El uso de ordenadores trampa para cazar a los intrusos crece en las empresas y los cuerpos policiales

En los últimos 18 meses, han aumentado las tecnologías para crear honeypots (máquinas trampa o, literalmente, tarros de miel), según SecurityFocus. Son ordenadores que los investigadores conectan a Internet, expresamente sin proteger, para que atraigan a los intrusos y poder monitorizar sus movimentos, con el fin de estudiar sus herramientas y formas de ataque.

Los honeypots se basan en una vieja táctica de seguridad que consiste en no desconectar un PC que ha sido atacado, a la espera de que el intruso regrese y espiar sus pasos. Cliff Stoll relata en El huevo del cuco (1989) cómo usó la técnica para descubrir a un grupo de alemanes que robaba secretos de ordenadores militares norteamericanos y los vendía al KGB. La vieja técnica se redefinía en 2000 con la aparición de Honeynet: una red permanente de máquinas trampa coordinada por voluntarios.

Hay un muchas soluciones para crear honeypots: comerciales, como KFSensor, y libres, como Honeyd.

Recientemente, Rediris convocaba un reto de análisis forense que consistía en diseccionar un ordenador trampa. Rediris cuenta, desde 2001, con un proyecto de red de máquinas trampa en el que participa Francisco Monserrat, de IRIS-CERT: "Para montar una buena red hacen falta máquinas, tiempo para analizar los resultados y cómo aplicarlos. Una máquina trampa no tiene sentido para un usuario o una pyme, ya que no van a tener ataques en su contra, sino ataques aleatorios, dirigidos a cualquiera que tenga funcionando el programa que emplea una vulnerabilidad". Pero, en redes grandes y grupos de seguridad, las trampas son útiles, dice Monserrat, "para analizar si un problema de seguridad en un programa de uso común es muy atacado y así avisar a los usuarios, o como señuelo, dejando la máquina protegida ante ataques externos pero no ante los ataques internos. Además, sirven como laboratorio donde probar los conocimientos de análisis forense digital, para después aplicarlos".

Un riesgo es que, una vez comprometida la máquina, los intrusos la usen para atacar otras. Según Monserrat, puede evitarse: "Hay métodos, como limitar el tráfico que sale del equipo o instalar detectores que avisan cuando el intruso empieza a lanzar ataques y los cortan. Otras máquinas trampa se bloquean cuando el atacante intenta ejecutar operaciones. Todo el tráfico con destino y origen a esta máquina es monitorizado, por lo que se puede seguir el rastro del atacante".

El interés por los honeypots es tal que la policía británica ha puesto en marcha uno para pedófilos. Pero, según Monserrat, tienen inconvenientes: "Requieren una monitorización exhaustiva y sólo captura ataques aleatorios". Lance Spitzner, de Honeynet, cuenta que otro peligro radica en que se descubra que es una trampa: "Mientras crece el uso de honeypots, vemos nuevas herramientas y técnicas para hallarlos, como el Honeypot Hunter, usado por la industria del correo basura para identificar honeypots especializados en pescar spam".