Qué es un Honeytoken y Para qué Sirve
Qué es un Honeytoken y Para qué Sirve
Seguridad
·4 Minutos de lectura

¿Qué es un Honeytoken y Para qué Sirve?

Honeytoken es un señuelo para un intruso. Su función principal es detectar el uso indebido de datos, es decir, adopta un enfoque de “prevenir, no disuadir“.

La variedad de Honeytokey es ilimitada en cuanto a su presentación:

  • un archivo, una carpeta, un programa;
  • Hoja de cálculo Excel, presentación PowerPoint, documento de texto Microsoft Word;
  • un enlace, un nombre de usuario, una contraseña, una dirección de correo electrónico, los datos de una tarjeta bancaria y cualquier otra entrada en una base de datos;
  • otro elemento del sistema informático.
Tabla de Contenido

Definición de Honeytoken

Concepto de Honeytoken como señuelo en ciberseguridad
Concepto de Honeytoken como señuelo en ciberseguridad

Un honeytoken (a veces llamado canary token) es un archivo, URL, clave de API u otro recurso cuyo acceso se supervisa . Una vez que se ha accedido al recurso, se activa una alerta notificando dicho acceso al propietario del objeto.

Permiten a los administradores rastrear datos en situaciones que normalmente no podrían rastrear, como las redes basadas en la nube.

Señuelo perfecto

Si los datos son robados, los honeytokens permiten a los administradores identificar a quién se los robaron o cómo se filtraron.

Todo lo creado como honeytokens no debe ser utilizado por nadie de los usuarios legítimos, es decir, cualquier interacción con este señuelo implica y constituye una actividad no autorizada o maliciosa. Esto da a los honeytokens la misma potencia y ventajas que los sistemas de detección tradicionales, pero amplía sus capacidades más allá de los ordenadores físicos.

Historia del Origen del Honeytoken

Antes de la invención de las herramientas digitales, en las minas se utilizaban canarios encerrados en pequeñas jaulas (de allí el nombre sinónimo de canary tokens):

La principal tarea de los canarios era advertir del peligro, es decir, eran una especie de indicadores de la gaseosidad de las minas. Si hay una pequeña cantidad de gas tóxico, los canarios pueden percibirlo. Esto se debe a la diferencia en su sistema respiratorio: las aves tienen un sistema más complejo que los humanos.

Cuando se desplazaban por la mina o trabajaban, los mineros vigilaban el comportamiento del ave. Si el ave estaba ansiosa, se contoneaba o se caía, abandonaba la mina y salía a la superficie.

Ahora la tecnología ha dado un gran paso adelante. Con la tecnología actual, las aves ya no son necesarias, pero los “tokens canarios” o “honeytokens” pueden utilizarse en TI para detectar a los hackers en una fase temprana.

¿Cuál es la Ventaja de los Honeytokens?

Las cuentas de correo electrónico falsas se han utilizado durante mucho tiempo para capturar o dar una alerta temprana a los spammers. Muchas empresas crean direcciones de correo electrónico falsas, ya sea dejándolas a la vista en el servidor de correo o colocándolas en lugares privados del servidor web. La idea es que la dirección falsa nunca se utilizará y, por tanto, no habrá una buena razón para recibir spam. La recepción de un mensaje no verificado en una dirección de correo electrónico señuelo significa que alguien ha accedido a la lista de correo electrónico interno de la empresa o ha pirateado el servidor web.

Ejemplo de trampa con tarjeta crédito
Ejemplo de trampa con tarjeta crédito

Lo mismo puede hacerse con una estructura bancaria. Estos honeytokens serían números únicos, es decir, datos bancarios, cuyo uso permitiría detectar a un intruso y basar el robo. Las bases de datos pueden controlar los intentos de acceso a los registros y enviar una alerta a seguridad.

No existe una norma única para los honeytokens: puede ser cualquier cosa.

Honeytoken recoge información sobre el atacante y te permite averiguar, por ejemplo:

  • La dirección IP de la persona que accedió al señuelo;
  • fecha y hora del acceso no autorizado;
  • ubicación (ciudad y país);
  • sistema operativo;
  • el dispositivo desde el que se realizó el acceso;
  • y otra información importante.

Los honeytokens son una de las herramientas de ciberseguridad más sencillas, flexibles y rentables que existen. Pueden ser utilizados por los usuarios ordinarios para determinar si un ordenador ha sido comprometido o no, así como por las organizaciones para advertir de una filtración de la base de datos.

Diferencia de Honeypot frente a un HoneyToken

En el mundo de la ciberseguridad, las organizaciones que intentan protegerse de los atacantes suelen adoptar una postura defensiva, participando en una persecución de alta tecnología para encontrar y atrapar a los ciberdelincuentes. Los honeytokens y los honeypots representan una táctica ligeramente diferente. Las organizaciones los utilizan como herramientas para contraatacar: persiguen a los ciberdelincuentes engañándolos para que se revelen a sí mismos y revelen información sobre sus métodos.

Concepto de sistemas de detección de hacking
Concepto de sistemas de detección de hacking

Un honeypot es un sistema falso desplegado junto a sus activos digitales genuinos. Se hace para que parezca atractivo para un atacante, y cuando el criminal cae en el cebo, no sólo desperdicia sus recursos en un sistema inútil o en datos falsos, sino que también revela información crucial sobre la naturaleza de su estrategia de ataque.

Por otro lado, los honeytokens son más bien una forma de identificar a los atacantes. Se utilizan para rastrear a los actores maliciosos, revelando información crítica sobre su identidad y los métodos que utilizan para explotar un sistema.

Palabras Finales

El valor de Honeytoken radica en su simplicidad: hay un archivo o registro y si alguien accede a él, un intruso está presente en el sistema.

¿Utilizas honeytokens en algún lugar? Estaría interesado en tus experiencias.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda