La informática forense deba adaptarse e ir evolucionando a la vez que los delitos cometidos en este tipo de plataformas. La informática forense requiere medios que permitan mantener un proceso de investigación que dé solución a los nuevos retos. Pero cabe destacar que no siempre los casos a los cuales se enfrenta el investigador son iguales. Una de las principales herramientas que pueden ayudar a mejorar las investigaciones son los Honeypot.
¿Qué es un ‘honeypot’?
Un honeypot es un recurso flexible de seguridad informática cuyo valor se basa en que éste sea comprometido, atacado y probado. Con el fin de aportar información al perito forense. Teniendo en cuenta esta definición, podemos ver que el honeypot no es una herramienta que mitigue el riesgo o forme parte de la defensa. Sino que realiza un análisis forense de los ataques recibidos en un dispositivo o red.
¿Cómo funciona un ‘honeypot’?
El procedimiento consiste en mantener una debilidad o vulnerabilidad en un programa, sistema operativo, protocolo o en cualquier otro elemento del equipo susceptible de ser atacado. Y que, por lo tanto, motive al atacante a utilizarlo, de tal forma que se muestre dispuesto a emplear todas sus habilidades para explotar dicha debilidad y obtener el acceso al sistema.
¿Y cómo frenamos un ataque?
Por muy controladas que tengamos sus acciones, nada puede evitar que en cualquier momento esa persona se sienta vigilada u observada, se ponga nerviosa y destruya datos o se haga con el comportamiento de la máquina.
Una forma de monitorizar dicha preocupación sin comprometer excesivamente la integridad de nuestro sistema expuesto es el uso de honeypot. La idea es construir un sistema que simule ser real, pero donde los datos expuestos no son de relevancia. De ese modo se permite al atacante revisar o incluso manipular la información sin poner en peligro los datos importantes.Para ello se utiliza una máquina denominada “trampa”, que es sobre la que trabaja realmente el atacante y de la que podemos obtener la información necesaria sobre éste sin que se percate nuestra presencia. Así se consigue que el atacante piense que su intrusión ha sido un éxito y continúe con ella, mientras nosotros, por otro lado, la estamos monitorizando a la vez que recopilamos información sobre sus movimientos y su manera de actuar.
Esta práctica, junto al informe pericial resultante, nos da una ventaja significativa a la hora de incriminar al atacante de nuestra red corporativa o doméstica. No dude en contactar con nosotros y le ayudaremos
