¿Qué es un honeypot?

Al igual que los osos con la miel, los hackers siempre están ansiosos por encontrar se­r­vi­do­res que no estén lo su­fi­cie­n­te­me­n­te pro­te­gi­dos. Tanto es así que la metáfora del bote de miel sirve para describir el afán de unos y otros. En términos in­fo­r­má­ti­cos, un honeypot es un mecanismo de seguridad con el que los ad­mi­ni­s­tra­do­res engañan a los hackers y los ci­ber­ata­ques se realizan en vano. Un bote de miel de tales ca­ra­c­te­rí­s­ti­cas simula servicios de red o programas de apli­ca­ción que permiten atraer a los atacantes y proteger el sistema pro­du­c­ti­vo ante posibles daños. En la práctica, los usuarios hacen acopio de te­c­no­lo­gías del lado del servidor o del cliente para crear honeypots.

• Creación de honeypots del lado del servidor: la idea básica de un honeypot en el lado del servidor es atraer a los atacantes a ámbitos aislados de un sistema in­fo­r­má­ti­co y ma­n­te­ne­r­los alejados, así, de co­m­po­ne­n­tes de red críticos. Asimismo, los honeypots ofrecen la po­si­bi­li­dad de seguir la pista a la manera de proceder de los atacantes. Para ello, un honeypot sencillo simula una apli­ca­ción de servidor que facilita uno o varios servicios en red, por ejemplo un servidor web. Si una maniobra de esta índole es capaz de captar la atención de un atacante y este da señales de poder llevar a cabo un intento de robo, el honeypot registra dichas ac­ti­vi­da­des, da la alarma de aviso o toma las medidas ne­ce­sa­rias. En el mejor de los casos, un servidor honeypot entrega datos relativos a cómo pueden tener lugar ataques au­to­ma­ti­za­dos o manuales. En este sentido, los ad­mi­ni­s­tra­do­res reciben in­fo­r­ma­ción que les permite proteger mejor el sistema pro­du­c­ti­vo frente a los ataques futuros.

• Creación de honeypots en el lado del cliente: un honeypot del lado del cliente imita a un software de apli­ca­ción que hace uso de servicios en el servidor. El ejemplo clásico es la si­mu­la­ción de un navegador que visita páginas web poco seguras para recopilar datos sobre  los riesgos para la seguridad. Si se produce un ataque al navegador o a los plugins del mismo en una de las páginas an­te­rio­res, se pro­to­co­li­za dicho aco­n­te­ci­mie­n­to y la eva­lua­ción de los datos emitidos sirve para mejorar el software de si­mu­la­ción.

Los centros de in­ve­s­ti­ga­ción, las ad­mi­ni­s­tra­cio­nes y el ejército utilizan los honeypots de in­ve­s­ti­ga­ción para recopilar in­fo­r­ma­ción sobre nuevas mo­da­li­da­des de ataque y para que la comunidad de Internet pueda acceder a ellos. En las empresas se aplican me­ca­ni­s­mos de seguridad de esta índole para proteger las redes co­r­po­ra­ti­vas, para lo que los ad­mi­ni­s­tra­do­res instalan los llamados honeypots de pro­du­c­ción en ámbitos de red que en fu­n­cio­na­mie­n­to normal no se so­li­ci­ta­rían ni pondrían servicios a di­s­po­si­ción de clientes o empleados. El objetivo es, pues, atraer a los atacantes que examinan la red en busca de puntos débiles a través de brechas de seguridad ficticias en ámbitos ino­fe­n­si­vos. Cada acceso a un sistema no­r­ma­l­me­n­te des­apro­ve­cha­do será ca­li­fi­ca­do, vigilado y analizado como ataque.

En caso de recurrir a más de un “bote de miel” para simular una red en su totalidad y para ofrecer a los hackers un objetivo muy atractivo, se puede hablar de una honeynet.

Para crear un honeypot, los ad­mi­ni­s­tra­do­res pueden recurrir bá­si­ca­me­n­te a dos po­si­bi­li­da­des:           o bien se lleva a cabo como un sistema físico o se im­ple­me­n­ta en base a un software de vi­r­tua­li­za­ción.

• Honeypot físico: un honeypot físico es un ordenador in­de­pe­n­die­n­te que se integra en una red con una dirección propia.

• Honeypot virtual: un honeypot virtual es un sistema lógico que a través de un software de vi­r­tua­li­za­ción recibe recursos de asi­g­na­ción de un ordenador físico.

Tanto en un caso como en el otro, el honeypot está aislado y resulta imposible para los atacantes acceder al sistema pro­du­c­ti­vo desde el sistema que sirve para de­s­pi­s­tar­les.

El objetivo del honeypot es pasar des­ape­r­ci­bi­do. Cuanto más tiempo se pueda engañar a un atacante, más in­fo­r­ma­ción podrá recopilar el sistema sobre su es­tra­te­gia y sus métodos. Uno de los criterios más re­le­va­n­tes para la cla­si­fi­ca­ción de los honeypots es el grado de in­ter­ac­ti­vi­dad con el atacante. En cuanto a esta relación se puede di­fe­re­n­ciar, tanto de la parte del servidor como de la del cliente, entre honeypots de baja in­ter­ac­ción y honeypots de alta in­ter­ac­ción.

• Honeypots de baja in­ter­ac­ción: los honeypots que tienen un grado bajo de in­ter­ac­ti­vi­dad se basan fu­n­da­me­n­ta­l­me­n­te en la imitación de sistemas o apli­ca­cio­nes reales. Los servicios y las funciones solo se simularán en la medida que hagan posible un ataque.

• Honeypots de alta in­ter­ac­ción: los honeypots con un grado elevado de in­ter­ac­ti­vi­dad son, en general, sistemas reales que ofrecen los servicios de un servidor, de ahí que se tengan que su­pe­r­vi­sar y proteger co­rre­c­ta­me­n­te. Si un honeypot de alta in­ter­ac­ción no está bien protegido por parte del sistema pro­du­c­ti­vo, se puede plantear el riesgo de que un atacante acceda a él para in­fi­l­trar­se en el sistema que se ha de proteger o que a partir de este lleve a cabo sus ataques en otro servidor de la red.

Bá­si­ca­me­n­te, la forma más simple de un honeypot del lado del servidor consiste en una apli­ca­ción in­di­vi­dual que emula, es decir, que imita los servicios de red, entre los que se incluyen la conexión. Puesto que esta modalidad de creación de honeypots ofrece po­si­bi­li­da­des de in­ter­ac­ción limitadas a los atacantes, la in­fo­r­ma­ción obtenida por medio de un honeypot de baja in­ter­ac­ción del lado del servidor es algo escasa. Los hackers pueden descubrir con rapidez los honeypots del lado del servidor con una in­ter­ac­ti­vi­dad limitada. Es por esto que este tipo de me­ca­ni­s­mos de seguridad se utilizan sobre todo para descubrir y pro­to­co­li­zar ataques au­to­ma­ti­za­dos basados en malware. Una conocida solución de código abierto con la que se pueden crear honeypots de baja in­ter­ac­ción del lado del servidor es Honeyd.

• Honeyd: el software Honeyd, publicado bajo la licencia GNU Public License (GPL), permite a los ad­mi­ni­s­tra­do­res crear diversos hosts virtuales en una red de or­de­na­do­res, los cuales pueden co­n­fi­gu­rar­se de tal modo que re­pro­du­z­can di­fe­re­n­tes tipos de se­r­vi­do­res que permiten simular un sistema en su totalidad e incluso la pila de pro­to­co­los TCP/IP. Sin embargo, el software es co­n­si­de­ra­do como honeypot de baja in­ter­ac­ción. La razón para ello reside en el hecho de que Honeyd no es capaz de simular todos los pa­rá­me­tros de sistema, de modo que ofrece un nivel bajo de in­ter­ac­ción y puede ser detectado por los hackers con facilidad. El software no ha ex­pe­ri­me­n­ta­do ningún cambio visible desde 2008.

Los honeypots de baja in­ter­ac­ción del lado del cliente (también llamados ho­ne­y­clie­nts) son programas con los que se pueden emular di­fe­re­n­tes na­ve­ga­do­res. Con ellos, los usuarios tienen la po­si­bi­li­dad de visitar páginas web y de registrar ataques en los na­ve­ga­do­res web simulados. Algunos de los ho­ne­y­clie­nts de código abierto que ofrecen una in­ter­ac­ti­vi­dad baja son HoneyC, Monkey-Spider y PhoneyC.

• HoneyC: el ho­ne­y­clie­nt de baja in­ter­ac­ción HoneyC permite a sus usuarios ide­n­ti­fi­car se­r­vi­do­res pe­li­gro­sos en Internet. En lugar de un sistema operativo funcional y de un software de cliente, en HoneyC se puede hablar de un cliente emulado que analiza las re­s­pue­s­tas del servidor en busca de co­n­te­ni­dos dañinos. Bá­si­ca­me­n­te, el software está formado por tres co­m­po­ne­n­tes: el visitor engine es el re­s­po­n­sa­ble de la in­ter­ac­ción con el servidor y emula diversos na­ve­ga­do­res web a través de di­fe­re­n­tes módulos. El análisis de la in­ter­ac­ción con un servidor web tiene lugar por medio del analyse engine, que tras cada visita comprueba si se han in­fri­n­gi­do las normas de seguridad del software.
• Monkey-Spider: el Monkey-Spider es un ra­s­trea­dor web que se puede utilizar como honeypot de baja in­ter­ac­ción del lado del cliente. Para ello, el software rastrea páginas web en busca de código malicioso que pueda suponer una amenaza para el navegador web.
• PhoneyC: PhoneyC es un ho­ne­y­clie­nt escrito en Python con el que se pueden imitar diversos na­ve­ga­do­res web para analizar las páginas web en busca de co­n­te­ni­dos ma­li­cio­sos. El software tiene la capacidad de procesar lenguajes de pro­gra­ma­ción como Ja­va­S­cri­pt o VBScript y soporta funciones de “deo­b­fu­s­ca­tion”, es decir, de convertir programas complejos en programas sencillos para des­en­ma­ra­ñar el código dañino. Además, PhoneyC también soporta diversos métodos para analizar páginas web, como por ejemplo el software antivirus de código abierto ClamAV.

Los ad­mi­ni­s­tra­do­res que quieran es­ta­ble­cer “botes de miel” del lado del servidor y con muchas po­si­bi­li­da­des de in­ter­ac­ción recurren, por lo general, a se­r­vi­do­res con una amplia fu­n­cio­na­li­dad que se crean en calidad de sistemas que sirven para desviar la atención y que pueden llevarse a cabo en sistemas de hardware au­té­n­ti­cos o en entornos virtuales. Mientras que los honeypots de baja in­ter­ac­ción son aptos para ide­n­ti­fi­car y analizar ataques au­to­má­ti­cos, los honeypots de alta in­ter­ac­ción se centran en los ataques llevados a cabo ma­nua­l­me­n­te.

Los honeypots del lado del servidor resultan es­pe­cia­l­me­n­te pro­me­te­do­res cuando se plantea a los hackers un ataque con un grado elevado de in­ter­ac­ti­vi­dad. Los esfuerzos empleados en crear y su­pe­r­vi­sar un honeypot de esta índole son muy su­pe­rio­res a los de las so­lu­cio­nes de software sencillas, que tan solo imitan las funciones de los se­r­vi­do­res. Cuando un servidor real entra en juego como honeypot, se plantea el peligro de que un atacante utilice el sistema in­fi­l­tra­do tras un robo exitoso como punto de partida para otros ataques en otros se­r­vi­do­res de Internet. Es posible que esto acarree co­n­se­cue­n­cias jurídicas, ya que el gestor del servidor se hace cargo de la totalidad de las ac­ti­vi­da­des que se basan en él.

Para su­pe­r­vi­sar los ataques de hackers que tienen lugar en un servidor es­ta­ble­ci­do como honeypot se puede recurrir a he­rra­mie­n­tas de mo­ni­to­ri­za­ción es­pe­cia­les como Sebek, de libre di­s­po­si­ción. Un entorno de honeypot de alta in­ter­ac­ción puede llevarse a cabo con el software Argos.

• Sebek: esta he­rra­mie­n­ta de recogida de datos se utiliza en honeypots muy in­ter­ac­ti­vos para controlar a los hackers y recopilar datos sobre las ac­ti­vi­da­des que ponen en juego la seguridad. En cuanto a su es­tru­c­tu­ra básica, el software está formado por dos co­m­po­ne­n­tes: el cliente se ejecuta en el honeypot y este registra las acciones llevadas a cabo por los hackers en su totalidad, como entradas de datos, subidas de datos o co­n­tra­se­ñas, y las transmite a un servidor de protocolo que puede funcionar en un sistema in­de­pe­n­die­n­te.

• Argos: este entorno de honeypot de alta in­ter­ac­ción se basa en un emulador de hardware QEMU mo­di­fi­ca­do. El software soporta diversos sistemas ope­ra­ti­vos huésped que se ejecutan en una máquina virtual y que re­pre­se­n­tan al honeypot. Para reconocer y pro­to­co­li­zar los ataques, Argus es capaz de funcionar sin ningún software de mo­ni­to­ri­za­ción adicional. El tráfico entrante que llega al honeypot a través de la tarjeta de red será su­pe­r­vi­sa­do y recibirá la de­no­mi­na­ción de “manchado” (tainted). Lo mismo se aplica a aquella in­fo­r­ma­ción que se genera a partir de datos de este tipo. Debido a los esfuerzos adi­cio­na­les empleados para la emulación del sistema operativo y para el análisis de datos, Argos es no­ta­ble­me­n­te más lento que los sistemas pro­du­c­ti­vos en hardware de ca­ra­c­te­rí­s­ti­cas equi­pa­ra­bles.

Los honeypots de alta in­ter­ac­ción del lado del cliente son so­lu­cio­nes de software que se ejecutan en sistemas ope­ra­ti­vos reales y que se utilizan en na­ve­ga­do­res web normales para registrar ataques pro­ce­de­n­tes de se­r­vi­do­res de Internet. Algunas de las he­rra­mie­n­tas más populares a este respecto son Capture-HPC y mapWOC.

• Capture-HPC: este honeypot cliente de alta in­ter­ac­ción emplea una ar­qui­te­c­tu­ra cliente-servidor en la que un servidor establece las páginas que se tienen que visitar y controla los di­fe­re­n­tes clientes. Estos se encargan de acceder a las páginas y devuelven los datos de los re­su­l­ta­dos al servidor. Entre ellos se en­cue­n­tran na­ve­ga­do­res web, apli­ca­cio­nes de Office, lectores de PDF o re­pro­du­c­to­res Media Player.
• mapWOC: el software libre mapWOC (abre­via­tu­ra de Massive automated passive web ob­se­r­va­tion center) también permite cargar páginas web con na­ve­ga­do­res reales. Estos se ejecutan en una máquina virtual cuyo tráfico de datos con los clientes está su­pe­r­vi­sa­do de manera continua para registrar y analizar ataques como los Drive by Download. Los co­m­po­ne­n­tes básicos de mapWOC son el sistema host Debian Squeeze, KVM para la vi­r­tua­li­za­ción y ClamAV para comprobar si hay malware.

Los honeypots se suelen utilizar como co­m­ple­me­n­tos para otros co­m­po­ne­n­tes de seguridad in­fo­r­má­ti­ca como el sistema de detección de intrusos (IDS, Intrusion Detection System) y los co­r­ta­fue­gos o firewalls y ofrece una función de control adicional. Una de las pri­n­ci­pa­les ventajas de estos sistemas es que se pueden obtener datos muy re­le­va­n­tes. Ya que los honeypots no se hacen cargo, en co­n­di­cio­nes de fu­n­cio­na­mie­n­to normal, de ningún tipo de función, cada actividad que se lleve a cabo en estos sistemas de control se convierte en un posible ataque. Todos los datos re­gi­s­tra­dos a través de los honeypots se co­n­vie­r­ten en elementos re­le­va­n­tes para la seguridad. Si, por el contrario, se su­pe­r­vi­san sistemas pro­du­c­ti­vos, el análisis de datos requiere una fase de trabajo en la que se filtren datos im­po­r­ta­n­tes para el ataque que procedan de la cantidad total de los mismos.

Hay que tener en cuenta que no todos los honeypots entregan in­fo­r­ma­ción útil. Si el cebo no resulta muy atractivo o es difícil acceder a él, los ataques no podrán tener lugar y las in­ve­r­sio­nes tanto a nivel económico como personal para poner a di­s­po­si­ción el sistema de seguridad se habrán realizado en vano. 

El hecho de que las empresas paguen para obtener datos a través de los honeypots se convierte en un riesgo adicional. En lo que respecta a estos sistemas que sirven para engatusar a los hackers, existe el peligro de que cuando se produzca cualquier tipo de ad­ve­r­si­dad en el honeypot esto dé lugar a más daños en la red. La manera de disminuir este riesgo consiste en separar lo más posible a los honeypots de los sistemas pro­du­c­ti­vos y en su­pe­r­vi­sar pe­r­ma­ne­n­te­me­n­te todas las ac­ti­vi­da­des que tienen lugar en los sistemas trampa. En este sentido, es im­po­r­ta­n­te ex­te­rio­ri­zar la reducción de los daños. Para evitar que se abuse de los honeypots como puntos de partida para los ataques de los hackers a otros sistemas, se deben reducir las co­ne­xio­nes salientes al mínimo.

Si un honeypot de alta in­ter­ac­ción del lado del cliente está equipado con el mismo sistema de seguridad que el sistema pro­du­c­ti­vo, podrá emplearse como garantía de seguridad. En este caso, los datos re­gi­s­tra­dos permiten obtener co­n­clu­sio­nes sobre la eficacia del sistema de seguridad. Si se detecta un robo en el honeypot, será necesario comprobar si también se ha accedido al sistema pro­du­c­ti­vo. Además, deben adaptarse ambos sistemas para descartar que en un futuro se produzcan ataques con el mismo patrón.

En el pasado, los re­s­po­n­sa­bles de los pro­ce­sa­mie­n­tos penales hicieron uso del principio del ho­ne­y­po­t­ti­ng para atrapar a los cri­mi­na­les que buscaban acceder a co­n­te­ni­dos ilegales. En este sentido, se plantea la cuestión de si los titulares de los derechos deberían utilizar honeypots para poner remedio a la di­vu­l­ga­ción de co­n­te­ni­dos pro­te­gi­dos por los derechos de autor. Según un informe de CNET, el FBI colocó en 2006 enlaces en foros de Internet que remitían a co­n­te­ni­dos de po­r­no­gra­fía infantil. Los ciu­da­da­nos no­r­te­ame­ri­ca­nos que hicieron clic en ellos re­ci­bi­rían más tarde una visita ine­s­pe­ra­da. Otro de los ejemplos tuvo lugar en el año 2007 en Alemania. Este mismo año salió a la luz que la Oficina Federal de In­ve­s­ti­ga­ción Criminal había colocado en su página una subpágina con in­fo­r­ma­ción sobre la or­ga­ni­za­ción te­rro­ri­s­ta de iz­quie­r­das “Militante Gruppe” (Grupo Militante) para registrar a in­te­re­sa­dos en el tema. Según el periódico alemán Ta­ge­s­s­pie­gel, desde se­p­tie­m­bre de 2004 las au­to­ri­da­des registran las di­re­c­cio­nes IP de todos los vi­si­ta­n­tes de la página web y solicitan a los pro­vee­do­res la ide­n­ti­fi­ca­ción de los usuarios de Internet a los que pe­r­te­ne­cen las co­rre­s­po­n­die­n­tes di­re­c­cio­nes IP. También tuvo lugar un debate acerca de la uti­li­za­ción de honeypots en relación a las in­ve­s­ti­ga­cio­nes en contra del streaming de películas de Internet y las pla­ta­fo­r­mas de in­te­r­ca­m­bio de archivos. Puesto que algunas de estas páginas fueron eli­mi­na­das de la red y otras todavía seguían estando online, se tuvieron sospechas de que los titulares de los derechos o aquellos en­ca­r­ga­dos del cu­m­pli­mie­n­to de la ley podían uti­li­zar­los como honeypots, aunque no había una base jurídica para ello. Lo que sí está todavía por aclarar es si gestionar un honeypot que ofrece co­n­te­ni­dos ilegales o no pro­te­gi­dos por los derechos de autor re­pre­se­n­ta un engaño para el Estado de Derecho.