Honeyfiles: Diseño y detección para mejorar la seguridad interna


1. ¿Qué es un honeyfile?
Es un archivo falso diseñado para detectar intrusos. Este suele ser dejado a la vista de un atacante para llamar su atención y que interactúe con él, de manera que dispara una alerta al equipo de seguridad.[1]
Un ejemplo podría ser el archivo reporte-pentest-agosto-2025.pdf
en el equipo de algún miembro de TI. ¿Por qué sería relevante?
Bueno... Un atacante podría pensar que contiene vectores de ataque o vulnerabilidades sin parchear.
2. Diseñando el archivo
Lo más importante de un buen honeyfile
es que sea atractivo y no evidente. Un mal honeyfile
, puede lucir así: Un archivo llamado ssh-pass-server.txt
en un equipo de RH.
Por lo tanto, te escribo algunas buenas prácticas y malas prácticas.[2]
Buenas prácticas
Usa nombres con referencia a otros sistemas en la red, manuales de usuario, documentación de la seguridad, propiedad intelectual, predicciones de mercado, inteligencia, información financiera, lista de correos, etc.
Todo el archivo debe de ser falso pero coherente; desde el nombre, metadatos y contenido.
Rota los archivos y mantelos actualizados: un archivo intacto por mucho tiempo pierde credibilidad.
Malas prácticas
Evita nombres genéricos que no encajan con el equipo.
Ubicaciones poco realistas. Ejemplo:
C:\Users\Public\important_data.xlsx
Contenido inverosímil. Ejemplo: archivo
users.txt
conadmin:superpassword
3. Evitando falsos positivos
Las alertas que llegan al equipo SOC por medio de los SIEM son bastantes y es necesario optimizar cada de una de las reglas para evitar falsos positivos; pero en este caso sobre nuestros honeyfiles
, por lo tanto, considere lo siguiente:
Coloque los
honeyfiles
en directorios poco frecuentes para el usuario.Excluye el disparo de la alerta en usuarios que normalmente interactuan con el
Honeyfile
.
Para entornos avanzados, considera el uso de sistemas EDR que permitan correlacionar eventos en torno al honeyfile
.
4. Que hacer con tus Honeyfiles
Lleva un inventario centralizado de los honeypots en la red, es muy posible que dentro de unas semanas te olvides de al menos unos, si tienes cientos de estos. Prioriza datos como:
Equipo ubicado
Ruta
Fecha de creación
Archivo
¿Quién lo creo?
Status
5. ¿Como detectar un honeypot?
Pues bien, ahora que tiene noción de cómo diseñar un honeyfile
, puede empezar a discernir con los archivos que se encuentre en algún pentest, considera lo siguiente:
Revisar los metadatos en busca de incongruencias.
Permisos muy liberales del tipo (
Everyone:Full Control o 777
) en archivos claramente importantes.
Si no está seguro de si se enfrenta a un archivo legítimo o falso, puede probar con:
- Descargar el archivo (quizás esto no detone la alerta) e interactúe en un entorno aislado.
Referencias
[Imagen de portada] Magritte, R. (1953). Golconda [Pintura]. Museo de Arte Moderno de Metz, Francia.
Jim Yuill, Mike Zappe, Dorothy Denning, and Fred Feer. 2004.Honeyfiles: Deceptive files for intrusion detection. In Proceedings the 5th Annual SMC Information Assurance Workshop. IEEE, 116–122. (https://faculty.nps.edu/dedennin/publications/honeyfiles.pdf)
Subscribe to my newsletter
Read articles from blackpist0l directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by