Tecnologías de Engaño y Disrupción


🧠 ALEGORÍA INICIAL – "El Laberinto y el Espejo"

Imagina que una organización es como un templo protegido por un gran laberinto. Pero este laberinto no es normal: está lleno de espejos, caminos falsos, trampas con comida que parece real y puertas que no llevan a ningún lado. Cuando un intruso entra, gasta tiempo, energía y atención en lugares que no llevan al tesoro real. Cada paso falso activa campanas ocultas que alertan a los guardianes (el equipo de seguridad).

Estas herramientas mágicas no solo distraen y desgastan al intruso, sino que permiten que los guardianes estudien su forma de moverse, sus armas y hasta su forma de pensar. Así funciona el arte del engaño cibernético. No se trata solo de defender… sino de hacer que el enemigo se desgaste y se delate.


1. 🔍 Concepto general

  • Las tecnologías de engaño son herramientas defensivas proactivas que simulan entornos reales o crean trampas para atraer y analizar atacantes.

  • Aumentan el coste, el tiempo y la complejidad de los ataques.

  • Permiten recopilar inteligencia de amenazas y mejorar la defensa activa.

2. 🧱 Fundamento técnico

Herramientas principales:

  • Honeypots – Sistemas señuelo diseñados para imitar servicios vulnerables.

  • Honeynets – Red completa de honeypots interconectados.

  • Honeyfiles – Archivos falsos con nombres tentadores para el atacante.

  • Honeytokens – Datos falsos o credenciales diseñadas para alertar sobre accesos no autorizados.

3. 🏛️ Aplicación en infraestructura

  • Se pueden desplegar en entornos reales o aislados.

  • Integrados con SIEM, EDR, o plataformas de Threat Intelligence.

  • También en entornos cloud, como buckets S3 falsos o tokens API señuelo.

4. ⚔️ Casos reales o ejemplos prácticos

  • Un archivo contraseñas_finanzas.xlsx en una carpeta compartida activa una alerta cuando es abierto.

  • Una base de datos MySQL abierta intencionalmente en una DMZ registra credenciales y comandos usados por el atacante.

  • Una clave de AWS falsa (honeytoken) publicada en GitHub activa un webhook al ser usada.

5. 📊 Ventajas y limitaciones

Ventajas:

  • Alta detección de actividades maliciosas sin falsos positivos.

  • Proporciona inteligencia accionable.

  • Disuade o ralentiza a los atacantes.

Limitaciones:

  • No sustituye controles tradicionales.

  • Mal implementados pueden ser detectados por el atacante.

  • Requiere mantenimiento y monitoreo activo.

6. 🔐 Buenas prácticas

  • Segmentación adecuada – Aislar los honeypots para evitar daño colateral si son comprometidos.

  • No reutilizar nombres reales – Los nombres de archivos o servicios falsos no deben parecer clones idénticos de sistemas reales.

  • Integrar con alertas – Configurar alertas inmediatas al activar honeytokens o accesos a honeypots.

  • Rotación periódica – Cambiar los tokens, nombres de archivos y configuraciones para que no se vuelvan predecibles.

  • No provocar al atacante – El honeypot debe observar, no contraatacar. Las respuestas activas pueden generar problemas legales o éticos.

7. 🧠 Errores comunes

  • Configurar honeypots sin aislamiento de red.

  • Utilizar nombres muy obvios como "honeypot123".

  • No monitorizar o analizar los logs generados.

  • Dejar honeytokens activos en ambientes productivos sin revisión.

8. 🔄 Integración con otras defensas

  • Se complementa con Defensa en profundidad – Honeytools actúan como una capa más dentro del castillo.

  • Funciona como un Sensor de amenaza temprano.

  • Ideal para acompañar a SIEM, SOAR, NDR, EDR, y CSPM.

9. ⚙️ Herramientas comunes

  • Kippo/Cowrie – Honeypots SSH.

  • Dionaea – Emulación de servicios para capturar malware.

  • HoneyDB – Honeypots colaborativos.

  • Canarytokens – Honeytokens gratuitos y versátiles.

  • OpenCanary – Honeypots personalizables para entornos corporativos.

10. 🧩 Relación con resiliencia y continuidad

Estas tecnologías permiten:

  • Detectar intrusiones antes de que lleguen a datos reales.

  • Recopilar información del atacante antes de bloquearle.

  • Ganar tiempo en incidentes críticos.

  • Actuar como una capa adicional dentro de un plan de Continuidad de operacionesContinuity of Operations Plan (COOP) y Recuperación ante desastresDisaster Recovery (DR).

🧪 Nivel Avanzado

🎯 Ejercicio 1 — Red Team ataca un Honeyfile

  • Red Team ataca: Un atacante interno encuentra un archivo llamado Lista_contraseñas_clientes.xlsx en una carpeta compartida de red. Lo abre para exfiltrarlo.

  • Blue Team defiende: El archivo es un Honeyfile integrado con Canarytokens. Al abrirse, envía una alerta inmediata al SIEM y a la consola del SOC.

  • Purple Team gestiona: Analiza la IP, el host, el horario y la identidad del usuario que accedió. Corrige políticas de permisos, refuerza segmentación de carpetas y realiza una reunión post-mortem para ajustar la estrategia de detección interna.

🧪 Nivel Experto

🎯 Ejercicio 2 — Red Team escanea una red y cae en una Honeynet

  • Red Team ataca: Desde una red comprometida (DMZ), el atacante lanza un escaneo Nmap masivo para descubrir servicios vulnerables. Accede a un servidor con SMB abierto.

  • Blue Team defiende: El servidor forma parte de una Honeynet con máquinas virtuales controladas. Todo el tráfico se redirige a un entorno monitorizado con Wireshark, Snort y Sysmon.

  • Purple Team gestiona: Extrae el IOC del escaneo (Nmap string, fingerprint del atacante, rutas de escaneo, shellcode), alimenta la Threat Intel interna y actualiza el SIEM con reglas de detección. Lanza una campaña de concienciación para el equipo de desarrollo sobre segmentación segura.

🧪 Nivel Maestro

🎯 Ejercicio 3 — Red Team intenta escalar con tokens falsos

  • Red Team ataca: Un atacante que ya comprometió una máquina local busca credenciales en archivos .bash_history y .env. Encuentra una supuesta API Key de AWS y un .pem con permisos de root. Lo usa para intentar acceder a recursos cloud.

  • Blue Team defiende: Las credenciales son Honeytokens integradas con una plataforma como Canary o Thinkst. Al usarlas, se genera un alerta global, incluyendo información del comando usado, IP, y geolocalización. El acceso es redirigido a una honeynet AWS sin producción.

  • Purple Team gestiona: Activa el Plan de Respuesta a Incidentes (IRP). Detiene procesos de CI/CD hasta asegurar que no hay compromiso real. Contacta a los equipos de desarrollo y DevOps para analizar rutas de fuga, y actualiza la política de almacenamiento seguro de secretos. Añade nuevas detecciones en CIEM y configura nuevas políticas en Vault.

📚 BONUS: Ejercicio de Integración Purple Total

🧠 ¿Qué aprendes aquí?

  • A engañar inteligentemente al atacante para que se delate.

  • A construir un entorno con capas activas de defensa que no solo reaccionan, sino previenen y monitorean en tiempo real.

  • A usar el engaño como inteligencia ofensiva defensiva, recogiendo datos útiles sin riesgo directo.

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar