¿Qué es un honeypot en ciberseguridad?

Un honeypot es un sistema señuelo diseñado para atraer a atacantes. Simula ser un servidor, base de datos o dispositivo real y valioso, pero en realidad es una trampa. Cualquier acceso al honeypot es inmediatamente sospechoso y genera una alerta, porque no hay usuarios legítimos que deban acceder a él.

¿Para qué sirve un honeypot en una empresa?

Los honeypots sirven para detectar atacantes que ya han penetrado el perímetro de seguridad de la empresa. Mientras un firewall intenta impedir la entrada, el honeypot asume que el ataque ocurrirá y se centra en detectarlo lo antes posible, reduciendo el tiempo de detección de semanas a minutos.

¿Cuánto cuesta implementar un honeypot?

Los honeypots van desde soluciones de código abierto gratuitas (OpenCanary, Cowrie) hasta plataformas gestionadas como ChacalDeception de ChacalSecurity, que incluye despliegue guiado, panel de gestión centralizado y alertas en tiempo real por Telegram, disponible como complemento a los planes de ProxyChacal.

Qué es un Honeypot y Cómo Protege Tu Empresa en 2025

Q: ¿Un honeypot es ilegal?

No. Desplegar honeypots en tu propia red empresarial es completamente legal en España y en la Unión Europea. Es una técnica defensiva estándar utilizada por organismos públicos, bancos y todo tipo de empresas. Lo que sería ilegal es desplegar honeypots en redes ajenas sin autorización.

47 días tiempo medio para detectar un ataque sin honeypots

3 min tiempo medio de detección con honeypots activos

0% falsos positivos — cualquier acceso al honeypot es una amenaza real

68% de los ataques internos se detectan antes con honeypots

⚠️

La premisa que cambia todo: En ciberseguridad existe una verdad incómoda que los expertos repiten constantemente: no se trata de si tu empresa va a ser atacada, sino de cuándo. Los honeypots no evitan el ataque. Hacen algo más valioso: te avisan en el momento exacto en que ocurre.

¿Qué es un honeypot? Definición y origen

Un honeypot (literalmente "tarro de miel" en inglés) es un sistema informático señuelo que simula ser un servidor, base de datos, dispositivo o recurso de red real y valioso, con el único propósito de atraer a atacantes y detectarlos en el momento en que interactúan con él.

La analogía es perfecta: así como un tarro de miel atrae a los osos, un honeypot atrae a los ciberdelincuentes que exploran tu red buscando sistemas que comprometer.

El concepto proviene del mundo del espionaje. Durante la Guerra Fría, los servicios de inteligencia utilizaban "agentes señuelo" —espías falsos con información falsa— para identificar a topos y agentes enemigos. Si el agente señuelo era contactado, significaba que alguien que no debería saber de su existencia lo había descubierto.

En ciberseguridad, la lógica es idéntica: el honeypot no tiene ningún usuario legítimo. No debería haber ningún tráfico hacia él. Cualquier conexión es, por definición, sospechosa.

💡

La clave que elimina los falsos positivos: Los sistemas de seguridad tradicionales como los IDS (sistemas de detección de intrusiones) generan decenas o cientos de alertas al día, la mayoría falsas alarmas. Un honeypot no genera falsos positivos porque ningún usuario legítimo debería acceder a él nunca. Cada alerta es real.

Cómo funciona un honeypot paso a paso

Entender el funcionamiento de un honeypot requiere comprender primero cómo opera un atacante una vez que penetra una red empresarial. Tras superar el perímetro —ya sea mediante phishing, credenciales robadas o una vulnerabilidad—, el atacante no ataca inmediatamente. Primero explora.

Esta fase de reconocimiento interno, conocida como "movimiento lateral", puede durar días o semanas. El atacante mapea la red, identifica sistemas valiosos, escala privilegios. Es exactamente durante esta fase cuando el honeypot hace su trabajo.

El atacante penetra el perímetro

A través de phishing, credenciales comprometidas o una vulnerabilidad, el atacante obtiene acceso a la red interna. Tu firewall no lo detectó porque el acceso parecía legítimo.

T+0 — El ataque comienza

Reconocimiento interno: el atacante explora

El atacante escanea la red buscando servidores, bases de datos y recursos de valor. Ve un servidor que parece contener información financiera, credenciales de administrador o datos de clientes. Es el honeypot.

T+horas — Fase de reconocimiento

El atacante interactúa con el honeypot

El atacante intenta conectarse al sistema señuelo. Puede intentar autenticarse con credenciales robadas, explorar directorios, ejecutar comandos. El honeypot registra todo: IP, técnicas usadas, credenciales probadas, hora exacta.

T+horas — El honeypot captura la actividad

Alerta inmediata al equipo de seguridad

En segundos, el sistema genera una alerta con toda la información del atacante: IP con geolocalización, país, ISP, puerto atacado, credenciales usadas, nivel de riesgo. La alerta llega por Telegram, email o al SIEM corporativo.

T+segundos — Alerta generada

Respuesta antes de que el atacante llegue a los sistemas reales

El equipo de seguridad bloquea la IP, revoca las credenciales comprometidas, aísla el segmento de red afectado y audita los accesos. El atacante nunca llegó a los sistemas reales.

T+minutos — Incidente contenido

✅

Lo que hace especial al honeypot: A diferencia de otras herramientas de seguridad, el honeypot no necesita conocer la amenaza de antemano. No trabaja con firmas ni patrones conocidos. Detecta cualquier comportamiento anómalo por definición, incluyendo ataques de día cero y técnicas completamente nuevas.

Tipos de honeypots para empresas

No todos los honeypots son iguales. Se clasifican según el nivel de interacción que permiten al atacante y el tipo de sistema que simulan. Cada tipo tiene su caso de uso óptimo:

Por nivel de interacción

Baja interacción

Fácil de desplegar y mantener

Bajo riesgo si el atacante lo compromete

Ideal para detección rápida

Información limitada sobre el atacante

El atacante puede detectar que es un señuelo

No estudia técnicas avanzadas

Alta interacción

Máxima información sobre técnicas del atacante

El atacante no sabe que está en un señuelo

Permite estudiar malware en tiempo real

Mayor complejidad de despliegue

Requiere más supervisión y recursos

Riesgo si el atacante lo usa como pivote

Por tipo de sistema simulado

🖥️

Honeypot SSH / RDP

Simula un servidor con acceso remoto habilitado. Es el más efectivo contra ataques de fuerza bruta y contra atacantes que usan credenciales robadas. El ransomware frecuentemente usa RDP como vector de entrada — este honeypot los detecta en el momento del intento.

→ Ideal para detectar: fuerza bruta, credenciales comprometidas, ransomware

🗄️

Honeypot de base de datos

Simula una base de datos MySQL, PostgreSQL o MongoDB con datos aparentemente valiosos. Extremadamente efectivo para detectar ataques de inyección SQL, accesos con credenciales robadas y movimiento lateral de atacantes que buscan datos de clientes o financieros.

→ Ideal para detectar: SQL injection, robo de datos, movimiento lateral

📁

Honeypot SMB / servidor de archivos

Simula una carpeta compartida en red con nombres de archivos tentadores (nóminas, contratos, credenciales). Los atacantes que exploran la red interna lo encuentran y acceden. Es uno de los más usados para detectar amenazas internas y ransomware que cifra recursos compartidos.

→ Ideal para detectar: insider threats, ransomware, reconocimiento interno

🌐

Honeypot web / panel de administración

Simula un panel de administración web (WordPress, phpMyAdmin, panel de control interno). Detecta ataques automatizados de bots y atacantes manuales que buscan interfaces de gestión expuestas con credenciales débiles o por defecto.

→ Ideal para detectar: ataques web automatizados, credential stuffing

🏭

Honeypot IoT / SCADA

Simula dispositivos industriales, cámaras IP, routers o sistemas de control. Especialmente relevante para empresas con infraestructura física conectada a la red. Detecta ataques dirigidos específicamente a infraestructura crítica y dispositivos con contraseñas por defecto.

→ Ideal para detectar: ataques a IoT, infraestructura crítica, Mirai-like botnets

📧

Honeypot de correo electrónico

Direcciones de email señuelo colocadas estratégicamente en documentos internos o listados de contactos. Si alguien envía un correo a esa dirección, significa que tuvo acceso no autorizado al documento o sistema donde estaba. También detecta campañas de spam que harvestan emails de páginas web.

→ Ideal para detectar: acceso no autorizado a documentos, spam harvesting

Casos reales: empresas que detectaron intrusos con honeypots

Los honeypots no son teoría. Son la herramienta que marca la diferencia entre descubrir un ataque en 3 minutos o en 47 días. Estos escenarios —basados en patrones de ataque reales documentados— ilustran cómo funcionan en práctica.

Caso 01 · Amenaza interna

Gestoría detecta empleado filtrando datos de clientes

EmpresaGestoría con 18 empleados, sector fiscal y contable

ProblemaSospecha de filtración de base de datos de clientes a la competencia

SoluciónHoneypot SMB simulando carpeta "Clientes_exportación_2024" en servidor interno

ResultadoAlerta generada a las 23:14h de un jueves. IP interna del empleado. Acceso desde fuera del horario habitual. Evidencia digital completa para procedimiento judicial.

Caso 02 · Ataque externo con credenciales robadas

Despacho de abogados detecta intrusión con credenciales de un socio

EmpresaDespacho de abogados, 40 empleados

ProblemaCredenciales VPN de un socio comprometidas en brecha de datos de tercero

SoluciónHoneypot RDP con nombre "SERVIDOR-ADMIN-BACKUP" en red interna

ResultadoA los 4 días de la brecha, el atacante intentó acceder al honeypot desde IP de Moldavia. Alerta inmediata. Credenciales revocadas, auditoría completa. Sin acceso a expedientes reales.

Caso 03 · Detección de ransomware en fase de reconocimiento

Empresa logística neutraliza ransomware antes del cifrado

EmpresaEmpresa de transporte y logística, 120 empleados

ProblemaEmpleado abrió adjunto de phishing. El malware comenzó reconocimiento de red buscando recursos compartidos que cifrar.

SoluciónHoneypot SMB con carpeta compartida llamada "Facturación" visible desde cualquier equipo de la red

ResultadoEl malware intentó acceder al honeypot antes de cifrar nada. Alerta en segundos. Equipo infectado aislado inmediatamente. Cero archivos cifrados. Cero tiempo de inactividad.

Qué pasa en una empresa sin honeypots

Para entender el valor de un honeypot, es útil visualizar exactamente qué ocurre cuando una empresa no los tiene y sufre una intrusión:

📅

Semana 1-2: El atacante entra y explora la red. Nadie lo sabe.

Semana 2-4: El atacante identifica los sistemas más valiosos, escala privilegios y establece persistencia. Nadie lo sabe.

Semana 4-6: El atacante comienza a exfiltrar datos o prepara el despliegue de ransomware. Nadie lo sabe.

Semana 6-8: El ransomware se despliega, los archivos se cifran, los sistemas se paralizan. Ahora lo saben.

Día del descubrimiento: La empresa lleva entre 30 y 60 días comprometida. Todos los datos accedidos durante ese período están en manos del atacante.

Métrica	Sin honeypots	Con honeypots
Tiempo medio de detección	47 días	Minutos
Datos expuestos durante el ataque	Todo lo accedido en 47 días	Prácticamente nulo
Falsos positivos	Decenas al día (IDS)	Cero
Detección amenazas internas	Muy difícil	Alta efectividad
Detección ataques día cero	No	Sí (por comportamiento)
Información sobre el atacante	Escasa o ninguna	IP, técnicas, credenciales, horario
Coste de implementación	—	Bajo (sin hardware adicional)

Cómo implementar honeypots en tu empresa

La buena noticia es que implementar honeypots en una PYME es más sencillo de lo que parece. No requiere hardware adicional, no necesita un equipo de seguridad dedicado, y puede estar funcionando en menos de una hora.

Opción 1 — Soluciones de código abierto (gratuitas, requieren configuración técnica)

Si tu empresa tiene un responsable técnico con conocimientos de Linux y redes, existen herramientas open source muy capaces:

OpenCanary — Honeypot multiprotocolo de Thinkst. Simula SSH, RDP, HTTP, SMB, MySQL. Muy configurable, excelente comunidad.
Cowrie — Honeypot SSH y Telnet de alta interacción. Registra todo lo que el atacante hace dentro del sistema.
HoneyDB — Base de datos de honeypots distribuidos, con API para integrar alertas.

La limitación de estas soluciones es que requieren configuración, mantenimiento y monitorización manual. Para una PYME sin equipo de seguridad, el tiempo invertido puede superar el valor obtenido.

Opción 2 — Plataformas gestionadas (recomendado para PYMEs)

Las plataformas de honeypots gestionadas abstraen toda la complejidad técnica: tú defines qué sistemas quieres simular y dónde colocarlos, y la plataforma se encarga del despliegue, el mantenimiento y las alertas.

🎯

Dónde colocar los honeypots para máxima efectividad:

▸ En el mismo segmento de red que los servidores reales — el atacante no distinguirá cuál es el señuelo
▸ Con nombres atractivos: "SERVIDOR-BACKUP", "BD-CONTABILIDAD", "ADMIN-PANEL" — el atacante va a lo que parece valioso
▸ Uno por segmento de red crítico: red de servidores, red de usuarios, WiFi de invitados
▸ Nunca en el perímetro exterior — recibirías demasiado ruido de internet. El honeypot es para detectar movimiento lateral interno.

Preguntas frecuentes sobre honeypots

¿Un honeypot es ilegal?

No. Desplegar honeypots en tu propia red es completamente legal en España y en la Unión Europea. Es una técnica defensiva estándar utilizada por bancos, organismos públicos y empresas de todos los tamaños. Lo que sería ilegal es desplegar honeypots en redes ajenas sin autorización.

¿Puede un atacante detectar que está en un honeypot?

Los atacantes sofisticados pueden intentar detectar honeypots analizando las respuestas del sistema (versiones de software, tiempos de respuesta, comportamiento ante comandos inusuales). Sin embargo, para la inmensa mayoría de los ataques —que son oportunistas y automatizados—, un honeypot bien configurado es completamente transparente. Y en cualquier caso, incluso si el atacante detecta el honeypot, habrá generado una alerta valiosa.

¿Un honeypot puede ser utilizado como pivote para atacar otros sistemas?

Es un riesgo real en honeypots de alta interacción mal configurados. La solución es aislar el honeypot mediante segmentación de red: puede recibir conexiones desde la red interna pero no puede iniciar conexiones hacia otros sistemas. Las plataformas de honeypots gestionadas implementan este aislamiento automáticamente.

¿Cuántos honeypots necesita una empresa?

La regla general es al menos uno por segmento de red crítico. Para una PYME típica, con dos o tres segmentos (servidores, usuarios, DMZ), entre dos y cuatro honeypots proporcionan una cobertura muy efectiva. Más importante que la cantidad es la ubicación estratégica: un honeypot bien colocado vale más que diez mal situados.

¿Cuál es la diferencia entre un honeypot y un honeynet?

Un honeypot es un único sistema señuelo. Una honeynet es una red completa de honeypots interconectados que simula una infraestructura empresarial entera —con servidores, bases de datos, dispositivos de red— permitiendo observar el comportamiento del atacante con mucho mayor detalle. Las honeynets son más propias de entornos de investigación y grandes organizaciones; para PYMEs, los honeypots individuales son suficientes y más sencillos de gestionar.

¿Los honeypots protegen contra ransomware?

Sí, y es uno de sus usos más valiosos. El ransomware moderno, antes de cifrar archivos, realiza reconocimiento interno de la red buscando recursos compartidos y servidores. Si en ese proceso accede a un honeypot SMB o de servidor de archivos, genera una alerta que permite aislar el equipo infectado antes de que comience el cifrado. Es la diferencia entre cero archivos cifrados y una crisis total.

// ChacalDeception — Honeypots gestionados para empresas

¿Cuánto tiempo llevaría un intruso en tu red antes de que lo detectases?

ChacalDeception despliega honeypots en tu infraestructura en minutos, sin hardware adicional y sin conocimientos técnicos avanzados. Cuando un atacante los toca, recibes una alerta por Telegram en segundos con su IP, geolocalización, credenciales usadas y nivel de riesgo.

Activar ChacalDeception → Ver todos los productos

Incluido en planes Estándar y Pro · Configuración guiada · Alertas Telegram en tiempo real

🦊

ChacalSecurity Research Team

Equipo especializado en ciberseguridad para PYMEs. Analizamos amenazas reales, estudiamos técnicas de ataque y desarrollamos herramientas de detección accesibles para empresas sin departamento de seguridad dedicado.
chacalsecurity.com