La ciberseguridad nunca para quieta. Nuestras defensas deben evolucionar a la par que las amenazas. Habitualmente, los equipos de seguridad han venido incluyendo métodos de fraude (señuelos y trampas para engañar a posibles ciberdelincuentes) como parte de su arsenal. Estas técnicas han tenido poco efecto en el terreno de la identificación rápida de las amenazas debido a la complejidad de su desarrollo y a los falsos positivos que producen. El uso de cuentas honey supone una herramienta diferente que cada vez se usa más por su eficiencia y seguridad.

En este artículo analizaremos las llamadas cuentas honey y hablaremos de qué son, cuáles son sus ventajas y cómo se pueden utilizar dentro de tu conjunto de medidas de seguridad.

Empecemos por los conceptos básicos.

¿Qué es una cuenta honey?

En pocas palabras, una cuenta honey es una cuenta de usuario falsa creada dentro de tu sistema que actúa como un sistema de alerta temprana para accesos no autorizados. Al contrario que las medidas de seguridad convencionales, la cuenta honey se ha diseñado para que tengan acceso a ella usuarios indeseados.

Diferenciemos términos

Muchos expertos confunden la cuenta honey con la táctica honeypot. Si además añadimos el término honey token a la fórmula, todo se complica aún más. Aclaremos conceptos:

Una cuenta honey es una cuenta de usuario ficticia que activa alertas de actividad no autorizada cuando se accede a ella. La cuenta honey es, por tanto, parte de tu sistema, pero no tiene función alguna, más allá de detectar incidentes.

Un honey token es un recurso digital, como un documento, un registro de base de datos o una clave de API, que te alerta cuando se usa. Imagina que es una "trampa de caza digital".

Un honeypot es un objetivo digital diseñado específicamente para atraer a los ciberdelincuentes y alejarlos de los objetivos reales. Un ejemplo de un honeypot sería una aplicación de software o un servidor que está configurado estratégicamente para parecer atractivo para los ciberdelincuentes, pero que está monitorizado de cerca por equipos de seguridad para estudiar el comportamiento del ciberdelincuente.

Ventajas de usar una cuenta honey

Como las amenazas de ciberseguridad cada vez son más complejas, las organizaciones tienen que buscar formas efectivas de mejorar sus defensas. Las cuentas honey ofrecen una serie de ventajas únicas que las hacen muy valiosas para esas defensas. Entre esas ventajas se incluyen:

• Ausencia de falsos positivos: no hay ningún motivo legítimo para que ningún usuario interno o externo quiera acceder a la cuenta honey. Por eso, toda la actividad de la cuenta es sospechosa.
• Detección rápida: en el momento en que alguien intente acceder a la cuenta honey, tu equipo de seguridad recibirá una alerta. Así podrás reaccionar con rapidez.
• Fácil de mantener e integrar: las cuentas honey son fáciles de configurar y se pueden integrar fácilmente en tu infraestructura de seguridad existente.

Configuración de una cuenta honey

Crear una cuenta Honey no es complicado, pero sí requiere cierto pensamiento estratégico.

Pasos para crear una cuenta honey

Aquí tienes una lista sencilla de los pasos que puedes dar para comenzar a crear una cuenta honey:

1. Identifica la ubicación del objetivo. Decide dónde será más efectiva la cuenta honey (p. ej., una base de datos financiera o un directorio de usuarios).
2. Crea la cuenta. Crea un nombre de usuario y añade otros detalles que parezcan realistas para que la cuenta se mezcle con el resto de cuentas reales.
3. Define los permisos. Asigna permisos a la cuenta para que resulte atractiva a los potenciales ciberdelincuentes, pero no concedas permisos reales a información sensible.
4. Configura alertas. Conecta la cuenta honey a tus herramientas de monitorización de seguridad. Configura alertas para que se activen ante cualquier actividad relacionada con esta cuenta.
5. Prueba la configuración. Antes de ponerlo todo en marcha, prueba la cuenta honey para asegurarte de que las alertas se activan correctamente y de que te notifiquen lo que quieres.
6. Monitoriza. Deja que tus herramientas de seguridad se encarguen de todo y que controlen la actividad de la cuenta honey en todo momento.
7. Revisa y actualiza. Revisa periódicamente la configuración de la cuenta honey y actualízala si es necesario para estar al día de nuevas amenazas.

Recomendaciones para una mayor eficacia

Las siguientes pautas adicionales te ayudarán a mejorar la eficacia de la colocación y el uso de tus cuentas honey:

• Elige nombres realistas. Introduce detalles que parezcan auténticos para tu cuenta honey. Evita usar nombres obvios como "cuenta_honey" o "usuariofake01" y demás.
• Concede a la cuenta unos permisos atractivos. La cuenta honey no puede tener acceso a datos sensibles, pero sí que puedes definirle los permisos para que resulte atractiva a los ojos de un ciberdelincuente. Por ejemplo, dale permisos como "admin" o "manager_financiero".
• Asóciale datos atractivos. Conecta la "cuenta honey" con datos falsos que sí que parezcan valiosos, como registros financieros falsos o memorandos internos.
• Incluye cuentas en varias ubicaciones. Puedes colocar cuentas honey en diferentes partes del sistema que abarquen varios puntos potenciales de intrusión y ataque.
• Cámbiala de vez en cuando. Cambia periódicamente la ubicación o los ajustes de tus cuentas honey. Así te irás adaptando a nuevas amenazas de seguridad que surjan o evitarás que los ciberdelincuentes más avezados te descubran.

Medidas de ciberseguridad

Usar una cuenta honey correctamente implica algo más que configurarla; hay que integrarla en tu estrategia de ciberseguridad junto con tus herramientas de seguridad existentes. Esta integración es fundamental para que resulte efectiva.

Usa herramientas de monitorización en tiempo real para controlar la cuenta honey. Cualquier actividad debe generar una alerta inmediata. Esto requiere una estrecha integración con tus sistemas actuales de monitorización, como una plataforma de gestión de eventos e información de seguridad (SIEM) , un sistema de detección de intrusiones (IDS) o un sistema de prevención de intrusiones (IPS).

Ten un plan de respuesta para usarlo cuando se active una alerta. La respuesta a incidentes puede implicar acciones como bloquear otras cuentas o iniciar una investigación a gran escala. Muchas plataformas de ciberseguridad te ayudarán a diseñar, implementar y ejecutar tu plan de respuesta a incidentes.

Por último, aprovecha las herramientas y plataformas diseñadas por expertos en ciberseguridad. Las plataformas de seguridad avanzadas como CrowdStrike Falcon® Next-Gen Identity Security ofrecen funciones especializadas para gestionar cuentas honey. Falcon Next-Gen Identity Security te ayuda a automatizar el proceso de configuración, monitorización y respuesta a las actividades de las cuentas honey.

Conclusión

Las cuentas honey representan una forma eficaz de mejorar tus medidas de ciberseguridad, y son fáciles de configurar y usar. Proporcionan una detección rápida de accesos no autorizados, sin falsos positivos. También son fáciles de mantener. Al integrar el uso de cuentas honey en tu estrategia de ciberseguridad, sumarás una capa de defensa que te alertará de amenazas y te permitirá responder rápidamente.

¿Te interesa mejorar la ciberseguridad de tu organización? Prueba la plataforma CrowdStrike Falcon®, que incluye Falcon Next-Gen Identity Security de forma gratuita. También puedes ponerte en contacto con CrowdStrike directamente para obtener más información.