Honeypots y otras técnicas de Deception, cuando los buenos espían a los malos
Tanto Honeypots en particular, como otras técnicas de Deception en general, se han convertido en una herramienta útil para detectar intrusiones en los sistemas de las empresas y desentrañar el modus operandi de los actores hostiles
«Conoce a tu enemigo y conócete a ti mismo; en cien batallas, nunca saldrás derrotado». El arte de la guerra, de Sun Tzu, es un tratado universal que ha derrotado al tiempo. Seguramente también al espacio. Sus reflexiones, en origen militares, son hoy materia gris en las mejores escuelas de negocios del mundo por su transversalidad. Por su competencia para cualquier sector y disciplina, por descontado también al mundo de la ciberseguridad. Las técnicas de Deception son una buena prueba de ello.
En esencia, estas herramientas beben en parte del mandato del filósofo chino. Conoce a tu enemigo. Así serás capaz de derrotarlo. Pero van mucho más allá, en realidad. Porque su finalidad primigenia no es conocer sino detectar a los actores hostiles.
Las Honeypots (del inglés, tarro de miel), entre otras técnicas de Deception, son señuelos que permiten identificar la presencia en los sistemas de la empresa de un actor no autorizado. Una trampa, en definitiva, para detectar una intrusión y, por extensión, analizar su comportamiento.
Estudiar las técnicas de los ciberdelincuentes es una materia prima de gran utilidad para prevenir y armar estructuras de ciberdefensas más resilientes.
Las estadísticas más recientes sobre ciberataques arrojan señales sobre la conveniencia de implementar una estrategia en este campo. Más de 350.000 ataques con malware al día, 300 millones de ataques con ransomware en el primer semestre del año…
Esperar inmóvil hace tiempo que dejó de ser una opción. Los malos son más y están cada día más preparados. Por eso la ciberseguridad se ha convertido en una de las disciplinas centrales de esta era.
De caza con los cazadores
Para conocer en qué consisten las técnicas de Deception y cuál es su utilidad, pocas voces son tan autorizadas como el equipo de Threat Hunting de BlackArrow, la división de servicios ofensivos y defensivos de Tarlogic Security. Un departamento de alto nivel que se dedica precisamente a eso: a trastear por los mundos digitales en busca de nuevas ciberamenazas y actores hostiles.
Son, dicho en román paladino, exploradores de élite.
Un equipo que trabaja en su día a día con honeypots y otras técnicas de Deception. Herramientas que José Lancharro, el director de BlackArrow, describe con una metáfora muy gráfica:
«Una Honeypot es el señuelo que le presentas a un intruso con el objeto de que se entretenga. Le das un juguete y de esa forma consigues dos objetivos: lo alejas de los sistemas críticos y estudias su comportamiento».
¿Y cuáles son esas trampas? Unas credenciales falsas, un entorno falso… Un gancho que permita identificar la presencia de un intruso en la red de una compañía. Una solución proactiva ante el creciente volumen de amenazas.
«Es mejor saber que hay alguien dentro de mis sistemas que no saberlo. Tanto las Honeypot como otras técnicas de Deception nos ayudan en ese propósito», matiza.
Lancharro puntualiza en este sentido que estas trampas están en el origen de la ciberseguridad. Allá por los lejanos años 80. Y alude a uno de los libros icónicos del mundo del hacking para ilustrarlo, El huevo del cuco, de Clifford Stoll.
Una obra deliciosa (y accesible para todos los públicos, por cierto) basada en un caso real protagonizado por el propio Stoll, un eminente físico y astrólogo de la Universidad de Berkeley. El libro describe la cruzada que emprendió a finales de los 80 para identificar a un pirata informático que había penetrado en el sistema del Laboratorio Nacional Lawrence Berkeley.
Una inspiración para la disciplina
Las trampas que le tendió fueron una suerte de inspiración para generaciones posteriores.
Desde entonces hasta ahora, la disciplina no ha dejado de evolucionar. El director de BlackArrow explica que, a la hora de implementar técnicas de Deception, hay fundamentalmente dos estrategias.
Una consiste en desplegar un servicio sintético. Un caramelo atractivo que resulte irresistible para los actores hostiles. Una VPN falsa, un servicio de RDP (escritorio remoto), un protocolo de secure shell (SSH)…
La segunda es lo que se conoce como Honeytoken. En síntesis, una trampa en forma de dato. La más usual, una contraseña creada de forma artificial y expuesta a curiosos, para detectar la presencia de los cibercriminales en los sistemas de la empresa.
Esa herramienta puede ser de mucha utilidad para detectar intrusiones porque «a día de hoy –detalla Álvaro Jiménez, threat hunter de BlackArrow– hay un mercado de accesos a empresas y colocar una credencial falsa servirá para detectar posibles intrusiones».
El modus operandi será en todo caso similar con ambas estrategias. Cuando el actor hostil accede al entorno sintético o usa ese Honeytoken, se activa una alerta que previene al equipo de Threat Hunting de Tarlogic.
De entre los posibles Honeytokens se podrían utilizar, entre otros:
- Credenciales sintéticas inyectadas en memoria, de modo que cualquier intento de autenticación con dichas credenciales genera una alerta.
- API keys delicadamente embebidas en Scripts especialmente diseñados a tal efecto, de manera que cuando éstas se utilicen se detecte inmediatamente y se inicie la investigación pertinente.
- Información aparentemente sensible contenida en el LDAP para atraer a curiosos e intrusos hacia sistemas monitorizados por un equipo de Threat Hunting.
- Ficheros señuelo, con información aparentemente crítica, cuyo acceso está siendo auditado.
- Falsos entornos de negocio tales como Tesorería, Recursos humanos o Pasarelas de Pago, de modo que un intruso focalice su actividades contra servicios sintéticos antes que sobre servicios reales, al mismo tiempo en que el equipo de Threat Hunting inicia las investigaciones pertinentes.
El abanico de posibilidades es enorme.
¿Y el malo qué? ¿No se entera?
Llegados a este punto, hay una pregunta que parece lógica: ¿El malo no se da cuenta de que es una trampa? «Es posible, pero casi siempre cuando ya ha caído en ella», puntualiza Luis Ruiz Mayorga, threat hunter de BlackArrow. A esas alturas, sus fines están más lejos de materializarse.
Detrás de estos ataques orbitan multitud de actores. Desde grupos de cibercriminales, hasta chavales trasteando en sus primeras incursiones en el mundo del hacking. «Muchas veces son incluso empresas de la competencia», advierte José Miguel Gómez-Casero, threat hunter manager de la división de servicios ofensivos y defensivos de Tarlogic Security.
Sobre la capacidad de analizar el comportamiento de estos intrusos, todos coinciden en que Honeypots, u otras técnicas de Deception, son vías interesantes para explorar sus técnicas. Pero solo durante un tiempo relativamente corto.
«Cuando se detecta a un intruso, el comportamiento natural de una empresa es expulsarlo. Nadie se arriesga a dejarlo dentro de los sistemas aunque pueda ser de utilidad para ver cómo se comporta», precisa José Antonio Lancharro.
A lo largo de los últimos años han ido apareciendo en el mercado distintos sistemas escalables, como Countercraft, que se apoyan en técnicas de Deception y el propio Incibe se ha detenido en ellos. El equipo de Threat Hunting de BlackArrow cree no obstante que, antes de implementarlos, es preciso hacer un análisis serio sobre su utilidad y conveniencia.
Coste reputacional
¿Por qué? Por el riesgo de verse inmerso en una crisis reputacional. Hay que tener en cuenta que si alguien descubriese ese dato o servicio sintético (artificial, pero real en apariencia) podría tener la tentación de hacerla pública. Dejando así en evidencia las estructuras de ciberseguridad de una empresa o una institución pública, con el coste reputacional que ello implica.
Es por eso que José Lancharro cree que, al implementar una honeypot u otras técnicas de Deception, es mejor hacerlo dentro de la propia red de la empresa. En un entorno, digámoslo así, más controlado y menos visible de puertas para afuera.
Lo que sí tiene claro todo el equipo es que estas herramientas son de gran utilidad para afrontar las múltiples amenazas que proceden de la Red. Y ese es el matiz, de utilidad, en ningún caso infalibles.
«Ni Honeypot en particular ni las técnicas de Deception en general son una bala de plata. Es una ayuda más para prevenir y actuar», recuerdan.
En este sentido, José Miguel Gómez-Casero matiza que el perfil de empresa susceptible de implementar este servicio engloba a compañías quizás más maduras a la hora de entender la naturaleza de la ciberseguridad.
«Estas técnicas requieren de un esfuerzo de diseño, despliegue, mantenimiento… Es una solución compleja que requiere que el cliente entienda todo el proceso y su evidente utilidad», concluye.
Así es, efectivamente. Honeypots y otras técnicas de Deception. O cuando los buenos espían a los malos.
Descubre nuestro trabajo y nuestros servicios de ciberseguridad en www.tarlogic.com/es/
En TarlogicTeo y en TarlogicMadrid.