Honeypot – El método para atrapar hackers con “las manos en la masa”

El número de violaciones de seguridad y delitos cibernéticos está aumentando rápidamente. Con más y más datos que se transfieren en línea, los ciberdelincuentes han encontrado maneras de hackear y corromper la información o robar datos para convertirlos en ganancias.

A medida que la tecnología sigue cambiando, los intentos de hacking también se están volviendo inteligentes y actualizados, para garantizar que los ciberdelincuentes nunca se vean atrapados en acción.

58% de las víctimas son pequeñas empresas

Como concluye un informe de violación de datos de Verizon, en 2018, el 58% del total de víctimas de violación de datos fueron pequeñas empresas.

Los datos recopilados a través de pequeñas empresas son la mayor cantidad y se utilizan de manera maliciosa.

Además, los números sugieren que el 24% de los ataques totales afectan a la organización de atención médica, que es la más alta en número.

También, según el informe, el 48% de estos ataques se ejecutaron mediante tácticas de hacking y el 30% incluía malware para llevar a cabo el crimen.

Por lo tanto, proteger a una organización de posibles amenazas e infracciones se ha vuelto esencial.

Por ello, honeypot es la técnica utilizada por muchos profesionales de informática e investigadores de seguridad por igual para salvarse y atrapar a los hackers y ciberdelincuentes con las manos en la masa.

Honeypot

Usar un honeypot es peligroso. Sí, atraer a un hacker a tu sistema es un juego de alto riesgo, pero si se hace correctamente, puede producir resultados al atrapar a tu hacker.

Honeypot es uno de los trucos más antiguos, utilizados para atraer a un ciberdelincuente en el sistema donde interactúa con la trampa y uno puede obtener información importante sobre él/ella.

Es el cebo para el pez que vas a atrapar, excepto que el pez es más inteligente.

Como Norton lo define,

“Un honeypot es una computadora en un sistema que está configurado con vulnerabilidades y se presenta como el objetivo de los ataques cibernéticos”.

El posible tráfico a este sistema no sería de utilidad para la organización y si alguien se detiene e intenta interactuar y obtener información, se confirma el propósito malicioso.

Se pueden usar diferentes tipos de honeypots para atraer a los ciberdelincuentes al sistema. Sin embargo, dependiendo del propósito, se pueden elegir y poner en práctica.

Honeypot puro

Un servidor está configurado y administrado dentro del sistema que puede atraer a más atacantes debido a las vulnerabilidades de seguridad.

El software de monitoreo está instalado para controlar y monitorear el acceso del servidor, pero puede ser peligroso usar honeypot puro en el sistema real.

Los hackers pueden cambiar todo y, en su lugar, usar el servidor como la puerta de entrada a todo el sistema.

Honeypot de baja interacción

Es una máquina virtual que ejecuta solo conjuntos limitados de servicios para atraer a un tipo específico de atacante y está limitada solo para un propósito específico.

Requiere menos recursos y es más fácil de construir en comparación con otros.

Si bien los investigadores de seguridad utilizan más los honeypots de baja interacción para analizar los ataques de seguridad y las restricciones, la vulnerabilidad de ser hackeada sobre la trampa es mayor, en comparación con un honeypot de alta interacción.

Honeypot de alta interacción

La máquina virtual o el sistema potencial se mantiene aislado para salvar todo el sistema al ser hackeado y se puede usar un solo dispositivo para ejecutar múltiples máquinas virtuales, con el fin de imitar muchas interacciones y tráfico que entra para atraer a los ciberdelincuentes a la trampa.

Para construir una trampa más prometedora, las honeynets también se utilizan para atrapar a muchos atacantes.

Honeynet

Honeynet difiere de honeypot debido a la restricción de tamaño. Si bien se puede hacer referencia a honeypot como un sistema único en toda la red, un honeynet es un grupo de tales sistemas informáticos que juntos crean una trampa para los hackers.

Es más poderoso para atrapar a los ciberdelincuentes, ya que las posibilidades de una posible pérdida de información se reducen, porque todo el sistema está diseñado para rastrear a los atacantes.

Sin embargo, exige más recursos para cada sistema en la red y, por lo tanto, resulta costoso en comparación con el honeypot. Y las empresas están más inclinadas hacia el uso de honeypot en lugar de honeynets.

¿Qué tan presente está el concepto de Honeypots?

Honeypot es uno de los trucos más antiguos que se utiliza para atraer a todos los posibles hackers. A pesar de haber sido utilizado durante años, todavía ocupa un lugar en las herramientas de seguridad informáticas más usadas.

Sin embargo, los recursos limitados y las vulnerabilidades del sistema de hoy en día impiden que muchas empresas usen honeypot en su sistema.

Pero los investigadores de seguridad aún usan honeypots en laboratorios aislados, para proteger toda su red de ataques mientras también investigan posibles amenazas.

Software de Honeypot

Las empresas y corporaciones tienden a configurar honeypot en su sistema utilizando el software que está disponible en el mercado, para atrapar a los ciberdelincuentes en acción.

El software implementa conceptos de honeypot prácticamente y se clasifican de acuerdo con el soporte técnico que tienen.

Herramientas Honeypot de SSH

Los honeypots de Secure Shell (SSH) permiten a los ciberdelincuentesrealizar ataques de fuerza bruta en el sistema, mientras guarda el registro de cada intento que realizan y recopila cada parte de información.

Cowrie

Al permitir el reenvío directo de solicitudes SMTP a honeypots SMTP (Protocolo simple de transferencia de correo), Cowrie también facilita la gestión de un sistema de archivos falso donde se pueden agregar o eliminar archivos.

Además, guarda todos los archivos en una carpeta separada y segura para uso futuro y funciona emulando una shell.

Kippo

Almacena el historial completo de la shell del atacante durante los ataques de fuerza bruta y realiza la entrada a los registros.

Kippo está escrito usando Python y ofrece la capacidad de imitar el sistema de archivos y el contenido ficticio a los atacantes.

Herramientas Honeypot para WordPress

Proteger los sitios web de posibles ataques también es importante y se puede hacer utilizando los honeypots de WordPress que protegen los sitios web de WordPress de posibles ataques.

Wordpots

Desarrollada con Python, esta herramienta le permite al propietario saber qué temas, complementos u otras entidades del sitio web emiten señales maliciosas para salvar el sitio web de posibles hackers.

Además, se puede ejecutar fácilmente desde la línea de comandos y también permite descargar e instalar complementos personalizados para mejorar la seguridad del sitio web de WordPress.

Formidable Honeypot

La herramienta más popular utilizada para detectar y evitar los ataques de bot, Formidable honeypot ofrece excelentes resultados y de una manera no intrusiva para evitar el spam.

Se requiere que el complemento se active solo y no se establecen requisitos de configuración en su versión gratuita o profesional que se agregará a cada formulario utilizado en WordPress.

Herramientas Honeypot para HTTP

Las aplicaciones web son uno de los epicentros de los intentos de hacking, ya que el informe de Verizon afirma que, de 30,362 ataques, 21,409 ataques fueron de DoS (Denegación de servicio) para hackear el servidor y realizar una violación de datos.

Por lo tanto, la protección contra posibles intentos es necesaria y las herramientas de honeypot para HTTP están aquí para salvar el día.

Glastopf

Se utiliza principalmente para detectar ataques a aplicaciones web. Esta herramienta puede reflejar deficiencias de seguridad como inyecciones SQL de archivos locales, vulnerabilidades de inserción y más, utilizando el control central a través de un sistema de registro centralizado.

WebTrap

La herramienta se utiliza para atraer a los hackers a sitios web que no son reales y, en última instancia, redirigir a los ciberdelincuentes lejos del real. Esta herramienta imita eficientemente la página de inicio de sesión, las páginas de contenido y los materiales del sitio web real, para mantener a raya los intentos de hacking

Herramientas Honeypot para bases de datos

Es necesario atrapar a los ciberdelincuentes que intentan interrumpir directamente la base de datos, ya que es la entidad principal de todo el sistema.

MySQL-Honeypotd

Es una herramienta honeypot de baja interacción escrita en el lenguaje de programación C.

La herramienta ayuda de manera eficiente a imitar el sistema real y atraer a los hackers usando la máquina virtual que se ejecuta en el sistema.

MongoDB-HoneyProx

Una vez que la herramienta se implementa en un servidor, registra de manera eficiente los datos del tráfico malicioso que ingresa al sistema y los guarda en un servidor MongoDB de terceros, para ayudar a rastrear las fuentes que se pueden usar en cualquier entorno virtual.

Hay muchos honeypots disponibles en el mercado que se pueden implementar de manera eficiente.

Diseño e instalación de Honeypots: no olvides la seguridad y las preocupaciones de seguridad

Los Honeypots tienden a atraer más ataques al sistema. Por lo tanto, es necesario implementar todas las posibles restricciones de seguridad en uso mientras intentas establecer honeypots en tu sistema.

Como un honeypot establecido por ti puede abrir las puertas para que los hackers ingresen al sistema y las cosas pueden cambiar, es importante mantener las restricciones de seguridad controladas antes de intentar implementar honeypot en el sistema.

Los honeypots que instales en el sistema deben ser tan vulnerables como se puedan hacer.

Contraseñas débiles, los posibles puertos vulnerables deben resaltarse específicamente para inducir a los ciberdelincuentes a intentar hackear el honeypot, en lugar del sistema productivo.

Es la tendencia, de que primero irán por el entorno menos seguro y tu honeypot debe actuar como tal mientras almacena la información y registra las posibles actividades y métodos que utilizan para hackear.

Utilizando los datos almacenados, tu equipo de seguridad puede aprender los patrones de hacking y los posibles intentos de implementar restricciones de seguridad en consecuencia, para proteger todo el sistema productivo de tales ataques.

Sin embargo, monitorear el honeypot continuamente se vuelve esencial para garantizar que el ciberdelincuente no ingrese al sistema real y le impidas intentar tales ataques.

¿Este concepto también es aplicable para aplicaciones móviles?

El uso de aplicaciones móviles está aumentando en todo el mundo. Según los informes, el 90% del tiempo móvil total se gasta en aplicaciones.

Y estas aplicaciones también monitorean y almacenan los datos del usuario con fines comerciales, lo que finalmente hace que el dispositivo del usuario sea una de las minas de oro de datos.

Y los crecientes riesgos de seguridad no han dejado de lado las aplicaciones móviles y los delitos cibernéticos y los intentos de hacking ahora son tan aplicables en aplicaciones y dispositivos móviles como en cualquier otro sitio.

Las aplicaciones de phishing en dispositivos, la recopilación ilegal de datos, el direccionamiento a enlaces maliciosos y más, son tipos comunes de intentos de hacking a través de aplicaciones móviles.

Como honeypot se encarga de toda la red y de todos los dispositivos conectados a ella, un simple honeypot implementado en la red proporciona alertas de posibles fraudes y ataques que, también pueden ejecutarse a través de dispositivos móviles.

Por lo tanto, los honeypots tienen su importancia para las soluciones de aplicaciones móviles, ya que pueden ayudar a comprender los posibles ataques y tácticas utilizadas para los ataques.

De esta manera, alertar al usuario por adelantado, para reducir las posibilidades de intentos de hacking exitosos.

Honeypots: una técnica siempre vigente para monitorear y manejar ataques de seguridad

A pesar de que concepto de honeypots que se inventó años antes, el significado y la aplicación siguen siendo los mismos de siempre.

Con actualizaciones en tecnología, los hackers también actualizan sus tácticas y estrategias de ataque, pero los honeypots siempre logran descubrir los patrones utilizados y la tendencia de un hacker en particular.

Por lo tanto, con cada año que pasa, los honeypots también están evolucionando para adaptarse a las necesidades de las empresas y ajustarse a sus presupuestos para permitir una mayor seguridad para cada negocio.

Implementar honeypots es arriesgado, pero las posibilidades de éxito son mayores a medida que supervisas a tus hackers y sus actividades, para salvar al negocio de posibles vulnerabilidades de seguridad.

La limitación del presupuesto vincula a muchas empresas, ya que el sistema honeypot debe configurarse para imitar el sistema productivo exacto y requiere muchos recursos para su uso.

Sin embargo, teniendo en cuenta todos los criterios de seguridad y las limitaciones presupuestarias, se puede crear un único honeypot para capturar y controlar de manera eficiente las actividades de hacking.