El honeypot es una de las estrategias de seguridad de la información más conocidas y eficientes para proteger un determinado sistema o aplicación. Gran parte de esto se debe a tratar directamente con el lado más emocional que racional de un atacante determinado. En su traducción literal significa tarro de miel y, de hecho, funciona como un gran atractivo para todo aquel que se cruza con él. En la práctica, un honeypot actuará atrayendo a un atacante a un lugar determinado, distrayéndolo de alcanzar el objetivo o incluso destruyéndolo en ese momento.
Con esta trampa, el objetivo es obtener información sobre quién estaría atacando el sistema, creando un mecanismo de defensa contra futuros ataques.
Para ello, el honeypot se disfrazará de archivo indefenso para atraer el ataque directamente hacia él.
Generalmente, en las grandes corporaciones, el honeypot se estructura como si fuera una base de datos personal de clientes o incluso un sistema de gestión de información financiera. Es decir, la parte más sensible de cualquier empresa.
Cuando el atacante es atraído y realmente llega al señuelo, se puede rastrear su ubicación de origen y resolver el problema. Por ser más un entorno que un sistema de acción directa, no se puede configurar ni personalizar como un firewall, por ejemplo.
Debido a que tiene esta actuación generalista, es decir, se puede aplicar en los más diversos modelos de actuación de la empresa para atraer al invasor, existen una serie de aplicaciones posibles. Sabiendo esto, los tres más comunes son:
Como dijimos, pretender ser una base de datos es una de las principales características del honeypot, por lo que está configurado para el monitoreo. Otra posible aplicación de la base de datos falsa es simular realmente el sistema original, lo que permite probar la eficacia de la red de seguridad actual. En otras palabras, el honeypot puede funcionar no solo para atraer a un atacante, sino también para probar el sistema contra ataques de Internet más tradicionales.
Es una aplicación más compleja pero extremadamente funcional para recopilar fuentes de correo electrónico peligrosas. En esta aplicación, se crea una dirección de correo electrónico solo para suscribirse y recibir buzones automáticos. Así, si alguno de ellos se identifica como spam, el remitente se incluye en la lista.
En la práctica, esta lista puede servir para bloquear correos electrónicos recibidos de proveedores oficiales, incluso reduciendo la posibilidad de que los abra otra persona que tenga acceso.
La llamada araña es un tipo de honeypot que busca principalmente encontrar rastreadores presentes en la web. Para ello, se crean y ensamblan varios enlaces y páginas específicas pensando en llegar a estos rastreadores apropiados. A su llegada, es posible recoger su origen y realizar el bloqueo inmediato.
Además de varias aplicaciones directas, el honeypot puede tener distintas intensidades, dependiendo de tus necesidades y, principalmente, del tamaño de tu base de datos. A la hora de contratar el servicio de honeypot, es importante determinar cuál de estas intensidades se adapta realmente a tu negocio.
Muchas veces, a pesar de ser mejor, la más intensa puede poner en una situación delicada a la empresa, ya que está más expuesta en la red. Por lo tanto, es importante hacer un seguimiento con profesionales especializados.
Aquí se realizan las pruebas más básicas y menos exigentes, como la prueba de conexión, evaluación de la BIOS de la máquina, etc. En este tipo, la empresa tiene muy bajo riesgo con la implementación, ya que hay pocos sistemas afectados para poner en acción. Sin embargo, de la misma forma, también es más sencillo que el atacante se dé cuenta de que está ante un honeypot y cancele el ataque.
Simula sistemas reales para evitar el acceso directo al sistema de la empresa, y es más fácil de implementar que los de alta intensidad. Además, también es ideal para quienes buscan un servicio con mayor rendimiento que los planes básicos de implementación.
El tipo de alta intensidad debe colocarse con precaución, ya que se instalan en servidores reales, con datos reales. Con esto, es importante que el proceso sea realizado por personas calificadas, para asegurar el aislamiento de su sistema durante todo el proceso. Además, la información recopilada aquí está muy bien detallada y descrita, trayendo en detalle todo lo que se encontró durante las pruebas realizadas.