La implementación estratégica de tecnologías de decepción ofrece una de las tasas más altas de señal/ruido en ciberseguridad defensiva, con falsos positivos cercanos a cero y capacidad de detectar atacantes sofisticados en fases tempranas del kill chain. Este informe proporciona una guía técnica completa para desplegar honeypots y canary tokens en entornos Windows AD + Linux, priorizando soluciones open source, económicas y altamente efectivas contra red teams profesionales y APTs.
OpenCanary: la solución fundamental para detección interna
OpenCanary, desarrollado por Thinkst (creadores del comercial Canary), representa el punto de entrada óptimo para cualquier programa de decepción corporativa. Su arquitectura minimalista permite despliegue en Raspberry Pi o VMs mínimas con menos de 512MB de RAM.
Servicios recomendados para red corporativa:
| Servicio | Puerto | Caso de detección |
|---|---|---|
| SMB | 445 | Movimiento lateral (90%+ del tráfico malicioso) |
| RDP | 3389 | Acceso remoto comprometido |
| SSH | 22 | Fuerza bruta, pivoting Linux |
| MySQL/MSSQL | 3306/1433 | Exfiltración de datos |
| HTTP | 80 | Reconocimiento web interno |
| Portscan | - | Detección de escaneo (requiere iptables) |
La configuración óptima prioriza SMB sobre otros servicios, ya que investigaciones demuestran que el 90% del tráfico hacia honeypots ocurre en el puerto 445. Medium Un ejemplo de configuración JSON efectiva:
{
"device.node_id": "backup-srv01",
"smb.enabled": true,
"smb.auditfile": "/var/log/opencanary_smb.log",
"ssh.enabled": true,
"mysql.enabled": true,
"http.enabled": true,
"http.skin": "nasLogin",
"portscan.enabled": true
}
El skin nasLogin emula un dispositivo Synology NAS, objetivo frecuente de atacantes buscando almacenamiento centralizado. Práctica crítica: usar nombres de host realistas como backup-srv01 o fin-db-03 que coincidan con las convenciones de nomenclatura del entorno.
Canarytokens: tripwires digitales con cero falsos positivos
Los canary tokens funcionan como alarmas silenciosas que se activan únicamente cuando un adversario interactúa con ellos. El servicio gratuito canarytokens.org ofrece más de 23 tipos de tokens, pero para entornos corporativos sensibles, el auto-hospedaje mediante Docker es preferible:
git clone https://github.com/thinkst/canarytokens-docker cd canarytokens-docker # Configurar CANARY_DOMAINS y CANARY_PUBLIC_IP docker compose up -d
Tokens más efectivos contra adversarios sofisticados:
Los documentos Microsoft Word/Excel con URLs embebidas resultan altamente efectivos porque los atacantes rutinariamente abren documentos encontrados durante reconocimiento. Nombres como passwords.xlsx, AWS-credentials.docx o VPN-Password-Reset.docx atraen interacción inevitable.
Los tokens DNS funcionan incluso cuando el atacante no tiene acceso HTTP directo, requiriendo únicamente resolución DNS. Son ideales para embeber en archivos bash_history, configuraciones SSH, o scripts PowerShell.
Los tokens AWS keys generan credenciales falsas de API que alertan cuando se usan en cualquier lugar del mundo. La herramienta ggcanary de GitGuardian escala hasta 5,000 tokens para organizaciones grandes. El módulo Terraform de AWS Infrastructure Canarytoken despliega buckets S3, tablas DynamoDB y secretos de Secrets Manager como señuelos.
Ubicación estratégica de honey files:
- Raíz de shares SMB (primer objetivo de ransomware)
- Carpetas SYSVOL/NETLOGON
- Directorios de backup con nombres como C:\Backup\ADBackup
- Escritorios de cuentas honey admin
- Carpetas de migración (los atacantes buscan artefactos antiguos)
- Decepción específica para Active Directory
La detección de ataques contra AD representa uno de los usos más valiosos de tecnologías de decepción, dado que técnicas como Kerberoasting, DCSync y credential dumping tienen cero falsos positivos cuando se usan cuentas honeypot.
Honey SPNs para detectar Kerberoasting
La técnica más efectiva consiste en crear cuentas de servicio señuelo con Service Principal Names que cualquier atacante usando herramientas como Rubeus o GetUserSPNs.py intentará crackear:
# Crear cuenta de servicio honeypot
New-ADUser -Name "svc_sqlbackup" -SamAccountName "svc_sqlbackup" `
-AccountPassword (ConvertTo-SecureString -AsPlainText "PasswordDe128CaracteresAleatorios..." -Force) `
-Enabled $true -PasswordNeverExpires $true
# Hacerla parecer privilegiada (atrae atacantes)
Set-ADUser -Identity svc_sqlbackup -Replace @{adminCount=1}
# Registrar SPN atractivo
Set-ADUser -Identity svc_sqlbackup -ServicePrincipalNames @{Add="MSSQLSvc/sql-backup.domain.local:1433"}
La contraseña debe tener 128+ caracteres aleatorios para que sea imposible de crackear. Monitorear Event ID 4769 (Kerberos Service Ticket Operations) filtrando por el SPN honeypot. Cualquier solicitud TGS hacia esta cuenta indica actividad maliciosa confirmada.
Honey hashes en LSASS
La técnica runas /netonly permite inyectar credenciales falsas en memoria LSASS que Mimikatz extraerá junto a las reales:
runas /user:administrator@contoso.com /netonly cmd.exe # Ingresar password falso cuando se solicite
Esto crea un token de autenticación almacenado en LSASS. Para persistencia, usar el script New-HoneyHash.ps1 del proyecto Empire: Microsoft Community Hub
New-HoneyHash.ps1 -Domain contoso.com -Username HoneyAdmin -Password FakeP@ss123 Powershell -windowstyle hidden -noexit -file C:\New-HoneyHash.ps1
Cualquier intento de autenticación con estas credenciales confirma extracción de memoria. Monitorear Event ID 4625 (logon fallido) y 4624 (logon exitoso) para la cuenta honey.
Detección de DCSync con Deploy-Deception
El módulo PowerShell Deploy-Deception de Samrat Ashok permite crear objetos AD señuelo con auditoría automática:
Import-Module Deploy-Deception.psd1 # Crear Domain Admin falso con protección DenyLogon Create-DecoyUser -UserFirstName dec -UserLastName da -Password Pass@123 | Deploy-PrivilegedUserDeception -Technique DomainAdminsMemebership -Protection DenyLogon -Verbose # Crear cuenta con derechos de replicación (detecta DCSync) Create-DecoyUser -UserFirstName dec -UserLastName da -Password Pass@123 | Deploy-PrivilegedUserDeception -Technique DCSyncRights -Protection LogonWorkStation nonexistent -Verbose
La detección de DCSync requiere monitorear Event ID 4662 (Directory Service Access) con los GUIDs de replicación:
- DS-Replication-Get-Changes: 1131f6aa-9c07-11d1-f79f-00c04fc2dcd2
- DS-Replication-Get-Changes-All: 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2
Cuentas honeypot realistas que engañan red teams
Los atacantes sofisticados verifican la legitimidad de cuentas antes de usarlas. La investigación de Sean Metcalf (Trimarc Security) identificó atributos clave que red teams examinan:
Atributos que delatan cuentas falsas:
- Fecha de creación idéntica a PwdLastSet (cuentas nuevas)
- logoncount = 0 (nunca usadas)
- LastLogonTimeStamp nulo
- Ausencia de cuenta de usuario asociada para admins
Soluciones para máximo realismo:
- Reutilizar cuentas antiguas: Cuentas de 10-15 años de antigüedad son más creíbles que recién creadas
- Generar historial de logon: Crear tarea programada que ejecute logon periódico
- Simular bad password attempts: Agregar intentos fallidos realistas
- Restringir mediante LogonWorkstations: Limitar a hosts inexistentes como protección
- Usar Smart Card trick: Habilitar y luego deshabilitar "smart card required" randomiza la contraseña a 120+ caracteres
La herramienta HoneypotBuster de Javelin Networks, diseñada para red teams, revela exactamente qué verificaciones realizan los atacantes: validación de SPNs contra computer accounts reales, consistencia de timestamps entre DCs, y verificación de logoncount.
T-Pot: plataforma todo-en-uno para máxima cobertura
T-Pot de Deutsche Telekom Security agrupa más de 20 honeypots containerizados con ELK Stack integrado, mapas de ataque en tiempo real, y Suricata para IDS. La versión 24.04.1 (enero 2025) incluye honeypots basados en LLM (Beelzebub, Galah) que generan respuestas dinámicas contextuales.
Requisitos de recursos:
| Componente | Mínimo | Recomendado |
|---|---|---|
| RAM | 8GB | 16GB+ |
| Disco | 128GB SSD | 256GB SSD |
| CPU | 4 vCPU | 8 vCPU |
Modos de despliegue:
- Hive: Instalación completa con ELK, dashboards, todos los honeypots
- Sensor: Solo honeypots, envía logs a Hive central (8GB RAM suficiente)
- Distributed: Múltiples sensores reportando a Hive centralizado
Para redes internas corporativas, T-Pot puede ser excesivo para detección básica. Sin embargo, resulta óptimo para:
- Segmentos DMZ
- Laboratorios de investigación
- Threat intelligence centralizada
- Entornos que requieren análisis de malware (Dionaea captura muestras)
Evitando que red teams detecten los honeypots
La investigación de Vetterl & Clayton (WOOT'18) identificó 7,605 honeypots mediante fingerprinting sistemático. Los atacantes sofisticados conocen estas técnicas:
Indicadores de OpenCanary/Cowrie a eliminar:
- Cowrie: Eliminar/renombrar directorio /home/richard (botnets verifican esto específicamente)
- Configuraciones por defecto sin modificar
- Latencia de red múltiplos de 10ms (delata honeypots virtuales como HoneyD) ResearchGate
- Prefijos MAC de VMware/VirtualBox (00:0C:29, 08:00:27)
Contramedidas efectivas:
- Customizar inmediatamente: Cambiar usernames, hostnames, banners por defecto
- Usar high-interaction cuando sea posible: OS real con aplicaciones reales es más difícil de fingerprint
- Agregar actividad realista: Tareas programadas que simulan usuarios, tráfico DNS/NTP de fondo
- Probar con herramientas de atacante: Ejecutar Nmap OS fingerprinting, p0f antes de producción
- Rotar servicios periódicamente: Cambiar qué servicios están activos dificulta correlación
Para respuestas dinámicas que confundan herramientas automatizadas, los honeypots LLM en T-Pot (Beelzebub, Galah) generan outputs contextuales que varían en cada interacción.
Integración con SIEM para alertas accionables
La efectividad de honeypots depende de alertas que lleguen a los equipos de respuesta. Las tres plataformas principales tienen patrones de integración documentados:
ELK Stack
T-Pot incluye Elastic Stack preconfigurado. Para integraciones personalizadas:
Honeypot → Filebeat (JSON logs) → Logstash → Elasticsearch → Kibana
Splunk
Usar HTTP Event Collector (HEC) para ingestar webhooks de Canarytokens:
curl -k https://splunk:8088/services/collector \
-H "Authorization: Splunk <token>" \
-d '{"event": "canary alert data"}'
Las apps oficiales Thinkst Canary Add-on (app/6195) y Thinkst Canary App (app/6196) en Splunkbase proporcionan dashboards predefinidos.
Wazuh
Wazuh ofrece integración mediante agente en el host honeypot, enviando logs a Wazuh Server. El proyecto GitHub Wazuh-Cowrie-Honeypot-Lab incluye decoders y reglas customizadas para eventos de honeypot.
Alertas con prioridad correcta: Dado que cualquier interacción con honeypot indica actividad maliciosa, todas las alertas deben ser Critical/High. No hay necesidad de tuning para reducir ruido—el ruido es la señal.
Arquitectura de despliegue recomendada
La ubicación estratégica maximiza cobertura con mínimos recursos:
Segmentos prioritarios
- Cerca de crown jewels: Mismo VLAN que Domain Controllers, servidores de bases de datos, servidores de archivos sensibles
- Segmentos de servidores: Un honeypot por VLAN de servidores principales
- DMZ interna: Detectar pivoting desde sistemas semi-confiables
- Red de usuarios: Detectar insider threats y movimiento lateral temprano
Reglas de firewall para segmentos honeypot
Ingress (permitir):
- Forward puertos 1-64000 para máxima captura, o selectivamente por servicios
Egress (crítico para contención):
- Permitir DNS (53) para análisis de malware
- Bloquear todo lo demás - prevenir que honeypot compromiso se use como plataforma de ataque
- Considerar proxy para tráfico saliente analizado
Puertos de gestión (restringir a IPs confiables):
- SSH: 64295 (default T-Pot)
- Web UI: 64297 (default T-Pot)
Número recomendado de honeypots
| Tamaño organización | Cantidad | Distribución |
|---|---|---|
| Pequeña (<100 usuarios) | 1-3 | DMZ, VLAN servidores, VLAN usuarios |
| Mediana (100-1000) | 5-10 | Por segmento principal |
| Enterprise (1000+) | 10-50+ | Por VLAN/subnet + DMZ |
Automatización del despliegue
Ansible
El proyecto ansible-cowrie-rootless despliega Cowrie en AWS, Azure y DigitalOcean. T-Pot incluye playbooks Ansible en cloud/ansible/ para despliegue distribuido:
cd ~/tpotce ssh-keygen ssh-copy-id -p 64295 user@sensor_ip ./deploy.sh # Ejecuta playbook automáticamente
Terraform
T-Pot proporciona configuraciones Terraform en cloud/terraform/ para AWS y Open Telekom Cloud, extensibles a otros providers.
Docker Compose
T-Pot usa Docker Compose con múltiples ediciones:
- standard.yml - Suite completa
- sensor.yml - Solo sensores distribuidos (4GB RAM)
- mini.yml - Despliegue ligero
- customizer.py - Construcción de configuraciones personalizadas
Casos de uso específicos de detección
Detección de reconocimiento interno
Port scanning: OpenCanary con portscan.enabled alerta sobre cualquier conexión a puertos monitoreados. Artillery auto-blacklists IPs que conectan a puertos trampa.
AD enumeration (BloodHound/SharpHound): Honeypot users con nombres atractivos (BackupAdmin, svc_Finance) que generan Event ID 4662 cuando se leen propiedades. Cualquier query LDAP a estos objetos indica enumeración.
Detección de movimiento lateral
SMB lateral movement: Dionaea y OpenCanary SMB detectan cualquier intento de conexión a shares. Crear shares atractivos como \\honeypot\Finance_Backup.
Pass-the-Hash/Ticket: Honey hashes inyectados en LSASS alertan cuando se usan para autenticación. Monitorear Event ID 4624 Type 3 (network logon) con cuenta honey.
RDP lateral movement: Investigación de Blumira documentó 3.5 millones de intentos de login en 3 meses desde un honeypot RDP expuesto. OpenCanary RDP o Heralding capturan credenciales intentadas.
Detección de credential harvesting
Kerberoasting: Honey SPNs con monitoreo de Event ID 4769 (TGS requests) donde encryption type = 0x17 (RC4-HMAC) indica ataque activo.
LSASS dumping: Honey hashes presentes en memoria serán extraídos junto a credenciales reales. Cualquier uso posterior = dump confirmado.
NTDS.dit access: Monitoreo de integridad de archivo + canarytokens en documentación que referencia ubicaciones de backup.
Detección de exfiltración
Honey files con beacon: Documentos Word/Excel con canarytokens que notifican cuando se abren fuera del entorno corporativo.
DNS exfiltration: Tokens DNS detectan cuando atacantes usan DNS tunneling para exfiltrar datos, ya que cualquier resolución del FQDN honeypot genera alerta.
Comparativa de herramientas open source
| Herramienta | Mantenimiento | Facilidad | Detección | Recursos | Efectividad vs APTs |
|---|---|---|---|---|---|
| T-Pot | ★★★★★ | ★★★☆☆ | ★★★★★ | Alto (16GB) | ★★★★★ |
| OpenCanary | ★★★★☆ | ★★★★★ | ★★★★☆ | Muy bajo | ★★★☆☆ |
| Canarytokens | ★★★★★ | ★★★★★ | ★★★★☆ | Mínimo | ★★★★★ |
| Cowrie | ★★★★☆ | ★★★☆☆ | ★★★★☆ | Bajo | ★★★★☆ |
| Dionaea | ★★★☆☆ | ★★★☆☆ | ★★★★☆ | Bajo-Med | ★★★☆☆ |
| Deploy-Deception | ★★★☆☆ | ★★★★☆ | ★★★★★ | Mínimo | ★★★★★ |
| qeeqbox/honeypots | ★★★★☆ | ★★★★★ | ★★★★★ | Bajo | ★★★☆☆ |
HoneyD está obsoleto (última release 2007). El paquete Python honeypots de qeeqbox ofrece 30 protocolos en un solo paquete PyPI como alternativa moderna.
Plan de implementación por prioridad
Fase 1: Implementación inmediata (Semana 1-2)
- Desplegar Canarytokens self-hosted
- Crear 3-5 honey files en shares de red principales
- Configurar 3 cuentas honeypot AD (BackupAdmin, svc_Finance, IT_Support)
- Crear 1 honey SPN para detectar Kerberoasting
- Integrar alertas con SIEM existente
Fase 2: Expansión de cobertura (Semana 3-4)
- Desplegar OpenCanary en 1 honeypot por VLAN principal
- Configurar SMB, RDP, SSH en cada instancia
- Implementar honey hashes en LSASS en DCs y workstations privilegiadas
- Crear honey shares con nombres atractivos
Fase 3: Detección avanzada (Mes 2)
- Evaluar T-Pot para DMZ o laboratorio de investigación
- Implementar Deploy-Deception para objetos AD completos
- Configurar detección de DCSync con objetos trampa
- Agregar Cowrie para análisis profundo de sesiones SSH
- Documentar y automatizar despliegue con Ansible/Terraform
Conclusión
Las tecnologías de decepción proporcionan ventaja asimétrica contra adversarios sofisticados: mientras los atacantes deben evaluar cada activo encontrado, los defensores solo necesitan esperar interacción con cualquier señuelo. La combinación de OpenCanary para detección de red, Canarytokens para archivos y credenciales, y objetos honeypot en AD cubre el espectro completo de técnicas de ataque con inversión mínima.
La clave del éxito radica en el realismo y ubicación estratégica. Cuentas con historial de logon consistente, archivos con nombres organizacionales realistas, y honeypots con hostnames que coincidan con convenciones del entorno maximizan la probabilidad de interacción mientras minimizan riesgo de detección por atacantes sofisticados que rutinariamente verifican legitimidad antes de explotar recursos.