Tres niveles según interacción: baja interacción (emula servicios básicos, detecta escaneos), media (simula login y respuesta básica), alta (sistema operativo completo en sandbox, permite estudiar el comportamiento del atacante con profundidad).
Qué es un honeypot
Un honeypot es un sistema señuelo desplegado deliberadamente dentro de una red para atraer la atención de un atacante, observar sus técnicas y generar alertas tempranas. Aparenta ser un activo legítimo (servidor, base de datos, aplicación web, dispositivo IoT) y carece de uso operativo real, por lo que cualquier interacción con él es anómala por definición. Si un atacante o un proceso malicioso interactúa con el honeypot, la organización sabe inmediatamente que algo está ocurriendo. Es una de las técnicas más antiguas de deception en ciberseguridad y sigue siendo una de las más eficaces porque tiene una tasa de falsos positivos prácticamente nula.
Por qué importa
Los honeypots son una de las pocas señales de seguridad que se acercan al 100% de precisión. Casi nadie tiene motivo legítimo para conectar con un servidor falso enterrado en la red interna, intentar hacer login en una base de datos señuelo o tocar un share de red con nombre llamativo. Por eso, una alerta proveniente de un honeypot es de las más fiables que recibe un SOC. Sirven especialmente bien para detectar movimiento lateral en redes ya comprometidas, donde los atacantes están explorando el entorno y los señuelos resultan tan atractivos como los activos reales. Para una organización que busca cumplir requisitos de detección bajo NIS2 o demostrar capacidades de threat hunting bajo DORA, los honeypots son una herramienta táctica con muy buena relación coste-beneficio.
Puntos clave
Honeypot ≠ honeytoken. Un honeytoken es una credencial, archivo o registro de base de datos señuelo: nadie debería usarlo, así que su uso dispara alerta. Suele ser más fácil de desplegar que un honeypot completo.
Despliegue interno (T-pot, Cowrie, Honeytrap, soluciones comerciales como TrapX o Thinkst Canary) versus externo (sondas en proveedores cloud para estudiar amenazas globales). Para defensa, lo útil es el interno; para inteligencia, el externo.
Honeypot + SIEM + threat hunting es la combinación que más ROI da: el honeypot genera la señal, el SIEM la correla con el resto del entorno y el equipo de hunting investiga el alcance del compromiso.
Ejemplo: honeypot que detecta movimiento lateral interno
Una organización despliega tres honeypots en distintas VLANs internas: un servidor que parece base de datos antigua con nombre llamativo ("oracle-finanzas-2018"), un share SMB que parece backup de RRHH, y un endpoint que parece máquina de un alto directivo. Ninguno tiene uso operativo. Meses después, un atacante con foothold en un endpoint comprometido se mueve lateralmente buscando activos valiosos. Detecta los honeypots vía enumeración de red, intenta conectar al supuesto "oracle-finanzas-2018" probando credenciales por defecto, y dispara alerta inmediata al SOC. Como nadie tiene motivo legítimo para tocar ese servidor, la alerta tiene precisión cercana al 100%. El SOC aísla el endpoint origen vía EDR, identifica que el atacante lleva tres semanas dentro y arranca respuesta a incidentes. Sin honeypots, esa actividad de reconocimiento interno habría seguido invisible.
Errores habituales
- Desplegar honeypots sin avisar al SOC ni al equipo de red. Cuando salta una alerta, alguien tiene que saber qué es y cómo investigarla. Honeypot sin proceso = ruido ignorado.
- Honeypots demasiado obvios. Un servidor llamado «honeypot-01» no engaña a nadie. Convencer al atacante exige nombres realistas, configuración plausible y tráfico de fondo creíble.
- Honeypots demasiado expuestos al exterior sin segmentación. Si el señuelo es comprometido y puede llegar al resto del entorno, en lugar de defensa se convierte en pivote del atacante.
- No combinar con honeytokens. Honeytokens son baratísimos (credenciales falsas en un gestor, archivos con nombre interesante en un share, registros señuelo en una base de datos), aportan cobertura adicional y exigen casi cero mantenimiento.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Qué diferencia hay entre honeypot y honeytoken?
Un honeypot es un sistema completo señuelo (servidor, aplicación, dispositivo). Un honeytoken es un elemento más pequeño: una credencial falsa en un gestor de contraseñas, un archivo con nombre llamativo en un share, una entrada falsa en una base de datos. Los honeytokens son más baratos de desplegar y mantener, los honeypots son más completos para estudiar técnicas del atacante.
¿Es legal desplegar honeypots?
Sí, en redes propias de la organización. Los matices legales aparecen cuando se busca atribución activa o se interactúa con el atacante (en algunos países, lo que se llama «entrapment»). Como herramienta defensiva pasiva dentro del propio entorno es perfectamente legal y compatible con el RGPD si no recoge datos personales de usuarios legítimos por accidente.
¿Qué nivel de mantenimiento exige un honeypot?
Depende del tipo. Los honeypots de baja interacción y los honeytokens son muy baratos: una vez desplegados, casi no requieren mantenimiento más allá de revisar alertas. Los de alta interacción consumen más recursos (deben simular sistemas reales convincentes) y aportan más profundidad de inteligencia. La mayoría de organizaciones empieza por honeytokens y honeypots de baja interacción.