Diseño de honeypots: principios para engañar a atacantes de forma eficaz

Fuentes: Honeypot Design

Un honeypot es un servicio o sistema deliberadamente expuesto en internet para atraer y estudiar a atacantes, así como para malgastar su tiempo y recursos. El autor, con años de experiencia ejecutando honeypots como WordPress falsos, endlessh y cowrie, comparte una guía de diseño basada en la práctica.

Las consideraciones clave se agrupan en tres bloques. Primero, la gestión de recursos: minimizar el consumo en el sistema legítimo y, al mismo tiempo, maximizar el del atacante; reservar recursos del intruso cuando el protocolo lo permita; y enviar respuestas malformadas o inapropiadas. Segundo, la fidelidad y la seguridad operativa: imitar un servidor real lo más fielmente posible, registrar incluso datos malformados o fuera de protocolo, evitar daño colateral y prevenir ataques de amplificación. Tercero, la atracción: el honeypot debe resultar creíble y apetecible para el atacante.

El autor advierte de tensiones inherentes: pretender confundir al adversario puede chocar con la necesidad de imitar software conocido. Estas contradicciones solo se resuelven con la experiencia, no en la fase de diseño. También compara el mantenimiento de un honeypot con una carrera armamentística, ya que los atacantes evolucionan y obligan a reescribir el software.

Además, argumenta que proliferar honeypots con comportamientos idiosincrásicos y artesanales disuade a los escáneres automatizados, incluidas prácticas grises de gran escala como el scraping agresivo de empresas de IA. Por último, ofrece una bibliografía escasa sobre el tema, dominada por libros descatalogados y artículos de revistas potencialmente depredadoras.