Resumen ejecutivo del Informe Global sobre Amenazas 2026 de CrowdStrike: el informe definitivo sobre inteligencia de amenazas para la era de la IA Descargar

¿Qué es un honeypot?

Un honeypot es un mecanismo de ciberseguridad que utiliza un objetivo de ataque artificial para atraer a los ciberdelincuentes y alejarlos de los objetivos legítimos. También se dedica a recopilar inteligencia sobre la identidad, los métodos y las motivaciones de los adversarios.

Un honeypot puede modelarse a partir de cualquier recurso digital, incluyendo aplicaciones de software, servidores o la propia red. Está diseñada intencionada y deliberadamente para parecer un objetivo legítimo, asemejándose al modelo en cuanto a estructura, componentes y contenido. Con ello se pretende convencer al adversario de que ha accedido al sistema real y animarle a pasar tiempo en este entorno controlado.

El honeypot sirve de señuelo, distrayendo a los ciberdelincuentes de los objetivos reales. También puede servir como herramienta de reconocimiento, utilizando los intentos de intrusión para evaluar las técnicas, capacidades y sofisticación del adversario.

La inteligencia obtenida de los honeypots resulta útil para ayudar a las organizaciones a evolucionar y mejorar su estrategia de ciberseguridad en respuesta a las amenazas del mundo real e identificar posibles ángulos muertos en la arquitectura, la información y la seguridad de red existentes.

¿Qué es una honeynet?

Una honeynet es una red de honeypots diseñada para parecerse a una red real, que incluye varios sistemas, bases de datos, servidores, routers y otros recursos digitales. Dado que la honeynet, o el sistema de honeypots, imita la naturaleza en expansión de una red típica, tiende a atraer a los ciberdelincuentes durante un periodo de tiempo más largo.

Debido al tamaño de la honeynet, también es posible manipular el entorno, atrayendo a los adversarios a capas más profundas en el sistema con el fin de reunir más inteligencia sobre sus capacidades o sus identidades.

Informe Global sobre Amenazas 2025 de CrowdStrike

Informe Global sobre Amenazas 2025 de CrowdStrike

Consigue el informe sobre ciberseguridad imprescindible de este año.

Descargar

¿Cómo funciona un honeypot en ciberseguridad?

La premisa básica del honeypot es que debe estar diseñado para parecerse al objetivo de red que una organización está tratando de defender.

Una trampa tipo honeypot puede fabricarse para que parezca una pasarela de pago, que es un objetivo habitual para los hackers porque contiene grandes cantidades de información personal y detalles de transacciones, como números de tarjetas de crédito codificados o información de cuentas bancarias. Un honeypot o una honeynet también pueden parecerse a una base de datos, lo que atraería a atacantes interesados en recopilar propiedad intelectual (PI), secretos comerciales u otra información confidencial valiosa. Un honeypot puede incluso parecer que contiene información o fotos potencialmente comprometedoras como forma de atrapar a adversarios cuyo objetivo es dañar la reputación de un individuo o participar en técnicas de ransomware.

Una vez dentro de la red, es posible seguir los movimientos de los ciberdelincuentes para comprender mejor sus métodos y motivaciones. Esto ayudará a la organización a adaptar los protocolos de seguridad existentes para frustrar ataques similares contra objetivos legítimos en el futuro.

Para hacer más atractivos los honeypots, suelen contener vulnerabilidades de seguridad deliberadas pero no necesariamente obvias. Dada la naturaleza avanzada de muchos adversarios digitales, es importante que las organizaciones sean estratégicas en cuanto a la facilidad de acceso a un honeypot. Es poco probable que una red con una seguridad insuficiente engañe a un adversario sofisticado e incluso puede dar lugar a que el ciberdelincuente proporcione información errónea o manipule de otro modo el entorno para reducir la eficacia de la herramienta.

Ventajas y riesgos del uso de un honeypot en ciberseguridad

Los honeypots constituyen una parte importante de una estrategia integral de ciberseguridad. Su principal objetivo es exponer las vulnerabilidades del sistema existente y alejar a los hackers de los objetivos legítimos. Suponiendo que la organización también pueda recopilar inteligencia útil de los ciberdelincuentes dentro del señuelo, los honeypots también pueden ayudar a la organización a priorizar y centrar sus estrategias de ciberseguridad basándose en las técnicas que se utilizan o en los recursos que más suelen recibir ataques.

Entre las ventajas adicionales de un honeypot se incluyen:

    • Facilidad de análisis. El tráfico del honeypot se limita a los atacantes. Como tal, el equipo de seguridad de la información (InfoSec) no tiene que separar a los ciberdelincuentes del tráfico web legítimo. Toda la actividad puede considerarse maliciosa en el honeypot. Esto significa que el equipo de ciberseguridad puede dedicar más tiempo a analizar el comportamiento de los ciberdelincuentes, en lugar de separarlos de los usuarios normales.
    • Evolución continua. Una vez implementados, los honeypots pueden desviar un ciberataque y recopilar información de forma continua. De este modo, es posible que el equipo de ciberseguridad registre qué tipos de ataques se están produciendo y cómo evolucionan con el tiempo. Esto brinda a las organizaciones la oportunidad de cambiar sus protocolos de seguridad para adaptarlos a las necesidades del momento.
    • Identificación de amenazas internas. Los honeypots pueden identificar tanto amenazas de seguridad internas como externas. Aunque numerosas técnicas de ciberseguridad se centran en los riesgos procedentes del exterior de la organización, los honeypots también pueden atraer a actores internos que intentan acceder a los datos de la organización, la IP u otra información confidencial.

Es importante recordar que los honeypots forman parte de una estrategia global de ciberseguridad. Desplegados de forma aislada, los honeypots no protegerán adecuadamente a la organización frente a una amplia gama de amenazas y riesgos.

Los ciberdelincuentes también pueden utilizar los honeypots al igual que las organizaciones. Si los ciberdelincuentes reconocen que el honeypot es un señuelo, pueden inundarlo con intentos de intrusión para desviar la atención de los ataques reales al sistema legítimo. Los hackers también pueden proporcionar deliberadamente información errónea al honeypot. Esto permite que su identidad siga siendo un misterio y confunde a los algoritmos y modelos de aprendizaje automático utilizados para analizar la actividad. Es crucial que una organización despliegue una serie de herramientas de supervisión, detección y corrección, así como medidas preventivas para protegerla.

Otro riesgo del honeypot se produce cuando el entorno del señuelo está mal configurado. En este caso, los adversarios avanzados pueden identificar una forma de moverse lateralmente desde el señuelo a otras partes de la red. Utilizar un honeywall para limitar los puntos de entrada y salida de todo el tráfico del honeypot es un aspecto importante del diseño del honeypot. Esta es otra razón por la que la organización debe poner en marcha técnicas de prevención como cortafuegos y herramientas de monitorización basadas en la nube para desviar ataques e identificar posibles intrusiones rápidamente.

Informe sobre Threat Hunting 2024

En el Informe sobre Threat Hunting 2024 de CrowdStrike, se desvelan las últimas tácticas de más de 245 adversarios modernos, y se muestra cómo sus ataques siguen evolucionando e imitando el comportamiento de usuarios legítimos. Accede aquí a información para evitar las brechas. 

 Descargar ahora

Comparación entre honeypots de producción y honeypots de investigación

Los honeypots pueden clasificarse de muy diferentes maneras. En el nivel más básico, los honeypots se clasifican según su finalidad como honeypots de producción o honeypots de investigación.

Honeypots de producción

El honeypot de producción es el tipo de honeypot más habitual. Las empresas utilizan este señuelo para recopilar información e inteligencia sobre ciberataques dentro de la red de producción. Esto puede incluir direcciones IP, horas y fechas de los intentos de intrusión, volumen de tráfico y otros atributos.

Los honeypots de producción son relativamente sencillos de diseñar y desplegar, pero son menos sofisticados que los de investigación en términos de inteligencia producida. Son los más utilizados por corporaciones, empresas privadas e incluso individuos de alto perfil, como celebridades, figuras políticas y líderes empresariales.

Honeypots de investigación

Un honeypot de investigación está diseñado para recopilar información sobre los métodos y técnicas específicos utilizados por los adversarios y qué posibles vulnerabilidades existen en el sistema en referencia a dichas tácticas.

Los honeypots de investigación suelen ser más complejos que los de producción. Suelen utilizarlos entidades gubernamentales, la comunidad de inteligencia y organizaciones de investigación para hacerse una mejor idea de los riesgos de seguridad de la organización.

Honeypots por complejidad

También es posible clasificar los honeypots en función de su complejidad. Lo más habitual es designar el señuelo en función de su nivel de interacción.

Honeypots de baja interacción

Un honeypot de baja interacción utiliza relativamente pocos recursos y recopila información básica sobre el ciberdelincuente. Estos honeypots son relativamente fáciles de configurar y mantener y la mayoría de los honeypots de producción se consideran honeypots de baja interacción.

Como son poco sofisticados, es poco probable que mantengan la atención de un ciberdelincuente durante mucho tiempo. Esto significa que es poco probable que sean un señuelo particularmente eficaz y solamente producirán inteligencia limitada sobre el adversario. Dada la creciente sofisticación de muchos adversarios, algunos ciberdelincuentes avanzados pueden detectar señuelos de bajo nivel y evitarlos, o incluso aprovecharlos alimentándolos con información errónea.

Honeypots de alta interacción

Un honeypot de alta interacción está diseñado para involucrar a los ciberdelincuentes durante largos periodos de tiempo a través de una red de objetivos de exploración, como varias bases de datos. Esto proporciona al equipo de ciberseguridad un mayor conocimiento de cómo trabajan estos adversarios, sus técnicas e incluso pistas sobre su identidad. Un honeypot de alta interacción consume más recursos y proporciona información de mayor calidad y más relevante, que la organización puede utilizar para adaptar los protocolos de seguridad existentes. La mayoría de los honeypots de investigación se consideran honeypots de alta interacción.

Los honeypots de alta interacción también conllevan cierto riesgo, por lo que requieren una supervisión y contención adecuadas. Un "honeywall", o perímetro establecido alrededor del honeypot, debe estar adecuadamente protegido y ofrecer un único punto de entrada y salida. Esto garantiza que el equipo de ciberseguridad pueda monitorizar y gestionar todo el tráfico e impedir el movimiento lateral desde el honeypot al sistema real.

Tecnología de engaño

Una tendencia reciente consiste en considerar los honeypots como un subsegmento denominado tecnología de engaño. Esta técnica de seguridad aplica la automatización inteligente, incluido el uso de inteligencia artificial (IA), aprendizaje automático (ML) y otras tecnologías avanzadas basadas en datos, al honeypot con el fin de automatizar la recopilación de datos y el análisis. La tecnología de engaño ayuda a la organización a procesar la información más rápidamente y a ampliar los esfuerzos en un entorno de señuelo más complejo.

Tipos de honeypots

Los honeypots también pueden desglosarse por el tipo de actividad que detectan.

Trampa de correo electrónico o trampa de spam

Una trampa de correo electrónico o spam implantará una dirección de correo electrónico ficticia en un campo oculto que solamente puede ser detectado por un recolector de direcciones automatizado o un rastreador de sitios. Dado que la dirección no es visible para los usuarios legítimos, la organización puede clasificar toda la correspondencia enviada a esa bandeja de entrada como spam. Entonces, podrá bloquear a ese remitente y su dirección IP, así como cualquier mensaje que coincida con su contenido.

Base de datos señuelo

Una base de datos señuelo es un conjunto de datos ficticios intencionadamente vulnerable que ayuda a las organizaciones a monitorizar las vulnerabilidades del software, las inseguridades de la arquitectura o incluso a los ciberdelincuentes internos. La base de datos señuelo recopilará información sobre técnicas de inyección, secuestro de credenciales o abuso de privilegios utilizadas por un ciberdelincuente, que puede incorporarse a las defensas del sistema y a las directivas de seguridad.

Honeypot de malware

Un honeypot de malware imita una aplicación de software o una interfaz de programación de aplicaciones (API) para extraer ataques de malware en un entorno controlado que no suponga una amenaza. De este modo, el equipo de seguridad de la información puede analizar las técnicas de ataque y desarrollar o mejorar las soluciones antimalware para hacer frente a estas vulnerabilidades, amenazas o atacantes específicos.

Honeypot de spiders

Similar al honeypot de spam, un honeypot de spider está diseñado para atrapar rastreadores web, a veces llamados spiders, mediante la creación de páginas web y enlaces solo accesibles a rastreadores automatizados. Identificar estos spiders puede ayudar a las organizaciones a entender cómo bloquear bots maliciosos, así como rastreadores de redes publicitarias.

Narendran es Director of Product Marketing para la protección de identidades y Zero Trust en CrowdStrike. Cuenta con más de 17 años de experiencia en la promoción de estrategias de marketing de productos y GTM en startups y empresas grandes de ciberseguridad como HP y SolarWinds. Anteriormente, fue Director of Product Marketing en Preempt Security, que fue adquirida por CrowdStrike. Narendran obtuvo un máster de ciencias en informática en la Universidad de Kiel (Alemania).