Un honeypot es una estrategia de defensa cibernética que imita un sistema vulnerable, con el propósito de desviar a los hackers de sus objetivos reales. Su función principal es recabar información sobre los atacantes y sus técnicas para fortalecer la seguridad de la red. Cuando un intruso accede al honeypot, se genera una alerta para que los equipos de seguridad puedan investigar al atacante y obtener valiosa inteligencia sobre sus acciones.
Principalmente busca revelar las debilidades en las redes y sistemas, desviando a los atacantes de sus metas reales y obteniendo datos valiosos para que las organizaciones mejoren y evolucionen sus medidas de seguridad cibernética.
Los Honeypots se distinguen de los antivirus convencionales en no abordar problemas de seguridad específicos, sino que van más allá. Su propósito es crear una serie de vulnerabilidades para atraer a diversos ciberdelincuentes. Esto permite a las empresas identificar posibles amenazas y detectar nuevas formas de ataques, proporcionando una visión más completa del panorama de seguridad.
Actualmente existen dos tipos diferentes de Honeypot y que se clasifican de la siguiente manera:
- Honeypot de producción: que son empleados por las compañías para indagar las razones detrás de los ciberataques perpetrados por delincuentes cibernéticos. Su propósito radica en averiguar por qué la empresa ha captado la atención de estos atacantes y en buscar formas de desviar o reducir el riesgo de tales ataques dentro de su red interna. Esta modalidad de honeypot es adoptada por empresas de tamaño mediano y grande con el fin de identificar los objetivos de los ciberdelincuentes y así prepararse ante posibles ataques futuros a su infraestructura real.
- Investigación de Honeypot: estos sistemas son utilizados por organizaciones sin ánimos de lucro e instituciones educativas, cuyo fin es investigar las razones y métodos que emplean los ciberdelincuentes para llevar a cabo sus ataques. La diferencia es que, este tipo de sistemas, se utilizan solamente para entender las motivaciones.
También encontramos dos modos de implementar los Honeypot en nuestra infraestructura:
- Honeypot físico: se trata de incorporar un ordenador exclusivo para esta función, que se integraría dentro de nuestra red, con su propia dirección IP. Este tipo de Honeypot se hace pasar por un servidor más, pero realmente está altamente protegido y envía toda la información del atacante a los administradores.
- Honeypot virtual: se trata de un sistema operativo virtual dentro de un servidor físico que podría compartirse con otros sistemas operativos con honeypot o en producción. Este es uno de los más utilizados porque no estaremos dedicando recursos específicos a un servidor físico que realmente solamente sirve para intentar detectar a un ciberdelincuente, y es posible que no siempre esté en funcionamiento.
Si te interesa el tema encontrarás más información acerca de los Honeypots en la siguiente página: https://www.redeszone.net/tutoriales/seguridad/que-es-honeypot/