Respuesta a incidentes y análisis forense

Honeypot

Se lee en aproximadamente 3 minutos

Última actualización: 2026-01-28

Qué es un honeypot

Un honeypot es un sistema señuelo instalado intencionalmente para atraer atacantes. Se publica un servidor o servicio que no se utiliza en operaciones normales y se registra y analiza el comportamiento cuando los atacantes acceden.

Como no existe acceso legítimo a un honeypot, todo acceso puede tratarse como actividad no autorizada. Esta característica permite capturar con alta precisión técnicas de ataque desconocidas y comportamientos de reconocimiento de atacantes que son difíciles de detectar con firewalls o IDS. La información recopilada se utiliza como inteligencia de amenazas para mejorar las estrategias de defensa.

Tipos de honeypots y niveles de interacción

  • Honeypot de baja interacción: Emula servicios como SSH, HTTP y SMB, registrando IPs de origen y contraseñas de intentos de inicio de sesión. Fácil de construir y operar, adecuado para despliegue masivo para observar tendencias de ataque en Internet. Cowrie y Dionaea son herramientas representativas
  • Honeypot de alta interacción: Ejecuta un SO y aplicaciones reales, haciendo creer al atacante que es un sistema real. Puede registrar en detalle el malware subido por atacantes y las técnicas de movimiento lateral, pero existe riesgo de ser tomado por el atacante, por lo que el aislamiento de red y la monitorización son obligatorios
  • Honeynet: Configura múltiples honeypots como una red para observar el movimiento lateral de los atacantes. Imita la red interna de la organización y permite comprender los patrones de comportamiento del atacante hasta su objetivo final

Utilización como inteligencia de amenazas

Los datos obtenidos de los honeypots se convierten en inteligencia práctica que fortalece la defensa de la organización.

  • Recopilación de IPs de ataque: Registra automáticamente las direcciones IP que acceden al honeypot en la lista de bloqueo del SIEM para prevenir ataques al entorno de producción
  • Análisis de técnicas de ataque: Analiza los exploits y malware utilizados y verifica si los sistemas de la organización tienen las mismas vulnerabilidades
  • Comprensión de tendencias de credenciales: Analiza las tendencias de nombres de usuario y contraseñas probados en ataques de fuerza bruta y utilízalo para mejorar las políticas de contraseñas
  • Detección de amenazas internas: Instala honeypots en la red interna y detecta el contacto con sistemas a los que los usuarios legítimos no deberían acceder. Funciona como disparador temprano de respuesta a incidentes

Métodos de construcción y herramientas representativas

La construcción de honeypots selecciona herramientas según el propósito y la estructura operativa.

Cowrie es un honeypot de baja interacción especializado en SSH y Telnet. Registra todos los comandos ingresados por el atacante y presenta un sistema de archivos falso. Especialmente efectivo para recopilar diccionarios de contraseñas usados en ataques de fuerza bruta; tiene imagen Docker publicada y se inicia con un solo docker run.

Dionaea emula múltiples protocolos como SMB, HTTP, FTP y MSSQL, con fortaleza en la recopilación automática de malware. Guarda automáticamente los binarios enviados por atacantes y puede analizarlos en integración con servicios externos como VirusTotal.

T-Pot es una plataforma todo en uno que integra múltiples honeypots como Cowrie, Dionaea y Honeytrap. Incluye un dashboard con Elasticsearch + Kibana que visualiza en tiempo real la distribución geográfica de los orígenes de ataque y las tendencias temporales. Con solo instalar desde una imagen ISO en una VM en la nube, más de 20 tipos de honeypots funcionan simultáneamente.

Como punto clave de construcción, es indispensable colocar el honeypot en un segmento de red separado del entorno de producción y restringir estrictamente las comunicaciones salientes del honeypot. Para evitar que el atacante use el honeypot como trampolín para atacar otros sistemas, la práctica estándar es limitar las comunicaciones salientes solo al destino de transferencia de registros.

Consideraciones operativas y riesgos

La operación de honeypots requiere consideraciones no solo técnicas sino también legales y organizacionales.

Como riesgo legal, si el honeypot es usado como trampolín por un atacante, existe la posibilidad de ser responsabilizado por los ataques emitidos desde allí. En la Ley de Prohibición de Acceso No Autorizado de Japón, la instalación de honeypots en sí no es ilegal, pero es necesario aclarar previamente la relación con la Ley de Protección de Información Personal respecto al manejo de datos recopilados. Se recomienda obtener previamente la confirmación de la política de seguridad de la organización y del departamento legal.

La separación estricta de red es el requisito técnico más importante. En honeypots de alta interacción, el atacante puede obtener privilegios root, por lo que además de la separación por VLAN, se bloquea toda comunicación del segmento del honeypot al segmento de producción con reglas de firewall. En entornos de nube, crear una VPC dedicada sin configurar peering es un método seguro de aislamiento.

El riesgo de pivoteo por atacantes tampoco debe pasarse por alto. Se han reportado casos donde atacantes que toman el control de honeypots de alta interacción los usan como punto de partida para escanear otros sistemas de la organización o para ataques DDoS externos. Configura obligatoriamente monitoreo de comunicaciones salientes y alertas de volumen de tráfico anómalo.

La carga de mantenimiento también es un desafío realista. Si no se mantiene actualizado el software del honeypot, los atacantes pueden detectar que es un honeypot. Especialmente en alta interacción, se necesita continuamente aplicación de parches del SO, gestión de versiones de servicios y monitoreo de capacidad de almacenamiento de registros. Si no se puede asegurar la capacidad del equipo operativo, es realista comenzar con baja interacción y expandir gradualmente.

Conceptos erróneos comunes

Instalar un honeypot significa invitar atacantes a tu red, lo cual es peligroso
Un honeypot adecuadamente aislado está completamente separado del entorno de producción. La premisa es diseñar con reglas de VLAN y firewall que bloqueen la comunicación del honeypot al entorno de producción, impidiendo que el atacante use el honeypot como trampolín.
No se puede operar un honeypot sin un equipo de seguridad avanzado
Los honeypots de baja interacción se pueden construir en minutos con contenedores Docker, y la operación básica consiste simplemente en transferir registros al SIEM. Con plataformas todo en uno como T-Pot, se puede implementar fácilmente incluyendo el dashboard de visualización.

Diferencia entre honeypots de baja y alta interacción

Baja interacción

Solo emula servicios sin ejecutar un SO real. Fácil de construir y adecuado para despliegue masivo. Fuerte en observación de etapas iniciales de ataque (escaneo, intentos de inicio de sesión) pero no puede registrar comportamiento profundo del atacante.

Alta interacción

Ejecuta SO y aplicaciones reales. Puede registrar en detalle la instalación de malware y técnicas de escalada de privilegios del atacante, pero existe riesgo de toma de control y requiere aislamiento estricto de red y monitorización constante.

Términos relacionados

Inteligencia de amenazas La práctica de recopilar, procesar y analizar sistemáticamente información sobre… SIEM (Gestión de Información y Eventos de Seguridad) Una plataforma que agrega y correlaciona datos de registro de diversas fuentes e… Firewall Un mecanismo de seguridad ubicado en los límites de la red que inspecciona y con… Respuesta a incidentes Un proceso sistemático y estructurado para detectar, contener, erradicar y recup… Pruebas de penetración Un método proactivo de evaluación de seguridad donde profesionales autorizados s…

Artículos relacionados

Fundamentos de firewalls - Tu primera línea de defensa en la red Comprende cómo funcionan los firewalls, los diferentes tipos disponibles y estrategias prácticas de … Qué hacer tras una filtración de datos - Guía de respuesta paso a paso Aprende los pasos concretos a seguir cuando tu información personal se ve comprometida y cómo minimi…
← Glosario