Tal vez hayas escuchado el término «señuelo» (o «honeypot» en inglés) y te hayas preguntado de qué se trata y cómo puede incrementar la seguridad de tu sistema informático. Este artículo te aporta toda la información que necesitas acerca de los señuelos y su función en la ciberseguridad.
Definición de un señuelo o honeypot
Una de las definiciones emana del mundo del espionaje, donde espías al estilo de Mata Hari utilizan como señuelo una relación romántica para robar secretos. En inglés, esta estrategia se conoce como «tender una trampa dulce» o, lo que es lo mismo, «honey trap» o «honeyspot». A menudo, mediante estos señuelos se desvela la identidad de un espía enemigo, al cual se chantajea para que revele todo lo que sabe.
En términos de seguridad informática, un ciberseñuelo funciona de manera similar, lanzando el anzuelo a los hackers. Se destina un sistema informático que se sacrifica para atraer los ciberataques, como un reclamo. Dicho sistema imita un objetivo para los hackers y utiliza sus intentos de intrusión para recopilar información acerca de los ciberdelincuentes y su modus operandi o para distraerlos de otras víctimas.
Cómo funcionan los señuelos
El señuelo parece un sistema informático real, con aplicaciones y datos, lo que engatusa a los delincuentes para que crean que se trata de un objetivo legítimo. Por ejemplo, un señuelo podría imitar el sistema de facturación a clientes de una empresa, una diana frecuente para los delincuentes que buscan información sobre tarjetas de crédito. Una vez penetran en él los hackers, se les puede hacer un seguimiento y se puede analizar su comportamiento en busca de pistas sobre cómo incrementar la seguridad de la red.
Los señuelos resultan atractivos para los atacantes porque incorporan vulnerabilidades a la seguridad deliberadas. Por ejemplo, un señuelo puede tener puertos que respondan a un escaneo de puertos o contraseñas poco seguras. Pueden dejarse abiertos puertos vulnerables para atraer a los atacantes al entorno del señuelo, en lugar de a la red activa más segura.
Un señuelo no se crea para atajar un problema específico, como un cortafuegos o un antivirus. Se trata de una herramienta informativa que puede ayudarte a entender amenazas existentes a tu empresa y a detectar la aparición de otras nuevas. Con los datos obtenidos de un señuelo se pueden priorizar y canalizar las estrategias de seguridad.
Los distintos tipos de señuelo y cómo funcionan
Pueden utilizarse distintos tipos de señuelo para identificar diferentes tipos de amenazas. Las distintas definiciones de señuelo se basan en el tipo de amenaza que abordan. Todas ellas ocupan su lugar en una estrategia de ciberseguridad completa y eficaz.
Las trampas de correo electrónico o trampas de spam (también conocidas por su nombre en inglés: spamtrap) alojan una dirección de correo electrónico falsa en una ubicación oculta donde solo puede encontrarla un recopilador de direcciones automático. Puesto que la dirección únicamente se utiliza para tender una trampa al spam, es 100 % seguro que todos los mensajes de correo entrantes son correo no deseado. Todos los mensajes que tengan el mismo contenido que los enviados a la trampa de spam pueden bloquearse automáticamente y la IP de los remitentes puede añadirse a la lista negra.
También puede configurarse una base de datos señuelo para monitorizar las vulnerabilidades del software y detectar los ataques que aprovechan la arquitectura de los sistemas inseguros o que insertan SQL, aprovechan servicios de SQL o vulneran privilegios.
Un señuelo para malware imita las aplicaciones de software y API para incitar ataques con malware. Gracias a ello, es posible analizar las características del malware para desarrollar software antimalware o para cerrar vulnerabilidades en la API.
Un señuelo araña tiene por fin atrapar programas de rastreo e indexación («arañas web») creando páginas web y enlaces a los que solo estos pueden acceder. Detectar estos programas puede ayudar a averiguar cómo bloquear bots maliciosos, además de rastreadores de publicidad en red.
Mediante la supervisión del tráfico que llega al sistema señuelo puedes analizar:
- la ubicación de los ciberdelincuentes;
- la gravedad de la amenaza;
- qué modus operandi utilizan;
- qué datos o aplicaciones les interesan y
- si tus medidas de seguridad están dando buen resultado para detener los ciberataques.
Otra definición de señuelo analiza si se trata de un señuelo de alta interacción o de baja interacción. Los señuelos de baja interacción utilizan menos recursos y recopilan información básica acerca del grado y el tipo de amenaza y su procedencia. Son fáciles y rápidos de instalar, ya que suelen constar de unos cuantos servicios de red y protocolos TCP e IP básicos simulados. Pero el señuelo no contiene nada que atraiga la atención del atacante durante mucho tiempo y no obtendrás información pormenorizada sobre sus hábitos o sobre amenazas complejas.
Por su parte, los señuelos de alta interacción están concebidos para que los hackers pasen el máximo tiempo posible en su interior y poder así recabar información abundante acerca de sus intenciones y objetivos, así como acerca de las vulnerabilidades que aprovechan y su modus operandi. Son una especie de señuelo con «cola»: bases de datos, sistemas y procesos que pueden seducir al atacante durante mucho más tiempo. Esto permite a los investigadores rastrear qué partes del sistema exploran los atacantes para hallar información sensible, qué herramientas utilizan para saltarse los privilegios o qué exploits emplean para penetrar en el sistema.
Ahora bien, los señuelos de alta interacción consumen muchos recursos. Es más difícil y lleva más tiempo configurarlos y supervisarlos. Y, además, pueden suponer un riesgo; si no se protegen con un «honeywall», un hacker taimado y muy decidido podría utilizar un señuelo de alta interacción para atacar otros servidores de Internet o para enviar spam desde una máquina infectada.
Ambos tipos de honeypot se aplican en ciberseguridad. Con una combinación de ambos podemos precisar la información básica sobre los tipos de amenaza obtenidos con los señuelos de baja interacción y sumarle la información sobre las intenciones, las comunicaciones y los exploits proporcionada por el señuelo de alta interacción.
Mediante el uso de ciberseñuelos para crear una estrategia de inteligencia frente a las amenazas, una empresa puede estar segura de canalizar su gasto en ciberseguridad a los aspectos pertinentes y detectar cuáles son sus puntos débiles en cuanto a seguridad se refiere.
Ventajas de usar señuelos
Los señuelos pueden ser un buen modo de exponer vulnerabilidades en grandes sistemas. Por ejemplo, un señuelo puede mostrar la potente amenaza que representan los ataques a dispositivos IoT. Pero también puede indicar las medidas que pueden adoptarse para mejorar la seguridad.
Utilizar un señuelo presenta diversas ventajas frente a intentar detener la intrusión en el sistema real. Por ejemplo, por definición, un señuelo no debería procesar ningún tráfico legítimo, de manera que es probable que cualquier actividad registrada sea un sondeo o un intento de intrusión.
Esto facilita mucho la detección de patrones, como el uso de direcciones IP similares (o direcciones IP que proceden de un mismo país) para llevar a cabo un barrido de la red. En cambio, estas señales reveladoras de un ataque pueden perderse en medio del ruido cuando se analizan altos niveles de tráfico lícito en la red principal. La gran ventaja de usar la seguridad de los señuelos es que estas direcciones fraudulentas pueden ser las únicas que veas, lo cual hace mucho más fácil identificar el ataque.
Dado que los señuelos gestionan un tráfico muy limitado, consumen muy pocos recursos. Y como no son muy exigentes a nivel de hardware, es posible configurar un señuelo en un ordenador viejo que ya no se utilice. En cuanto al software se refiere, existen algunos señuelos preprogramados en repositorios en Internet, lo que reduce aún más el esfuerzo interno necesario para instalarlos y ponerlos en funcionamiento.
Además, los señuelos presentan un porcentaje muy bajo de falsos positivos, lo que contrasta marcadamente con los sistemas de detección de intrusiones (IDS) tradicionales, que generan un alto nivel de falsas alarmas. De nuevo, esto también ayuda a priorizar los esfuerzos y sitúa la exigencia en cuanto a recursos de un señuelo en un nivel muy bajo. (De hecho, mediante el uso de los datos recopilados por los señuelos y su correlación con otros registros del sistema y de los cortafuegos, es posible configurar los IDS con alertas más relevantes para que generen menos falsos positivos. De este modo, los señuelos pueden ayudar a ajustar y mejorar los sistemas de ciberseguridad).
Los señuelos pueden proporcionarte información privilegiada fiable acerca de la evolución de las amenazas. Aportan datos sobre vectores de ataque, exploits y malware y, en el caso de las trampas de correo electrónico, acerca de los generadores de correo no deseado y ataques de phishing. Los hackers perfeccionan continuamente sus técnicas de intrusión; un ciberseñuelo ayuda a detectar amenazas e intrusiones nuevas. Además, un buen uso de los señuelos también contribuye a erradicar los puntos ciegos.
Los señuelos son asimismo magníficas herramientas de formación para el personal del departamento técnico encargado de la seguridad. Un señuelo es un entorno controlado y seguro para demostrar cómo trabajan los atacantes y examinar distintos tipos de amenazas. Con un señuelo, el personal de seguridad no se distraerá con el tráfico real que utiliza la red y podrá concentrarse al 100 % en la amenaza.
Por otra parte, los señuelos también pueden detectar amenazas internas. La mayoría de las empresas dedican su tiempo a defender el perímetro y asegurarse de que no puedan infiltrarse intrusos. Pero, si solo se defiende el perímetro, cualquier hacker que logre franquear el cortafuegos tiene carta blanca para hacer todo el daño que se le antoje una vez está dentro.
Además, los cortafuegos no protegen de las amenazas internas, como puede ser un empleado que quiera robar archivos antes de dejar su puesto de trabajo, por ejemplo. Un señuelo puede aportarte información igual de útil acerca de amenazas internas y mostrar vulnerabilidades en aspectos como los permisos que permiten al personal interno utilizar el sistema.
Por último, piensa que configurar un señuelo es un gesto altruista, puesto que ayudas a otros usuarios de ordenadores. Cuanto más tiempo pasen los hackers intentando infiltrarse en señuelos, de menos tiempo dispondrán para piratear sistemas activos y provocar daños reales, tanto a ti como a otras personas.
Los peligros de los señuelos
Si bien la ciberseguridad mediante señuelos puede ayudar a cartografiar el entorno de amenazas, los señuelos no detectan todo lo que ocurre, sino solo la actividad canalizada hacia ellos. Por el mero hecho de que una determinada amenaza no se haya dirigido contra el señuelo no puede suponerse que no exista; es importante mantenerse al día de las novedades con respecto a la seguridad informática y no confiar exclusivamente en los señuelos para que te notifiquen las amenazas.
Un buen señuelo, convenientemente configurado, engañará a los atacantes y les hará creer que han accedido al sistema real. Presentará los mismos mensajes de advertencia de inicio de sesión, los mismos campos de datos e incluso el mismo aspecto y logotipos que tus sistemas reales. Ahora bien, si un atacante consigue identificar que se trata de un señuelo, puede proceder a atacar tus otros sistemas y dejar el señuelo intacto.
Una vez detectado el señuelo, el atacante puede crear falsos ataques para distraer la atención del objetivo real de tus sistemas de producción que tiene en el punto de mira. Y también pueden nutrir el señuelo con información nociva.
O lo que es aún peor: un atacante inteligente podría utilizar un señuelo para penetrar en tus sistemas. Por este motivo, los señuelos nunca deben ser un reemplazo de unos controles de seguridad adecuados, como los cortafuegos y otros sistemas de detección de intrusiones. Dado que un señuelo podría servir de trampolín para una mayor intrusión, asegúrate de asegurar muy bien todos tus señuelos. Un honeywall puede aportar la seguridad básica al señuelo y evitar que los ataques dirigidos contra este penetren en tu sistema activo.
Un señuelo debería proporcionarte información para ayudarte a priorizar tus esfuerzos de ciberseguridad, pero en ningún caso debe considerarse un sustituto de una ciberseguridad como es debido. Por más señuelos que tengas, plantéate adquirir un paquete como el Kaspersky's Endpoint Security Cloud para proteger los activos de tu empresa. (Kaspersky utiliza sus propios señuelos para detectar amenazas en Internet para que tú no tengas que hacerlo).
En general, los beneficios de usar señuelos superan con creces los riesgos. Suele pensarse que los hackers son una amenaza invisible y distante, pero mediante el uso de señuelos puedes ver exactamente qué hacen, en tiempo real, y utilizar esa información para impedirles llegar adonde pretenden.
Enlaces relacionados
El IoT en el punto de mira:Kaspersky detecta más de 100 millones de ataques a dispositivos inteligentes en la primera mitad de 2019
Cómo penetra el malware en los ordenadores y sistemas informáticos