Siempre he dicho, y lo reafirmo, que para protegerse de los cibercriminales las estrategias reactivas son inservibles. Es necesario pensar como ellos.
Anticiparse, salirse de la caja e innovar es clave contra un tipo de adversarios que precisamente eso es lo que hacen de forma constante: evolucionar y volverse más sofisticados en sus ataques.

Javier Bernardo, ingeniero en seguridad, pentester y hacker ético con amplia expertise en manejo de incidentes y frameworks de seguridad.
» Javier Bernardo, ingeniero en seguridad, pentester y hacker ético con amplia expertise en manejo de incidentes y frameworks de seguridad.
Como experto en ciberseguridad he detectado que uno de los métodos que es tendencia dentro de las prácticas de hacking ético es el Honeypot. Es un enfoque sumamente efectivo para detectar y remediar vulnerabilidades en los sistemas antes de que las encuentren los atacantes.

¿Qué es un Honeypot? Te lo explico: Se trata de un activo digital falso que se asemeja a un activo valioso dentro de la organización, el cual es creado en forma de señuelo para atraer a los cibercriminales y hacerlos que salgan a relucir por sí mismos.

Es decir, es una forma de engañar al ciberdelincuente tal y como ellos suelen hacerlo con los empleados de las compañías al propagar ataques de phishing, por mencionar solo un ejemplo.

El honeypot es vulnerable, así que se presenta como un objetivo legítimo. Por ejemplo, una vulnerabilidad en un sistema de facturación apócrifo creado por la propia empresa o por una empresa de hacking ético.

Esto hace que el cibercriminal en su intento por acceder a dicho sistema para vulnerarlo, sea redirigido generalmente a un entorno aislado, permitiendo que los operadores del SOC o blue teams (equipos de seguridad defensiva) tengan visibilidad de qué tipo de ataque se está intentando ejecutar. Además de esa forma pueden evaluar el comportamiento de la amenaza, documentarlo y utilizar esa información para incrementar el nivel de seguridad en los perímetros.

Existen distintos tipos de honeypots, desde servidores de correos electrónicos falsos, hasta bases de datos señuelo con un diseño de seguridad débil, u otros que imitan a las aplicaciones de un software y las API, pero con capas de protección muy débiles para atraer a los atacantes.

También existen los ‘honeypot spiders’ que consisten en la generación de páginas web falsas a las que solo se les da acceso a los rastreadores de amenazas y desde luego a los criminales, para atraerlos y retenerlos ahí.

Desde mi perspectiva, las compañías deben considerar a los honeypots como método para identificar vulnerabilidades y cibercriminales debido a que les permite identificar fácilmente tendencias como el uso de IP idénticas, además de documentar la actividad criminal detectada como intentos de intrusión y presencia de amenazas.

Considero que actualmente es muy importante darle prioridad a este tipo de prácticas de ciberseguridad, sobre todo porque a diferencia de los métodos tradicionales de protección esta es una forma de actuar de forma inesperada y diferente para los cibercriminales. He sido testigo de la manera en la que los hackers suelen innovar y sorprender a los equipos de TI haciéndoles caer en sus trampas, por lo que tener herramientas que ayuden a hacerlos caer en métodos que se asemejan a los que los adversarios utilizan es una excelente manera de responder.

En conclusión, nunca dejaré de decirle a los líderes de compañías que la mejor forma de defenderse de los adversarios en cibercrimen es la de anticiparse a cualquiera que sea la táctica que van a utilizar.

Esperar y reaccionar a la propagación de amenazas puede tener un costo sumamente alto. Por ello, estar un paso adelante con ayuda de un hacker ético que conoce a la perfección métodos similares a los de los entes maliciosos, así como otras tácticas como los honeypot, es fundamental de cara al 2023.