El mundo de la ciberseguridad se basa, a menudo, en levantar muros: el famoso cortafuegos (firewall), los sistemas de detección de intrusiones (Intrusion Detection Systems – IDS), y un sinfín de capas que buscan que el atacante no entre.
Pero seamos sinceros: el atacante siempre encuentra un resquicio, porque la superficie de ataque (attack surface) siempre es más grande de lo que quisiéramos.
Ahí es donde entra el honeypot (literalmente, «tarro de miel»). En lugar de impedir el ataque, lo que hacemos es atraerlo. Es como si tu banco, en lugar de blindar la cámara acorazada, dejase una caja fuerte con un cartel que dice «¡DINERO FÁCIL!» en el vestíbulo, pero esa caja es, en realidad, una jaula de cristal.
El objetivo no es proteger, sino engañar, observar y aprender. Porque claro, mientras el atacante pierde el tiempo con tu señuelo, no lo está perdiendo con tus sistemas de producción, que son los que importan de verdad.
Honeypots: El Cebo Simple pero Efectivo
Un honeypot es un recurso de sistema informático (un servidor, una aplicación, una base de datos) que está diseñado para ser atacado. Parece un sistema real, tiene servicios abiertos, incluso puede tener datos falsos y jugosos. Pero en realidad, es un sistema aislado y monitorizado al milímetro.
Existen dos tipos principales de honeypots:
1. Honeypots de Baja Interacción (Low-Interaction Honeypots)
Estos son los más sencillos de configurar. Simulan solo algunos servicios de red (como un puerto SSH o un servidor web HTTP básico).
- Ventaja: Son muy fáciles de mantener y el riesgo de que el atacante «salte» del honeypot a la red real es prácticamente nulo.
- Desventaja: El atacante, si es medianamente bueno, se dará cuenta rápido de que está ante un sistema limitado. Solo capturan ataques automatizados o scripts poco sofisticados.
2. Honeypots de Alta Interacción (High-Interaction Honeypots)
Aquí la cosa se pone interesante. Son sistemas operativos completos, con todas sus aplicaciones, que imitan casi a la perfección a un servidor de producción. Si el atacante consigue acceder, puede interactuar con el sistema como si fuera real.
- Ventaja: Capturan ataques dirigidos y sofisticados. Permiten obtener la máxima información sobre las herramientas, tácticas y procedimientos (Tactics, Techniques, and Procedures – TTPs) del adversario.
- Desventaja: El riesgo es mayor. Requieren un aislamiento extremo, ya que un atacante inteligente podría usar este sistema para pivotar hacia la red real. Hay que tratarlos como si fueran de plutonio.
Honeynets: Cuando un Cebo se Queda Corto
Si un honeypot es una sola trampa, una Honeynet es una red entera de sistemas de cebo. Es una arquitectura de red virtual que contiene múltiples honeypots y otros sistemas de simulación, todo diseñado para parecer un segmento de red corporativo real y muy apetecible.
Piensa en una Honeynet como un parque temático de vulnerabilidades donde el atacante tiene barra libre de servicios, servidores, y, por supuesto, sistemas de vigilancia que graban cada uno de sus movimientos.
El valor de una Honeynet radica en que permite a los defensores (tú y tu equipo):
- Observar el movimiento lateral (lateral movement): Ver cómo se mueve el atacante entre los sistemas falsos.
- Recoger TTPs: Entender qué herramientas usa, qué exploits intenta, y cómo intenta escalar privilegios (escalation of privileges).
- Probar defensas: Usar los datos de la Honeynet para mejorar los sistemas de detección reales.
¡Ojo! La clave de la Honeynet es el aislamiento (isolation). Se utiliza un sistema de control de tráfico de red (network traffic control), a menudo un cortafuegos o gateway dedicado, para asegurar que el atacante solo pueda comunicarse con los honeypots y nunca con la infraestructura real de la empresa.
Honeytokens: El Migajón de Pan Digital
Si los honeypots son servidores enteros, los honeytokens (o tokens de miel) son pedacitos de información falsa que se «siembran» en sistemas reales, donde el atacante los encontraría fácilmente, pero que no tienen ningún valor real para la empresa.
Son el equivalente digital a dejar un billete de 5 euros con un rastreador GPS pegado.
¿Qué puede ser un Honeytoken?
- Credenciales falsas: Un nombre de usuario y una contraseña de una cuenta de administrador que solo funciona en el honeypot o que genera una alerta inmediata al ser usada.
- Claves API falsas: Una clave de acceso a un servicio cloud que está revocada o no tiene permisos.
- Archivos «sensibles»: Un documento llamado
Passwords_de_Produccion.txtcon contenido aleatorio y cifrado que, al ser abierto o movido, notifica al equipo de seguridad.
Cuando un atacante accede a un sistema real y roba, copia o usa un honeytoken, el sistema de seguridad lo detecta instantáneamente. Esto proporciona una detección temprana (early detection) y una alerta de compromiso (compromise alert) de alta fidelidad, indicando que hay un atacante en la red antes de que llegue a los datos críticos.
Honeyfiles: El documento falso que grita
Ya hablamos de los honeytokens como pequeños fragmentos de datos, como credenciales o claves API. Ahora, hablemos de su primo más voluminoso y contextual: el honeyfile (o archivo de miel).
Un honeyfile es, simplemente, un documento señuelo que parece legítimo y crucial, pero cuyo único propósito es detectar y rastrear accesos no autorizados. A diferencia de un honeytoken que puede ser una simple cadena de texto, el honeyfile tiene la apariencia completa de un archivo sensible: puede ser un PDF, un Excel con la supuesta «Lista de Sueldos 2026», o un documento Word llamado «Estrategia de Adquisición Secreta».
El truco de estos documentos no está en lo que contienen (que es paja sin valor), sino en su tecnología de rastreo (tracking technology).
Aquí están las dos formas más comunes de que te delate:
- Imágenes Web o Píxeles de Rastreo (Web Bugs/Tracking Pixels): El método más clásico. Dentro del documento (especialmente en PDF y Word), se incrusta un enlace a una imagen invisible de 1×1 píxel que está alojada en un servidor bajo tu control.
- La traición: Cuando el atacante abre el archivo y el lector de documentos intenta cargar esa imagen externa (algo común), tu servidor registra la solicitud. En el log verás la dirección IP, la marca de tiempo y, a veces, hasta el sistema operativo del atacante. ¡Bingo!
- Scripts o Macros (Scripts/Macros): En archivos como Excel o Word, se puede incrustar un script discreto que, al ejecutarse (si las macros están habilitadas, cosa que un atacante podría forzar), realiza una conexión saliente al servidor de alerta.
Si un atacante tiene la poca delicadeza de descargar y abrir tu archivo de «Nóminas confidenciales» y su herramienta intenta descargar un píxel de rastreo, sabes que estás tratando con alguien que no es precisamente el Lazarillo de Tormes de la ciberseguridad.
Honeyfile, caso de Uso: Dispersión Estratégica
Los honeyfiles se suelen dispersar en directorios que serían el objetivo lógico de un atacante, como carpetas de recursos compartidos (shared drives), repositorios de código (code repositories) o cerca de archivos de configuración.
Son una herramienta excelente para detectar:
- Rastreo Automatizado: Bots o scripts que escanean el sistema de archivos buscando términos clave.
- Exfiltración de Datos (Data Exfiltration): Si el honeyfile se mueve fuera de la red (a un staging server del atacante o un USB), se activa la alarma, dándote una ventana de oportunidad para responder.
En resumen, si el honeypot atrae al intruso a una habitación falsa, el honeyfile es la nota que el intruso se lleva pensando que es valiosa, ¡cuando en realidad es un chivato digital!
Checklist de Buenas Prácticas: No te Conviertas en el Cebo
Si vas a montar un honeypot, hazlo bien. Un honeypot mal configurado puede ser un peligro, no una solución. Puede ser tan terrible y tener consecuencias tan desastrosas como hacer una tortilla de patata sin saber freír un huevo. Avisad@s estais.
| Aspecto | Acción Recomendada | Por Qué |
| Aislamiento (Isolation) | Usa redes virtuales (VLANs) o máquinas virtuales (VMs) y reglas de firewall estrictas. | Si el atacante salta a tu red de producción, la broma ya no tiene gracia. |
| Monitorización | Loggea (log) absolutamente todo. Cada paquete, cada tecla pulsada. | La miel no sirve de nada si no la analizas. Es tu inteligencia de amenazas (Threat Intelligence). |
| Apariencia | El honeypot debe parecer real, pero abandonado. Que parezca un servidor antiguo que se les olvidó parchear. | Un sistema demasiado perfecto levanta sospechas. Lo sucio es creíble. |
| Ubicación | Colócalos donde un atacante buscaría primero: la zona desmilitarizada (DMZ), o cerca de servidores críticos. | Si lo escondes demasiado, nadie lo encontrará. |
| Honeytokens | Colócalos en bases de datos, buckets de S3 o directorios de configuración de aplicaciones reales. | Confunde al atacante en la fase de reconocimiento (reconnaissance). |
Conclusión: La Mejor Defensa puede ser una buena emboscada
Los honeypots, honeynets y honeytokens transforman la ciberseguridad de un simple juego de defensa a una estrategia proactiva de contrainteligencia. Dejas de solo reaccionar para empezar a aprender de tus atacantes en un entorno seguro y controlado.
En definitiva, esta triada de trampas te permite convertir a los hackers en colaboradores no remunerados de tu inteligencia de amenazas. Y lo mejor de todo es que, cuando caen, el único dolor de cabeza lo tienen ellos, preguntándose por qué ese servidor era tan fácil de romper… Exacto, porque estaba diseñado para eso.
Ahora ya sabes: si ves un tarro de miel en medio del bosque digital, probablemente es una trampa. Y si estás de este lado, ¡a disfrutar de la telemetría!
