Entender el comportamiento de los códigos maliciosos cuando infectan un sistema es una buena opción para protegerlos de este tipo de ataques. Una herramienta para lograr esto son las Honeypots, aunque se debe ser muy cuidadoso al configurarlas para evitar inconvenientes posteriores.
Los ciberdelincuentes cada vez encuentran nuevas formas de llevar a cabo sus actividades ilegales, sobre todo a través de cambios en la propagación y en el tipo de ataques informáticos. Sistemas como las honeypots, cuya característica valiosa es que sirven para recopilar información de actividades no autorizadas o ilícitas, pueden proveer información detallada sobre los tipos de ataques, las herramientas e inlcuso los motivos de los ciberdelincuentes. Incluso existen proyectos a escala global que utilizan estos sistemas para hacer el seguimiento de estos comportamientos maliciosos.
Las honeypots suelen clasificarse en dos categorías, aquellas que son denominadas de baja interacción tienen la característica de emular servicios o sistemas operativos permitiendo una interacción limitada por parte del atacante y son muy útiles para obtener información cuantitativa acerca de los ataques. El hecho de limitar la interacción y funcionar en un ambiente controlado reduce los riesgos pero también las hace útiles solamente ante ataques específicos y automáticos; ya que para un atacante sería sencillo identificar que se trata de una simulación. Por otra parte, las honeypots de alta interacción son sistemas reales que tienen servicios vulnerables y están expuestos en una red para capturar información sobre amenazas que la pudieran aprovechar.
Una herramienta que lleva buen tiempo de madurez es Nepenthes, una honeypot de baja interacción que puede configurarse como un servicio web vulnerable y tiene la capacidad de identificar un ataque y descargar el código malicioso, lo cual resulta útil para identificar por ejemplo ataques a una red y analizar el binario para determinar las características del incidente.
Después de configurar una herramienta de este tipo y más si se trata de una honeypot de alta interacción, es necesario ser consciente de los servicios vulnerables disponibles y limitar el uso que podría hacerse de estos después de que sea infectada. Por ejemplo, si se pone como vulnerable un servicio de correo electrónico para detectar amenazas que lo afecten, es muy importante limitar las posibilidades abiertas para que la plataforma sea utilizada para reenviar mensajes. Si un agujero de este tipo se deja abierto representa un riesgo legal, porque la infraestructura comprometida podría estar siendo usada para actos ilegales, por ejemplo para propagar phishing de webmail, redes sociales o bancos, los servicios más suplantados, e incluso alguna podría existir una demanda, ya que los sistemas infectados se tienen disponibles en la red sin las configuraciones de seguridad óptimas, lo cual podría catalogarse como negligencia a pesar de estar siendo utilizado para investigación.
Como se ve estas herramientas pueden llegar a ser bastante útiles para incrementar el entendimiento del funcionamiento de los códigos maliciosos, si se configura de forma correcta para capturar información valiosa. Pero a su vez recae sobre su administrador una responsabilidad para que esta no sea aprovechada para potenciar el tipo de amenazas que se quieren analizar.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research