Los Honeypots

Septiembre 2017


En enero del 2004, analistas norteamericanos anunciaban un aumento de la delincuencia informática y del ciberterrorismo, y los expertos se alarmaban por la creciente sofisticación de los delitos informáticos.

Como un intento para identificar la amenaza desde el interior y estudiar las actividades de estos hackers, la comunidad de expertos en seguridad informática desarrolló un nuevo concepto: el de los Honeypots.

Un concepto que utiliza diferentes técnicas anti-intrusión modernas, y que consiste, en general, en implementar sistemas voluntariamente vulnerables, es decir concebidos para ser escaneados, atacados y expuestos con el objetivo de observar el comportamiento de los hackers y conocer las herramientas y métodos que utilizan para realizar sus ataques (honeypots de búsqueda). También son desarrollados para contribuir directamente con la política de seguridad de una organización (honeypots de producción).

Un concepto novedoso liderando la lucha contra el delito informático pero que se enfrenta a serios asuntos legales.

Índice:


Honeypots, una “trampa para los piratas”: mito y realidad


El termino Honeypot es un principio que consiste principalmente en atraer y atrapar a los hacker con engaños, a fin de colectar información acerca de los métodos de ataque que utilizan. Ahora bien, tal definición sugiere rápidamente que este método se sitúa en un terreno muy cercano al de la provocación al crimen y al delito.

Esta asociación de ideas puede explicar en parte la baja tasa de uso de honeypots en entornos de producción, la incertidumbre acerca de problemas jurídicos relativos a este mecanismo de seguridad frena a las organizaciones en la adopción de tal sistema.

Sin embargo, gracias a los trabajos de Lance Spitzner (uno de los fundadores del “proyecto Honeynet” (ver nota)), la imagen de ser una “trampa para hackers” confundida como una provocación, hizo que esto fuera visto como un error y permitió convencer a los usuarios escépticos sobre la utilidad de los honeypots.

Nota: Proyecto nacido en junio del 2000, agrupando a profesionales en seguridad informática, y que consiste en desplegar redes que puedan ser hackeadas, en varios lugares del mundo, y cuyo objetivo es básicamente pedagógico (aprender las técnicas, estrategias y motivaciones de los hackers para poder defenderse de estos y compartir esta información).
Sitio Web del proyecto Honeypot: http://www.honeynet.org/

Cómo funcionan


Los honeypots son sistemas de seguridad que no tienen un valor de producción. De aquí que ningún usuario ni ningún otro recurso debería en principio tener una comunicación con él. Ya que se espera que no haya actividad o trafico en el honeypot, se deduce que toda actividad registrada por este recurso es sospechosa.

Así, cualquier tipo de tráfico, o flujo de datos enviados a un honeypot probablemente sea un test, un scan o un ataque. El tráfico iniciado en un honeypot puede ser interpretado como una probable exposición del sistema y significa que el hacker está tratando de efectuar conexiones por rebote.
Por lo general, un honeypot se comporta como una caja negra, que guarda pasivamente toda la actividad y todo el tráfico que pasa por él.
Es muy importante tomar en cuenta el uso de los datos que será crítico al determinar el impacto legal en el campo de los honeypots.

“ Honeypots, tracking hackers”: ¿Cuáles son los limites en la captura de datos y en el monitoreo de la actividad de los hackers?


Es importante saber que el tráfico capturado por los honeypot es a la vez reducido y sospechoso por naturaleza. Los archivos donde es guardada la actividad (log files) no son muy voluminosos y es más fácil identificar una actividad maliciosa. Dependiendo de la naturaleza de los datos recolectados, se podrá describir con precisión los flujos de datos intercambiados:
  • origen
  • actividad
  • fecha
  • duración
  • volumen
  • y algunas veces incluso el contenido de los datos intercambiados (keystrokes, mensajes IRC por ejemplo).


Sin embargo, la captura de estos datos nos obliga a hacernos las siguientes preguntas en términos jurídicos:
  • ¿Cuál es la naturaleza de los datos capturados y el régimen jurídico aplicable? (aplicación de la legislación sobre la protección de los datos con carácter personal)
  • ¿Cuáles son los limites al monitoreo de la actividad de los intrusos y los medios utilizados para capturar los datos (keystrokes, intercepción de chat)?

Qué soluciones existen


Hemos considerado las siguientes soluciones:

Consulta también

Publicado por Carlos-vialfa. Última actualización: 17 de marzo de 2009 a las 21:38 por Carlos-vialfa.
El documento «Los Honeypots» se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo libremente. No olvides citar a CCM (es.ccm.net) como tu fuente de información.