Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Carlos Rosado Moral, Auditor de Seguridad en PwC

'Honeypot', una trampa para los malos

El uso cada vez mayor de las tecnologías de la información en todo tipo de plataformas y disciplinas hace que se exijan nuevos objetivos, lo que origina nuevos retos también en el ámbito de la seguridad informática.

Las nuevas amenazas representan un riesgo cada vez más constante en la línea de negocios de las organizaciones, ya que la información ha dejado de reflejarse exclusivamente en papel para estar presente en cualquier tipo de dispositivo de almacenamiento, como USB, CD, DVD, en la Red, etc.

Esto motiva que la informática forense deba adaptarse e ir evolucionando a la vez que los delitos cometidos en este tipo de plataformas. La informática forense requiere medios que permitan mantener un proceso de investigación que de solución a los nuevos retos. Pero cabe destacar que no siempre los casos a los cuales se enfrenta el investigador son iguales. Además, una investigación se complica cuando no se tiene el suficiente conocimiento para poder manejar y concluir el caso.

En todo este contexto, una de las principales herramientas que pueden ayudar a mejorar las investigaciones son los honeypot.

honeypot
Los honeypot actúan de ‘gancho’ para que el atacante piense que su intrusión ha sido un éxito, pero en realidad está vigilado.

¿Qué es un ‘honeypot’? 

Un honeypot es un recurso flexible de seguridad informática cuyo valor se basa en que éste sea comprometido, atacado y probado, con el fin de aportar información al investigador forense. Teniendo en cuenta esta definición, podemos ver que el honeypot no es una herramienta que mitigue el riesgo o forme parte de la defensa, sino que realiza un análisis forense de los ataques recibidos en un dispositivo o red.

Funcionamiento

Un honeypot puede ser tan simple como un ordenador que ejecuta un programa, que analiza el tráfico que entra y sale del aparato hacia Internet, ‘escuchando’ cualquier número de puertos. El procedimiento consiste en mantener una debilidad o vulnerabilidad en un programa, sistema operativo, protocolo o en cualquier otro elemento del equipo susceptible de ser atacado y que, por lo tanto, motive al atacante a utilizarlo, de tal forma que se muestre dispuesto a emplear todas sus habilidades para explotar dicha debilidad y obtener el acceso al sistema. 

Frenar un ataque

Debemos tener en cuenta los enormes peligros que entraña permitir a un atacante proseguir con sus actividades una vez que ha conseguido entrar en el sistema. Por muy controladas que tengamos sus acciones, nada puede evitar que en cualquier momento esa persona se sienta vigilada u observada, se ponga nerviosa y destruya datos o se haga con el comportamiento de la máquina. 

Una forma de monitorizar dicha preocupación sin comprometer excesivamente la integridad de nuestro sistema expuesto es el uso de honeypot. La idea es construir un sistema que simule ser real, pero donde los datos expuestos no son de relevancia. De ese modo se permite al atacante revisar o incluso manipular la información sin poner en peligro los datos importantes.Para ello se utiliza una máquina denominada “trampa”, que es sobre la que trabaja realmente el atacante y de la que podemos obtener la información necesaria sobre éste sin que se percate nuestra presencia. Así se consigue que el atacante piense que su intrusión ha sido un éxito y continúe con ella, mientras nosotros, por otro lado, la estamos monitorizando a la vez que recopilamos información sobre sus movimientos y su manera de actuar.  

Palabras clave:

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual