Honeypot
Sistema informático diseñado deliberadamente para atraer atacantes, simular vulnerabilidades y registrar sus actividades, proporcionando inteligencia sobre técnicas de ataque y evidencia forense para investigaciones de seguridad.
¿Qué es un honeypot?
INCIBE notificó 237.028 sistemas vulnerables en España durante 2025 y gestionó 122.223 ciberincidentes — un 26% más que el año anterior. En este contexto, los honeypots se han convertido en una herramienta clave tanto para la detección temprana de amenazas como para la captura de evidencia forense de ataques en curso.
Un honeypot (literalmente “tarro de miel”) es un sistema informático desplegado deliberadamente para parecer un objetivo atractivo y vulnerable para atacantes. No contiene datos reales de producción ni presta servicios legítimos: su único propósito es atraer, registrar y analizar actividades maliciosas. Cualquier interacción con un honeypot es, por definición, sospechosa o maliciosa.
Principio fundamental
En un sistema de producción, distinguir tráfico legítimo de malicioso es difícil. En un honeypot, toda actividad es sospechosa porque ningún usuario legítimo debería acceder a él. Esto simplifica enormemente la detección y el análisis forense.
Tipos de honeypots
Clasificación por nivel de interacción
| Característica | Baja interacción | Media interacción | Alta interacción |
|---|---|---|---|
| Emulación | Solo servicios básicos (puertos, banners) | Shell simulado con comandos limitados | Sistema operativo real completo |
| Riesgo | Mínimo | Bajo | Alto (puede ser comprometido) |
| Información capturada | IPs, puertos escaneados, payloads básicos | Comandos ejecutados, credenciales | TTPs completas, malware, exploits |
| Mantenimiento | Bajo | Medio | Alto |
| Detectabilidad | Alta (atacantes expertos lo identifican) | Media | Baja |
| Ejemplo | Honeyd, Dionaea | Cowrie | HoneyTrap, sistemas reales instrumentados |
Honeypots de baja interacción
Emulan servicios de red básicos sin proporcionar un sistema operativo real. Capturan información inicial del atacante:
- Dionaea: Emula servicios SMB, HTTP, FTP, MSSQL para capturar malware
- Honeyd: Crea hosts virtuales con diferentes sistemas operativos simulados
- Conpot: Especializado en sistemas de control industrial (SCADA/ICS)
- Mailoney: Emula servidores SMTP para capturar campañas de spam/phishing
Honeypots de alta interacción
Proporcionan sistemas operativos reales que permiten al atacante interactuar completamente:
- Cowrie (SSH/Telnet): Registra sesiones completas incluyendo comandos, archivos descargados y credenciales
- HoneyTrap: Framework modular para captura de ataques
- Sistemas reales instrumentados: Servidores con monitorización avanzada
Riesgo de alta interacción
Un honeypot de alta interacción puede ser comprometido y utilizado como plataforma para atacar a terceros. Es imprescindible aislarlo de la red de producción con firewalls estrictos y monitorizar todo el tráfico saliente.
Honeynet: Redes de honeypots
Un honeynet es una red completa de honeypots interconectados que simula un entorno de producción real. Según The Honeynet Project, permite observar:
- Movimientos laterales: Cómo el atacante se mueve entre sistemas
- Escalada de privilegios: Técnicas para obtener acceso de administrador
- Exfiltración de datos: Métodos de extracción de información
- Comunicación C2: Conexiones con servidores de comando y control
- Propagación de malware: Cómo se distribuye ransomware o gusanos
Clasificación por propósito
| Tipo | Propósito | Ejemplo de uso |
|---|---|---|
| Research honeypot | Investigación académica de amenazas | Universidades, CERT/CSIRT |
| Production honeypot | Detección de intrusiones en entorno corporativo | Empresas, SOCs |
| Spam honeypot | Captura de campañas de spam y phishing | ISPs, proveedores email |
| Database honeypot | Detección de inyección SQL y ataques a BBDD | Empresas con datos sensibles |
| Spider honeypot | Identificación de web crawlers maliciosos | Sitios web, APIs |
Deception technology: Evolución del honeypot
La deception technology (tecnología de engaño) representa la evolución empresarial de los honeypots tradicionales. Plataformas como Attivo Networks, Illusive Networks y TrapX despliegan automáticamente:
- Decoys: Servidores, endpoints y servicios falsos integrados en la red real
- Breadcrumbs: Credenciales falsas, archivos señuelo y registros DNS ficticios que guían al atacante hacia los decoys
- Lures: Tokens y documentos trampa que alertan cuando son accedidos
La ventaja sobre los honeypots tradicionales es la integración transparente en el entorno de producción, haciendo casi imposible distinguir sistemas reales de señuelos.
Valor forense de los honeypots
Evidencia capturada
Los honeypots proporcionan evidencia forense de alto valor:
| Tipo de evidencia | Descripción | Herramientas de análisis |
|---|---|---|
| Logs de sesión | Comandos ejecutados, timestamps exactos | Splunk, ELK Stack |
| Capturas de red (PCAP) | Tráfico completo del atacante | Wireshark, NetworkMiner |
| Malware | Binarios descargados por el atacante | Sandbox, VirusTotal |
| Credenciales | Contraseñas utilizadas en ataques de fuerza bruta | Análisis de diccionarios |
| IOCs | IPs, dominios, hashes de malware | Plataformas de threat intelligence |
| TTPs | Tácticas, técnicas y procedimientos (framework MITRE ATT&CK) | MITRE Navigator |
Proceso de análisis forense de un honeypot
Preservación de evidencia
Antes de cualquier análisis, asegurar la integridad:
- Crear imagen forense del sistema honeypot
- Exportar todos los logs con hashes SHA-256
- Capturar volcado de memoria RAM si el honeypot está activo
- Preservar capturas PCAP completas
Análisis de cronología (timeline)
Reconstruir la secuencia de eventos:
- Primer contacto (escaneo de puertos, reconocimiento)
- Intentos de explotación (vulnerabilidades probadas)
- Acceso inicial (credenciales, exploit exitoso)
- Post-explotación (movimientos laterales, persistencia)
Identificación del atacante
Correlacionar direcciones IP con:
- Geolocalización y ASN (proveedor de red)
- Reputación en bases de threat intelligence
- Patrones de horario (zona horaria del atacante)
- Fingerprinting de herramientas (Nmap, Metasploit, scripts custom)
Análisis de malware capturado
Todo binario descargado por el atacante se analiza:
- Hash y comparación con bases de datos de malware
- Análisis en sandbox para comportamiento dinámico
- Ingeniería inversa si es necesario
- Identificación de infraestructura C2
Documentación para informe pericial
Preparar evidencia para uso judicial:
- Cadena de custodia de todos los artefactos
- Logs originales con hashes de integridad
- Capturas de pantalla de sesiones del atacante
- Correlación temporal con el incidente investigado
Herramientas de honeypot
Despliegue y gestión
| Herramienta | Tipo | Servicios emulados | Licencia |
|---|---|---|---|
| T-Pot | Plataforma multi-honeypot | 20+ honeypots integrados | Open source |
| Cowrie | Alta interacción SSH/Telnet | SSH, Telnet, SFTP | Open source |
| Dionaea | Baja interacción | SMB, HTTP, FTP, MSSQL, MySQL | Open source |
| Conpot | ICS/SCADA | Modbus, S7comm, IPMI | Open source |
| HoneyDB | Agregador datos | Datos de honeypots globales | Servicio web |
| OpenCanary | Baja interacción | SSH, HTTP, FTP, SMB, MySQL | Open source |
Monitorización y análisis
- Kippo-Graph: Visualización de datos de Cowrie/Kippo
- ELK Stack: Indexación y análisis de logs de honeypots
- MHN (Modern Honey Network): Gestión centralizada de honeypots distribuidos
- HHFW: Firewall específico para honeynet (controla tráfico saliente)
Caso práctico: Honeypot en investigación de intrusión corporativa
Contexto: Una empresa del sector financiero detecta accesos no autorizados a su base de datos de clientes. El equipo de seguridad sospecha de un insider threat pero no tiene evidencia concluyente. Se despliega un honeypot interno como parte de la investigación.
Caso ilustrativo
Este caso se basa en patrones documentados en investigaciones forenses corporativas. Los detalles se han adaptado con fines educativos.
Despliegue del honeypot
Se configuró un servidor con Cowrie y una base de datos MySQL falsa conteniendo registros ficticios pero realistas de “clientes VIP”. El servidor se colocó en el mismo segmento de red que el servidor de producción real.
Configuración de señuelos (breadcrumbs)
Se distribuyeron credenciales falsas en:
- Archivo de texto en carpeta compartida de red
- Script de conexión “olvidado” en un repositorio interno
- Entrada en el gestor de contraseñas departamental
Detección de actividad
A las 72 horas, el honeypot registró:
[2026-02-05 22:47:12] Login SSH: usuario=admin_bbdd, IP=192.168.1.87 [2026-02-05 22:47:45] MySQL query: SELECT * FROM clientes_vip LIMIT 100 [2026-02-05 22:48:31] MySQL query: SELECT * FROM clientes_vip INTO OUTFILE... [2026-02-05 22:49:02] SCP transfer: clientes_vip.csv → IP externaIdentificación del atacante
La IP 192.168.1.87 correspondía a una estación de trabajo de un empleado del departamento de TI. Las credenciales utilizadas eran las ficticias plantadas como señuelo — no existían en el entorno real.
Correlación con el incidente original
Los logs del sistema de producción mostraron que la misma estación de trabajo había accedido a la base de datos real en fechas anteriores, con patrones similares de consulta y exportación.
Resultado: El honeypot proporcionó evidencia directa e inequívoca de la actividad del insider. La captura de sesión completa, con timestamps, comandos y datos exfiltrados, constituyó prueba determinante en el procedimiento posterior.
Marco legal en España
Legalidad del despliegue
| Aspecto legal | Normativa | Consideración |
|---|---|---|
| Despliegue en red propia | Lícito (derecho a proteger infraestructura) | No requiere autorización judicial |
| Captura de IPs | RGPD / LOPDGDD | Las IPs son datos personales; se requiere base legal (interés legítimo, art. 6.1.f RGPD) |
| Registro de comunicaciones | Art. 18.3 CE, LO 25/2007 | No aplica si no hay interceptación de comunicaciones de terceros |
| Uso como prueba | LECrim Art. 478-479 | Admisible como prueba pericial si se documenta cadena de custodia |
| Honeypot que atrae menores | CP Art. 183 ter | Precaución extrema: un honeypot tipo chat podría generar problemas legales |
Requisitos para validez probatoria
Para que la evidencia capturada por un honeypot sea admisible en procedimientos judiciales españoles:
- Documentación del despliegue: Fecha, configuración, propósito del honeypot
- Proporcionalidad: La medida debe ser proporcionada al riesgo investigado
- Cadena de custodia: Logs preservados con hashes de integridad desde el inicio
- No provocación: El honeypot atrae pero no incita a cometer delitos
- Informe pericial: Un perito informático debe analizar y presentar la evidencia
Sobre la provocación
Un honeypot que simula ser un sistema vulnerable no constituye provocación delictiva (STS 1225/2006). Sin embargo, distribuir activamente “invitaciones” a atacar un sistema podría cuestionarse jurídicamente. El perito debe documentar que el honeypot era pasivo.
Preguntas relacionadas
¿Cuánto tiempo debe estar activo un honeypot para obtener resultados? Depende del entorno. En internet público, un honeypot expuesto recibe ataques automatizados en minutos. Para investigaciones internas (insider threats), pueden necesitarse semanas o meses. Lo habitual para investigaciones corporativas es un periodo de 30 a 90 días.
¿Puede un atacante detectar que está en un honeypot? Atacantes experimentados pueden detectar honeypots de baja interacción por la limitación de servicios, respuestas predecibles o fingerprinting de la herramienta. Los honeypots de alta interacción son más difíciles de detectar, pero un atacante sofisticado puede buscar indicadores como nombres de hardware virtual, latencias inusuales o falta de tráfico legítimo.
¿Se necesita autorización judicial para desplegar un honeypot? En España, desplegar un honeypot en tu propia infraestructura no requiere autorización judicial. Es análogo a instalar cámaras de seguridad en tus propias instalaciones. Sin embargo, si la investigación implica interceptación de comunicaciones de terceros, sí sería necesaria autorización del juez de instrucción.
Conclusión
Los honeypots son una herramienta de doble valor: proporcionan inteligencia sobre amenazas en tiempo real y generan evidencia forense de alta calidad para investigaciones judiciales. Su principio de “toda actividad es sospechosa” simplifica el análisis y fortalece la posición probatoria.
Para investigaciones de insider threats y ciberataques corporativos, un honeypot correctamente desplegado y documentado puede ser la diferencia entre una sospecha sin pruebas y un caso con evidencia técnica sólida.
¿Necesitas analizar evidencia capturada por honeypots o desplegar trampas digitales para una investigación? En Digital Perito proporcionamos asesoramiento forense especializado en deception technology y análisis de intrusiones. Contacta con nosotros para evaluar tu caso.
Última actualización: Febrero 2026 Categoría: Ciberseguridad Código: SEC-001
Preguntas Frecuentes
¿Es legal desplegar un honeypot en España?
Sí, desplegar honeypots en infraestructura propia es legal. Sin embargo, deben respetarse la LOPDGDD y el RGPD respecto a datos personales capturados (direcciones IP de atacantes). También hay que evitar que el honeypot sea usado como plataforma para atacar a terceros. Se recomienda asesoramiento legal previo.
¿Qué diferencia hay entre un honeypot y un honeynet?
Un honeypot es un sistema individual que simula un servicio o servidor vulnerable. Un honeynet es una red completa de honeypots interconectados que simula un entorno de producción real, permitiendo observar movimientos laterales y ataques más complejos como DDoS o ransomware.
¿Los datos capturados por un honeypot sirven como prueba judicial?
Pueden servir como prueba si se mantiene la cadena de custodia y se documenta adecuadamente el despliegue. El perito debe demostrar que los logs no han sido manipulados, que el honeypot registraba fielmente las acciones y que se respetó la legalidad en su despliegue. La LECrim art. 478-479 ampara la prueba pericial.
Términos Relacionados
IOCs (Indicators of Compromise)
Artefactos técnicos observables que indican una intrusión o actividad maliciosa en un sistema: hashes de malware, IPs maliciosas, dominios C2, patrones de comportamiento anómalo.
Análisis de Tráfico de Red
Disciplina de la informática forense que examina el tráfico de red capturado (paquetes, flujos, metadatos) para reconstruir comunicaciones, detectar actividad maliciosa, identificar exfiltración de datos y documentar intrusiones con validez probatoria.
Dirección IP
Identificador numérico único asignado a cada dispositivo conectado a una red, que permite rastrear el origen de conexiones y actividades en Internet.
Logs de Sistema
Archivos que registran automáticamente eventos del sistema operativo, aplicaciones y servicios. Son fuente primaria de evidencia forense para reconstruir actividades, detectar intrusiones y establecer timelines de incidentes.
Insider Threats
Amenazas a la seguridad de la información originadas por empleados, contratistas o colaboradores internos que acceden, exfiltran o sabotean datos de forma malintencionada o negligente, aprovechando su acceso legítimo.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita