fácil configuración y de muy bajo costo, incluso hay software gratuitos y de código abierto; su desventaja es que solo son informativos y los ciberatacantes los detectan de modo muy sencillo.
Honeypot de alta interacción
Es aquel que realiza una investigación más profunda del ataque. Además de los datos básicos del anterior, es capaz de identificar el nivel de riesgo de la amenaza, seguir las acciones del hacker para descifrar su objetivo de interés, incluso algunos ayudan a alentar el ataque. Se aconseja para medianas y grandes empresas.
Su ventaja es que obtienes datos muy relevantes para reforzar tu ciberseguridad y son más difíciles de descubrir por los ciberatacantes; la desventaja es que requieres más recursos monetarios, especialistas y hardware para su mantenimiento.
3. Trabaja con expertos en ciberseguridad
Uno de los mayores riesgos a los que se enfrenta un honeypot es que el ciberatacante descubra que se trata de una trampa, por lo que tomará medidas en el asunto y si, es lo suficientemente ágil, podría burlar tu sistema. Por eso es vital que los administradores de tu honeypot sean especialistas en seguridad web y sean capaces de responder a posibles fallos o ataques.
4. No dejes de lado otros programas de seguridad web
Además de tu honeypot, es indispensable que no dejes de implementar otras técnicas de seguridad en tu web, como lo son la denegación de servicio DoS o DDoS, cortafuegos, programas antivirus o sistemas de detección de intrusos (IDS). Complementa bien tu protección con varias de estas herramientas.
Hasta aquí llegamos con todo lo esencial del honeypot. Esperamos que te sea de ayuda para reforzar al máximo la seguridad del sitio web de tu empresa.
