¿Qué es un honeypot, qué tipos existen y qué valor le da a un equipo azul?
Respuesta breve
Un honeypot es un sistema o servicio señuelo sin uso de negocio legítimo, expuesto deliberadamente para atraer atacantes. Como nada benigno debería tocarlo nunca, cualquier interacción es una alerta de alta confianza. Los honeypots de baja interacción emulan servicios de forma barata; los de alta interacción son sistemas reales que rinden inteligencia más rica pero conllevan más riesgo. Los honeytokens son la misma idea aplicada a credenciales, archivos o registros falsos. Valor: detección temprana, pocos falsos positivos e inteligencia de amenazas.
Un honeypot le da la vuelta a la detección. En vez de intentar distinguir ataques entre montañas de tráfico legítimo, levantas algo que ningún usuario legítimo debería tocar jamás, de modo que cualquier contacto es, por definición, sospechoso. Los entrevistadores preguntan esto para ver si entiendes el engaño como estrategia de detección y sus compromisos.
Qué es
Un honeypot es un sistema, servicio o cuenta señuelo sin propósito de producción, colocado donde es probable que un atacante sondee. Como no tiene usuarios reales, casi no genera falsos positivos: un acierto significa escaneo, movimiento lateral o intrusión activa. Más allá de la alerta, captura las herramientas, técnicas e infraestructura del atacante: inteligencia de amenazas valiosa.
Tipos
- Baja interacción: emula servicios (un banner SSH falso, un «RDP» abierto) para registrar intentos de conexión. Barato, seguro, pero limitado; un atacante cuidadoso puede notar que es falso.
- Alta interacción: un sistema real, plenamente funcional. Rinde datos de comportamiento ricos pero es peligroso: si se compromete, podría usarse para pivotar, así que debe estar fuertemente aislado y monitorizado.
- Honeytokens / canarios: el concepto aplicado a datos falsos: credenciales falsas, un archivo señuelo «passwords.xlsx», una cuenta de AD falsa o una clave de API trampa. En cuanto alguien las usa, sabes que hay un intruso, a menudo dentro del entorno.
- Una red de honeypots es un honeynet.
Valor y riesgo
Fortalezas: detección temprana y de alta confianza e inteligencia. Riesgos: un honeypot de alta interacción mal aislado puede convertirse en una rampa de lanzamiento; y un honeypot solo ve a los atacantes que interactúan con él, así que complementa —nunca reemplaza— tu monitorización principal.
Por qué importa
Una buena respuesta define el concepto de señuelo, subraya la propiedad de bajo nivel de falsos positivos, distingue baja vs alta interacción y menciona los honeytokens para la detección dentro de la red, además del riesgo de aislamiento. Eso muestra que captas el engaño como una capa de defensa deliberada y de bajo ruido.
Posibles preguntas de seguimiento
- ¿Por qué un honeypot produce tan pocos falsos positivos en comparación con un IDS normal?
- ¿Qué riesgo adicional introduce un honeypot de alta interacción y cómo lo mitigas?
- ¿Cómo desplegarías un honeytoken dentro de Active Directory?