Resumen ejecutivo del Informe Global sobre Amenazas 2026 de CrowdStrike: el informe definitivo sobre inteligencia de amenazas para la era de la IA Descargar

Introducción a los honeytokens

Las empresas de hoy en día hacen todo lo que pueden para ir por delante de los ciberdelincuentes y los ataques maliciosos y es esencial que se mantengan al día de las nuevas herramientas y estrategias de seguridad. Entre el conjunto de técnicas tradicionalmente empleadas, los métodos de fraude han jugado un papel destacado, implicando en muchas ocasiones la implementación de señuelos o trampas para engañar a los ciberdelincuentes. Sin embargo, las técnicas tradicionales de fraude a menudo conducen a una complejidad de implementación y operación, una mayor exposición al riesgo y una identificación más lenta de las amenazas.

Una alternativa eficiente y más segura a los métodos tradicionales de fraude es el honeytoken. Los honeytokens permiten detectar rápidamente actividades maliciosas y, a menudo, pueden servir como sistema de alerta temprana para tu equipo de seguridad.

En esta publicación, vamos a ver cómo funcionan los honeytokens, te ofreceremos las prácticas recomendadas para implementarlos y elegirlos entre tu arsenal de herramientas de seguridad.

Guía completa para diseñar una estrategia de protección de la identidad

Da el primer paso hacia una posición de seguridad de la identidad y descarga la Guía completa para diseñar una estrategia de protección de la identidad y defender así el panorama de la identidad digital de tu empresa desde hoy mismo.

 Descargar ahora

Definición de los honeytokens

Los honeytokens son recursos digitales diseñados deliberadamente para ser atractivos para un ciberdelincuente, pero evidencian un uso no autorizado. No tienen ninguna función real en tus sistemas. Pero, cuando se usan, activan una alerta de acceso potencialmente no autorizado.

Los honeytokens pueden presentarse en muchos formatos:

  • Documentos: archivos diseñados para simular que contienen información confidencial (como datos financieros o propiedad intelectual) que activan una alerta cuando se abren.
  • Registros de base de datos: registros ficticios en una base de datos con valor aparente (como información de clientes, datos comerciales o credenciales de empleados) que indican intrusión si se accede a ellos.
  • Credenciales: datos falsos de nombres de usuario, direcciones de correo electrónico y contraseñas que pueden colocarse estratégicamente en aplicaciones o archivos de configuración, e indican una posible actividad maliciosa cuando se utilizan.
  • Tokens: tokens de acceso o claves de API que indican una posible actividad maliciosa cuando se utilizan.

El objetivo principal de un honeytoken es detectar el uso o acceso no autorizados a recursos. Esa detección, combinada con un mecanismo de alerta, puede generar una respuesta rápida ante incidentes.

Diferencias entre honeytokens y honeypots

Los honeytokens son similares a los honeypots, pero presentan diferencias significativas. Un honeypot es un sistema de señuelo diseñado para atraer a ciberdelincuentes, que replica un sistema real (como un servidor, una aplicación o una red), pero que contiene vulnerabilidades aparentes que son monitorizadas de cerca por un equipo de seguridad. Cuando los atacantes interactúan con un honeypot, el equipo de seguridad puede observar y comprender sus técnicas de ataque y, basándose en esa información, puede preparar contramedidas.

Al contrario que los honeypots, los honeytokens son simples fragmentos de datos que sirven para atraer a los ciberdelincuentes. Situados dentro de un conjunto de datos o un sistema, la única función legítima de un honeytoken es señalar el acceso no autorizado y alertar a un equipo de seguridad sobre una posible brecha. Además de ayudar en la detección temprana de actividad maliciosa, los honeytokens ayudan a los equipos de seguridad a comprender mejor los vectores y patrones de ataque dentro de sus sistemas. Al atraer adversarios y analizar sus rutas de ataque, la organización estará mejor informada para establecer acciones de defensa y hacer cumplir directivas que refuercen su posición de seguridad.

Más información

Las vulnerabilidades de Active Directory cada vez presentan un mayor riesgo para las organizaciones, ya que la ciberdelincuencia tiende a centrar su atención en las identidades. A medida que los ciberdelincuentes evolucionan sus tácticas, también deben hacerlo nuestras defensas colectivas. 

Blog: CrowdStrike amplía las innovaciones en seguridad de la identidad para proteger a los clientes y detener brechas

Cómo funcionan los honeytokens

Los honeytokens funcionan aprovechando la curiosidad y el deseo de los ciberdelincuentes de acceder a recursos valiosos. Los honeytokens parecen un recurso legítimo y valioso, y resultan muy atractivos. Aunque los ciberdelincuentes suponen que han descubierto algo valioso, en realidad han activado una trampa que alerta al equipo de seguridad.

Para que los honeytokens se usen de manera eficaz, la organización debe centrarse en una estrategia de implementación, detección y respuesta.

Implementación de Honeytoken

La colocación estratégica de honeytokens en aplicaciones, sistemas o redes tiene como objetivo imitar recursos auténticos que serían atractivos para los ciberdelincuentes. Como primer paso en la implementación, la organización identifica recursos de alto riesgo o alto valor que puedan ser objetivo de los ciberdelincuentes. Podría tratarse de bases de datos con información confidencial de clientes o carpetas en un servidor que contengan supuesta propiedad intelectual.

Una vez identificados los objetivos potenciales, los honeytokens se colocan junto a recursos reales o se integran dentro de aplicaciones o sistemas. Por ejemplo, los honeytokens de documentos pueden tener nombres de archivo y contenido similares a los de documentos confidenciales legítimos, o pueden insertarse credenciales de apariencia real (pero falsas) en archivos de configuración.

La colocación cuidadosa de los honeytokens garantiza que se intercalen con recursos legítimos, lo que aumenta la probabilidad de que un ciberdelincuente interactúe con ellos.

Detección de honeytokens

El uso de honeytokens solo es efectivo si se activan alertas cuando se accede a ellos o se utilizan. Como solo usuarios no autorizados pueden acceder a los honeytokens, cualquier actividad que involucre un honeytoken se considera sospechosa. Esto quiere decir que un sistema de detección y alerta no tendrá ningún falso positivo. Los sistemas de detección de intrusiones (IDS) o las herramientas de gestión de eventos e información de seguridad (SIEM) se pueden configurar para rastrear el uso de honeytokens y generar alertas.

Respuesta a incidentes

Cuando se activa un honeytoken, el equipo de seguridad ejecuta su plan de respuesta a incidentes. Este proceso incluye la recopilación de información sobre el ciberdelincuente (como su dirección IP), rastrear sus patrones de acceso y determinar hasta dónde puede acceder dentro de los sistemas de la organización. Además, el equipo de seguridad puede bloquear cualquier recurso adyacente (y potencialmente vulnerado).

Aunque el objetivo principal del honeytoken es proporcionar una detección rápida de una intrusión, un equipo de seguridad aún puede recopilar inteligencia de gran valor que ayudará a reforzar la posición de seguridad general de la organización.

Prácticas recomendadas para la implementación de honeytokens

A la hora de implementar honeytokens, ten en cuenta las siguientes prácticas recomendadas:

Elige el tipo de honeytoken correcto

Determina los tipos de honeytokens que serían más adecuados para los recursos de tu organización y para las amenazas potenciales. Por ejemplo, si tu organización tiene un mayor riesgo de acceso no autorizado a la base de datos, entonces sería inteligente utilizar honeytokens de registros de base de datos (registros ficticios con valor aparente). Céntrate primero en la amenaza de mayor prioridad y selecciona honeytokens que ayuden a detectar actividad maliciosa en esas áreas.

Asegúrate de situar correctamente el honeytoken

Los honeytokens deben colocarse en lugares que sean propensos a ser atacados por ciberdelincuentes. El objetivo de la colocación estratégica es dificultar que los ciberdelincuentes puedan distinguir entre recursos reales y falsos. Esto puede implicar colocar honeytokens junto a identidades, datos o recursos reales.

Integra honeytokens en la infraestructura de seguridad existente

Como la detección es fundamental para la eficacia de los honeytokens, las organizaciones deben integrar la detección del uso de honeytokens con sus herramientas e infraestructura de seguridad existentes. Las organizaciones que cuenten con un socio en ciberseguridad deben aprovechar herramientas como la protección de identidad (IDP) para incluir la monitorización y la alerta del acceso a honeytokens.

Actualiza y mantén los honeytokens periódicamente

Establece un plan para la revisión y actualización periódica de los honeytokens. Así te asegurarás de que sigan siendo eficaces y relevantes. Al cambiar el contenido de los documentos, credenciales y tokens honeytoken, una organización mantiene sus honeytokens en línea con las prácticas de seguridad actuales y los cambios organizativos. Los honeytokens deben estar adecuadamente documentados por el equipo de seguridad. Además, una organización debe ser consciente de que el acceso al honeytoken también puede provenir de fuentes internas, como los empleados. No es algo que deba ignorarse, ya que podría indicar un comportamiento malicioso por parte del empleado o que un adversario ha utilizado credenciales de empleado válidas para obtener acceso.

Conclusión

Entre las herramientas utilizadas por los equipos de seguridad en la ciberseguridad moderna, los honeytokens son cada vez más habituales. Representan una alternativa sólida a las técnicas tradicionales de fraude, ya que son ligeras y fáciles de mantener, y pueden proporcionar de inmediato información sobre actividad maliciosa. Cuando se implementan estratégicamente, los honeytokens pueden detectar de forma temprana una intrusión. Junto con las herramientas de seguridad existentes de una organización, los honeytokens pueden ser un recurso muy valioso dentro del conjunto de herramientas del equipo de seguridad.

Capacidades de honeytoken de Falcon Next-Gen Identity Security

CrowdStrike Falcon® Next-Gen Identity Security ofrece una capacidad avanzada de honeytoken para mejorar las defensas de seguridad Los usuarios pueden crear cuentas honeytoken (basadas en nuestras recomendaciones) para que actúen como señuelos de cara a potenciales ciberdelincuentes. Cualquier interacción con estas cuentas honeytoken activa una alerta detallada. Los equipos de seguridad reciben información precisa sobre la ruta de ataque y las técnicas utilizadas por los ciberdelincuentes. Si trabajan con Microsoft Active Directory (AD), los usuarios de CrowdStrike Falcon® Next-Gen Identity Security pueden marcar cuentas como honeytokens en AD sin necesidad de configuraciones o recursos adicionales. También pueden incorporar controles estrictos para estas cuentas honeytoken con directivas de cumplimiento incorporadas, lo que hace que sea más seguro para las organizaciones asumir riesgos calculados.

Narendran es Director of Product Marketing para la protección de identidades y Zero Trust en CrowdStrike. Cuenta con más de 17 años de experiencia en la promoción de estrategias de marketing de productos y GTM en startups y empresas grandes de ciberseguridad como HP y SolarWinds. Anteriormente, fue Director of Product Marketing en Preempt Security, que fue adquirida por CrowdStrike. Narendran obtuvo un máster de ciencias en informática en la Universidad de Kiel (Alemania).