Los honeypots son sistemas diseñados para simular vulnerabilidades y atraer a atacantes, permitiendo analizar sus técnicas y mejorar la seguridad de una red. A continuación, te explico cómo crear uno desde cero, usando herramientas gratuitas y buenas prácticas.
¿Qué es un Honeypot y para qué sirve?
Un honeypot es un sistema o servicio falso que simula ser un objetivo legítimo para los atacantes. Su objetivo es:
- Detectar intentos de intrusión.
- Analizar técnicas y herramientas usadas por los atacantes.
- Mejorar la defensa de la red real.
Requisitos previos
- Un ordenador o máquina virtual (VM) dedicada para el honeypot.
- Sistema operativo Linux (Ubuntu recomendado).
- Acceso a Internet.
- Conocimientos básicos de redes y terminal.
Preparar el entorno seguro
¡Importante! Nunca instales un honeypot en tu red de producción. Usa una red aislada o una VM.
a) Crear una máquina virtual
- Usa VirtualBox, VMware o Hyper-V.
- Instala Ubuntu Server (puede ser una versión ligera).
b) Actualiza el sistema
sudo apt update && sudo apt upgrade -yInstalar y configurar un honeypot sencillo: Cowrie
Cowrie es uno de los honeypots más populares para simular un servidor SSH vulnerable.
a) Instalar dependencias
sudo apt install git python3-venv python3-pip libssl-dev libffi-dev build-essential -yb) Clonar el repositorio de Cowrie
git clone https://github.com/cowrie/cowrie.git
cd cowriec) Crear un entorno virtual de Python
python3 -m venv cowrie-env
source cowrie-env/bin/activated) Instalar Cowrie
pip install --upgrade pip
pip install -r requirements.txte) Configurar Cowrie
- Copia el archivo de configuración de ejemplo:
cp etc/cowrie.cfg.dist etc/cowrie.cfg- Edita el archivo
etc/cowrie.cfgpara personalizar puertos, logs, etc.
f) Iniciar el honeypot
bin/cowrie startMonitorizar y analizar los ataques
- Los logs se guardan en la carpeta
var/log/cowrie/. - Puedes ver intentos de acceso, comandos ejecutados y archivos descargados por los atacantes.
- Analiza los logs para identificar patrones y técnicas.
Acceder al Dashboard de Cowrie
Cowrie no tiene un dashboard web por defecto, pero puedes visualizar la actividad de varias formas:
Logs en tiempo real
tail -f var/log/cowrie/cowrie.logComandos ejecutados por atacantes
cat var/log/cowrie/tty/*.logArchivos descargados por atacantes
ls var/lib/cowrie/downloads/Integración con Kibana/ELK (opcional)
Puedes enviar los logs de Cowrie a un sistema ELK (Elasticsearch + Logstash + Kibana) para tener un dashboard visual. Esto requiere configuración adicional.
Opcional: Honeypots de alto nivel
Si quieres simular otros servicios (HTTP, FTP, SMB, etc.), puedes probar herramientas como:
- Dionaea (malware collector)
- Kippo (SSH)
- Honeyd (simula múltiples sistemas operativos)
Buenas prácticas y advertencias
- Nunca uses datos reales en el honeypot.
- Aísla la máquina del resto de tu red.
- Actualiza regularmente el sistema y las herramientas.
- No interactúes con los atacantes.
Conclusión
Crear un honeypot es una excelente forma de aprender sobre ciberseguridad y entender cómo piensan los atacantes. Recuerda siempre hacerlo en un entorno controlado y con fines educativos.
¿Qué te ha parecido esta entrada?
Déjame tu opinión en la caja de comentarios: ¿te ha resultado útil la guía? ¿Te gustaría que explique en detalle otras herramientas como Kippo, Honeyd o Dionaea? ¡Cuéntamelo y dime qué temas te interesan para próximos artículos!
