ES EN    Do you have an active incident? Contact DFIR

Implementación de Honeypots

Dec 30, 2025 | Uncategorized

Diseño, despliegue e integración táctica

Autor: Erick Israel Aguilar Paau

Introducción

Los honeypots son sistemas diseñados deliberadamente para simular vulnerabilidades, servicios expuestos o configuraciones atractivas para los actores maliciosos y en algunos casos vulnerabilidades controladas, con el objetivo de llamar la atención de los atacantes. Su propósito no es proteger directamente un servicio crítico, sino servir como señuelo y fuente de inteligencia: permiten detectar, desviar y estudiar actividad maliciosa en un entorno controlado.

Más que un simple “carnada”, un honeypot bien implementado se convierte en un sensor de alta calidad. Aporta visibilidad profunda sobre las tácticas, técnicas y procedimientos (TTPs) utilizados por adversarios, así como sobre el tipo de herramientas, comandos y patrones de ataque que se emplean en campañas reales.

Para el analista certificado en CompTIA CySA+, los honeypots representan una herramienta estratégica que complementa la detección tradicional. Permiten observar ataques en condiciones reales pero en sistemas que, por diseño, pueden ser sacrificados, instrumentados y analizados sin comprometer activos de negocio. Su valor aumenta aún más cuando se integran con plataformas como StellarCyber Open XDR y Google SecOps SOAR, donde la inteligencia recolectada se transforma en alertas contextuales y flujos de respuesta automatizada.

Concepto y Clasificación de Honeypots

Los honeypots pueden variar en complejidad, nivel de interacción y finalidad. Entender estas diferencias es clave para seleccionar la solución adecuada según los objetivos del SOC.

Según el nivel de interacción

  • Bajo (Low Interaction):

Simulan servicios básicos o puertos abiertos con funcionalidad limitada. Permiten registrar escaneos, intentos de conexión y patrones de reconocimiento sin ofrecer un sistema completo que pueda ser explotado.

  • Ventajas: bajo riesgo, fácil despliegue, consumo reducido de recursos.
  • Ejemplo: Honeyd.
  • Medio (Medium Interaction):

Emulan de forma parcial servicios como SSH o Telnet, permitiendo algunas interacciones (por ejemplo, capturar intentos de inicio de sesión y comandos básicos). No exponen un sistema operativo completo, pero ofrecen suficiente realismo para obtener información valiosa.

  • Ventajas: permiten capturar credenciales y comandos.
  • Ejemplo: Cowrie.
  • Alto (High Interaction):

Se trata de sistemas completos, normalmente máquinas virtuales con servicios y vulnerabilidades intencionadas. Permiten observar todo el ciclo del ataque: explotación, escalamiento de privilegios, movimiento lateral, persistencia, exfiltración simulada, etc.

  • Ventajas: máxima visibilidad y realismo.
  • Ejemplo: máquinas como Metasploitable o VMs con configuraciones deliberadamente débiles.

Según su finalidad

  • Honeypots de producción:

Se ubican en redes reales, próximos a sistemas productivos, para ofrecer señales tempranas de actividad maliciosa. Actúan como sensores adelantados: si un atacante entra en este tipo de sistema, es una señal clara de que está explorando la red interna o los servicios expuestos.

  • Honeypots de investigación:

Normalmente se despliegan en laboratorios o entornos muy aislados. Su objetivo es estudiar en profundidad malware, campañas de amenazas y TTPs de actores específicos. Su foco está en la recolección de datos para análisis técnico y generación de nueva inteligencia.

Beneficios Operacionales

Cuando se diseñan y despliegan correctamente, los honeypots ofrecen beneficios muy concretos en operaciones de seguridad:

  • Detección temprana de intrusiones:

Especialmente útil frente a ataques que logran evadir controles tradicionales como firewalls, IDS/IPS o antivirus.

  • Captura de TTPs y herramientas de amenaza:

Permiten observar comandos, scripts, exploits y utilidades que los atacantes utilizan después de obtener acceso, información muy útil para ajustar controles defensivos.

  • Generación de IoCs confiables:

Los indicadores obtenidos (hashes, IPs, dominios, rutas de archivos, cadenas, patrones de tráfico) suelen ser de alta calidad, porque provienen de actividades reales observadas en el honeypot.

  • Entorno ideal para análisis forense:

Al ser sistemas instrumentados, permiten reconstruir la actividad prácticamente desde el primer paquete de red hasta el último comando ejecutado, sin riesgo directo para sistemas de negocio.

  • Desviación y distracción:

En algunos escenarios, los honeypots desvían el interés del atacante hacia recursos falsos, agregando una capa más a la defensa en profundidad.

Herramientas y Plataformas Populares

Existen múltiples opciones para desplegar honeypots, desde soluciones muy simples hasta plataformas integrales:

  • Cowrie:

Honeypot de SSH/Telnet que permite capturar credenciales, sesiones completas y comandos ejecutados por intrusos. Muy útil para estudiar ataques de fuerza bruta y scripts automatizados.

  • Dionaea:

Diseñado para capturar malware distribuido a través de servicios vulnerables (por ejemplo, exploits de servicios de red). Suele emplearse para recolectar muestras de malware activo en Internet.

  • Kippo:

Antecesor de Cowrie, centrado en SSH. Aunque hoy está más en desuso, todavía se encuentra en algunos laboratorios.

  • T-Pot:

Distribución mantenida por Deutsche Telekom que integra múltiples honeypots y componentes de visualización (como Kibana). Permite desplegar en forma relativamente rápida un entorno de honeypots heterogéneo.

  • MHN (Modern Honey Network):

Framework de Rapid7 para gestionar honeypots distribuidos, centralizar la recolección de eventos y facilitar la visualización y correlación.

En la práctica, muchas organizaciones utilizan una combinación de varias de estas herramientas para cubrir diferentes escenarios (SSH, servicios web, SMB, bases de datos, etc.).

Diseño y Despliegue Seguro

La implementación de honeypots debe hacerse con cuidado. Un despliegue sin controles adecuados puede convertir un honeypot en un trampolín para ataques hacia otros sistemas. Buenas prácticas clave:

  • Aislamiento de red:

Utilizar VLANs, subredes dedicadas o una DMZ estricta. Los honeypots nunca deberían tener rutas directas a sistemas críticos.

  • Monitoreo constante:

Integrar logs y eventos del honeypot con el SIEM, soluciones IDS/IPS y, cuando sea posible, con EDR/XDR. El valor está en ver lo que pasa y correlacionarlo.

  • Virtualización controlada:

Usar máquinas virtuales, snapshots frecuentes, contenedores o flujos de reinstalación periódica para volver a un estado limpio tras ataques significativos.

  • Restricción de conexiones salientes:

Limitar o bloquear conexiones desde el honeypot hacia la red interna y hacia Internet, salvo canales supervisados. Esto reduce el riesgo de que el sistema sea usado como pivot.

  • Logging robusto:

Capturar logs detallados de sistema, aplicaciones, red y, cuando aplique, sesiones interactivas. Cuanto mejor se capture la actividad, más útil será el honeypot para análisis forense y threat hunting.

Ejemplo práctico

Una empresa de servicios financieros decide desplegar instancias de Cowrie y Dionaea en una subred segregada.

En las primeras 48 horas:

  • Detectan más de 100 intentos de fuerza bruta SSH desde direcciones IP asociadas a botnets conocidas.
  • Dionaea captura un dropper asociado a una variante de Mirai orientada a dispositivos IoT.
  • Se generan IoCs (IP, hashes, dominios) y se integran en el SIEM, XDR y controles de red.
  • La inteligencia obtenida se comparte con el ISAC sectorial, contribuyendo a mejorar la defensa de otras organizaciones del mismo sector.

Integración con XDR y SOAR

Donde los honeypots realmente demuestran su valor es cuando dejan de ser un silo y se conectan con el ecosistema de defensa.

Con StellarCyber Open XDR

  • Correlación de tráfico:

Relaciona el tráfico observado en honeypots con eventos vistos en endpoints, firewalls, DNS y otros sensores.

  • Identificación de campañas coordinadas:

Permite ver si las mismas IPs o dominios que atacan los honeypots también interactúan con activos reales.

  • Visualización en tiempo real:

Dashboards que muestran qué puertos, servicios o vulnerabilidades están siendo más atacados en un periodo determinado.

  • Alertas contextualizadas:

El tráfico hacia un honeypot puede generar alertas de alta prioridad, ya que cualquier actividad en esos sistemas es, por definición, sospechosa.

Con Google SecOps SOAR

  • Activación de playbooks automáticos:

Los eventos generados por honeypots pueden disparar flujos de respuesta específicos (bloqueo de IP, generación de ticket, actualización de listas negras, etc.).

  • Extracción automática de IoCs:

El SOAR puede analizar los logs del honeypot para extraer hashes, IPs, dominios y rutas, integrándolos de forma automatizada en el SIEM, el XDR o listas de bloqueo.

  • Notificación y orquestación:

Notificaciones a equipos de respuesta por correo, Slack, Teams u otras herramientas colaborativas, además de integración con Jira, Ivanti u otros ITSM.

Ejemplo de flujo automatizado con SOAR

  1. Detección:

Cowrie registra un intento de explotación de una vulnerabilidad asociada a servicios SSH (por ejemplo, enumeración de usuarios o abuso de credenciales débiles) en un servicio emulado.

  1. Envío a Google SecOps:

El evento se envía a Google SecOps, donde se almacena y correlaciona.

  1. Playbook del SOAR:
    • Extrae la dirección IP y otros IoCs.
    • Verifica la reputación de la IP en fuentes de Threat Intelligence.
    • Crea un ticket en Ivanti con toda la evidencia asociada.
    • Notifica al SOC mediante el canal definido (correo, chat corporativo, etc.).
    • Actualiza listas de bloqueo en firewall o WAF de forma temporal o permanente, según el caso.

Este tipo de automatización convierte al honeypot en un sensor activo que alimenta la respuesta automatizada.

Detección de Movimiento Lateral y Persistencia

Los honeypots de alta interacción permiten observar no solo el ataque inicial, sino lo que el adversario intenta hacer después de conseguir acceso:

  • Escaneos internos:

Comandos utilizados para descubrir otros sistemas en la red (por ejemplo, nmap, netstat, arp, barridos de puertos internos).

  • Persistencia:

Creación de usuarios ocultos, modificación de tareas programadas, instalación de servicios maliciosos, cron jobs, cambios en archivos de inicio de sesión, etc.

  • Exfiltración simulada:

Uso de herramientas como scp, curl, wget, netcat o túneles SSH para mover “datos” fuera del sistema.

  • Uso de exploits adicionales:

Intentos de escalar privilegios, aprovechar vulnerabilidades locales o establecer nuevas backdoors.

Estos hallazgos son oro para ajustar reglas de detección en SIEM, EDR y XDR. También ayudan a reforzar arquitecturas de tipo Zero Trust, donde nada se da por confiable solo por estar “dentro”.

7. Buenas Prácticas

Para que un proyecto de honeypots sea realmente útil y sostenible:

  1. Definir objetivos claros:

¿Se busca detección temprana, investigación, recolección de IoCs, entrenamiento, pruebas controladas de herramientas de ataque?

  1. Hacerlos interesantes para el atacante:

Nombres de host y servicios que parezcan legítimos y valiosos, por ejemplo: HR_Payroll_DB, FINANCE-SQL01, VPN-GATEWAY-LEGACY.

  1. No reutilizar credenciales reales ni datos de producción:

Los usuarios, contraseñas y datos deben ser ficticios y sin relación con cuentas o información real.

  1. Mantenerlos y actualizarlos:

Revisar periódicamente que los honeypots estén funcionando, registrando eventos y no se hayan quedado obsoletos.

  1. Correlacionar siempre con otras herramientas:

Integrar logs y eventos con XDR, SOAR y SIEM para ampliar el alcance y el contexto de lo observado.

8. Desafíos Comunes

Desafío

Mitigación Propuesta

Consumo elevado de recursos

Uso de virtualización ligera, contenedores y dimensionamiento adecuado.

Falsos positivos

Correlación con Threat Intelligence, XDR y contexto de red para filtrar lo útil.

Riesgo de pivoting

Aislamiento estricto, firewalls internos, bloqueo de conexiones salientes no controladas.

Falta de mantenimiento

Automatizar despliegue y actualizaciones, monitoreo centralizado, revisión periódica.

Conclusión

Los honeypots, lejos de ser simples “trampas”, se convierten en sensores de inteligencia extremadamente valiosos cuando se diseñan y despliegan con objetivos claros y controles adecuados. Permiten a los analistas CySA+ observar de primera mano cómo operan los atacantes, qué herramientas utilizan y qué vectores intentan explotar.

Al integrarse con plataformas como StellarCyber Open XDR y Google SecOps SOAR, los honeypots dejan de ser solo un experimento técnico y se transforman en fuentes confiables de eventos, IoCs y señales accionables que alimentan la detección y la respuesta. Su implementación efectiva refleja un alto grado de madurez en ciberseguridad y ofrece a las organizaciones un observatorio privilegiado del comportamiento de sus adversarios antes de que lleguen a los sistemas realmente críticos