“Se avecinan ciberataques por parte de agentes de IA”. La frase, que titula un artículo reciente del MIT, advierte sobre un escenario factible e invita a profundizar sobre una temática que podrá cambiarlo todo en el futuro cercano.

DShield Honeypot es un honeypot muy ligero (se puede usar Raspbian Lite OS, la versión más pequeña)  basado en cowrie (ssh y telnet) destinado a imitar un sistema vulnerable para recopilar información sobre amenazas. Luego, estos datos se envían al vasto depósito de datos de SANS ISC con fines de investigación. En esta guía paso a paso veremos también cómo integrar servicios de terceros como VirusTotal y AbuseIPDB

T-Pot se basa en una distribución Debian (Estable), con muchos demonios honeypot (todo-en-uno), así como otros componentes de soporte, incluidos en contenedores con Docker. Esto nos permite ejecutar múltiples demonios honeypot en la misma interfaz de red, manteniendo un pequeño espacio y restringiendo cada honeypot dentro de su propio entorno. Cada servicio de honeypot funciona detrás de un contenedor volátil para mayor seguridad, aunque los datos son guardados y mostrados visualmente en ELK (Elasticsearch + Logstash + Kibana) . Kibana permite a los usuarios visualizar los datos en cuadros y gráficos con Elasticsearch.

Un honeypot es una herramienta de seguridad informática que nos permitirá detectar y obtener información de un atacante a nuestra red. Este tipo de programas sirven no solo para protegernos frente a un posible ataque, sino también para alertarnos, para estudiar a un posible atacante y adelantarnos a sus técnicas e incluso ralentizar un posible ataque.