60%
de las brechas de datos tienen componente interno
0 seg
tiempo de detección cuando el token se activa
197 días
tiempo medio para detectar una filtración interna sin herramientas
0%
falsos positivos — el token solo se activa si hay acceso real
🐦
El canario en la mina de carbón: En el siglo XIX, los mineros llevaban canarios a las minas porque estos pájaros son extremadamente sensibles al monóxido de carbono. Si el canario moría, los mineros sabían que había gas peligroso y evacuaban. Los canary tokens digitales funcionan igual: son el "canario" que detecta el peligro antes de que cause daño real.
¿Qué son los canary tokens? Origen e historia
Un canary token (también llamado honeytoken) es una trampa digital invisible que se embebe dentro de un activo — un documento Word, una hoja de cálculo, una URL, un código QR, un archivo PDF — y que genera una alerta en tiempo real cuando alguien lo accede sin autorización.
La idea no es nueva. En el mundo de la inteligencia, los servicios de contrainteligencia llevan décadas usando documentos señuelo para identificar topos y filtraciones. Si un documento clasificado de distribución restringida aparecía en manos enemigas, bastaba con analizar a quién se le había entregado para identificar al topo. El problema era que detectar la filtración requería que el documento llegase al enemigo — a veces, demasiado tarde.
Los canary tokens modernos resuelven exactamente ese problema: la alerta llega en el momento del acceso, no cuando el documento ya ha circulado durante semanas.
El concepto fue formalizado en el mundo de la ciberseguridad por Haroon Meer y el equipo de Thinkst Applied Research en 2015, cuando lanzaron Canarytokens.org como proyecto open source. Desde entonces, la técnica ha evolucionado hasta incluir docenas de tipos distintos de tokens, cada uno adaptado a un vector de filtración diferente.
💡
Canary token vs. honeypot — la diferencia clave: Un honeypot detecta atacantes que exploran tu red. Un canary token detecta accesos no autorizados a información concreta. El honeypot te dice "alguien está dentro de tu red". El canary token te dice "alguien abrió este documento específico, a esta hora, desde esta IP". Son herramientas complementarias, no alternativas.
Cómo funcionan técnicamente
El mecanismo técnico es elegante en su simplicidad. Cada canary token contiene una referencia única —una URL, un subdominio DNS, una dirección de email— que apunta a un servidor de monitorización. Cuando el archivo se abre o el enlace se visita, el sistema operativo o la aplicación realiza automáticamente una petición a esa referencia.
En ese momento, el servidor de monitorización captura toda la información disponible y genera la alerta.
Creación del token
Se genera un token único con un identificador irrepetible. Este token se embebe de forma invisible dentro del activo (documento, URL, archivo) sin alterar su apariencia ni funcionalidad. El documento parece completamente normal.
Despliegue estratégico
El documento se coloca en la ubicación donde se quiere detectar accesos no autorizados: una carpeta de servidor, el correo electrónico de un empleado, una USB marcada como "confidencial", un directorio compartido con proveedores externos.
El acceso no autorizado ocurre
Alguien — un empleado, un atacante externo con acceso, un proveedor con permisos excesivos — abre el documento. En milisegundos, la aplicación (Word, Excel, el navegador) realiza automáticamente una petición a la URL del token sin que el usuario lo sepa.
Captura de información
El servidor de monitorización captura: dirección IP del acceso, geolocalización (país, ciudad, ISP), navegador y sistema operativo utilizados, hora exacta del acceso, y en algunos casos el nombre de usuario de Windows. Todo queda registrado.
Alerta inmediata
En segundos, recibes la alerta completa: qué token se activó, toda la información del acceso, nivel de riesgo. La alerta llega por Telegram, email, webhook o directamente al SIEM corporativo. Tienes la evidencia antes de que el intruso haya terminado de leer la primera página.
🔒
¿Puede el intruso bloquearlo? Algunos usuarios avanzados con herramientas de privacidad (VPN, Tor, bloqueadores de contenido) pueden dificultar la captura de su IP real. Por eso los tokens más avanzados utilizan múltiples métodos de tracking simultáneos: si uno falla, otro registra el acceso. Un token HTML de alta interacción puede usar hasta cuatro métodos distintos en paralelo.
Tipos de canary tokens y casos de uso
Cada tipo de token se adapta a un escenario de riesgo específico. La clave está en elegir el tipo correcto para cada situación y colocarlo donde el acceso no autorizado sea más probable o más dañino.
URL
Token URL — El más versátil
Una URL única que registra cualquier visita. Se puede personalizar el slug (la parte final de la URL) para que parezca legítima, y configurar a qué página redirige al visitante. Compatible con cualquier dispositivo y sistema operativo.
Caso de uso: Incluye la URL como "enlace de acceso exclusivo" en documentos distribuidos a múltiples partes. Si la URL se activa desde una IP inesperada, sabes que el documento fue compartido sin autorización.
Plan Gratuito
QR
Token QR — Para activos físicos
Un código QR descargable que, cuando se escanea con cualquier smartphone, activa el token. Personalizeable con los colores corporativos. Ideal para extender la protección al mundo físico: documentos impresos, equipos, instalaciones.
Caso de uso: Imprime el QR en documentación confidencial física o pégalo discretamente en equipos de sala de servidores. Si alguien lo escanea, probablemente está fotografiando el documento o el equipo.
Plan Gratuito
DOCX
Token Word — El clásico infalible
Un documento Word aparentemente normal que, cuando se abre en Microsoft Word, realiza automáticamente una petición invisible al servidor de monitorización. Captura IP, sistema operativo, versión exacta de Office y nombre de usuario de Windows en muchos casos. El documento tiene aspecto y funcionamiento completamente normales.
Caso de uso clásico: Crea un documento llamado "Salarios_Direccion_2025.docx" y colócalo en la carpeta de RRHH. Es irresistible para un curioso o un espía. En el momento en que lo abra, ya tienes la alerta.
Plan Starter+
XLSX
Token Excel — Para hojas de cálculo sensibles
Una hoja de cálculo Excel con una función oculta que realiza una llamada al servidor de monitorización al abrirse. Especialmente útil para proteger presupuestos, listas de clientes, proyecciones financieras y cualquier dato que normalmente viva en Excel.
Caso de uso: Distribuye versiones distintas de una hoja de cálculo confidencial a distintos departamentos o proveedores. Cada versión tiene un token único. Si el documento se filtra, el token identifica exactamente qué versión (y por tanto qué destinatario) fue el origen.
Plan Starter+
PDF
Token PDF — Para contratos e informes
Un PDF con un enlace invisible de tracking que se activa al abrirse en la mayoría de lectores PDF. Además incluye opcionalmente un enlace visible señuelo para capturar información adicional del comportamiento del intruso. Plantillas disponibles: informe corporativo, contrato, documento confidencial.
Caso de uso: Contratos con clientes o proveedores que incluyen cláusulas de confidencialidad. El token no solo es una alerta de seguridad: es evidencia digital de que el documento fue accedido, con fecha y hora exacta.
Plan Starter+
HTML
Token HTML — Máxima cobertura de tracking
Una página web completa con hasta cuatro métodos de tracking simultáneos: fetch, imagen pixel, beacon y iframe. Extremadamente difícil de bloquear. Disponible en plantillas que simulan páginas de login corporativo, acceso VPN, Google Drive o páginas de error 403.
Caso de uso: Crea una página de "acceso restringido" señuelo que simula el portal interno de la empresa. Si un atacante que está explorando tu red accede a ella intentando entrar al sistema, el token lo delata inmediatamente.
Plan Starter+
DNS
Token DNS — El más sigiloso
Un subdominio único que genera una alerta cuando cualquier sistema intenta resolverlo via DNS. No requiere que nadie abra ningún archivo — basta con que el subdominio aparezca en un archivo de configuración, un registro de red o una variable de entorno que el atacante escanea.
Caso de uso: Incluye el subdominio token en archivos de configuración de red, variables de entorno o registros internos. Si un atacante automatizado o manual escanea esos archivos y su sistema intenta resolver el subdominio, recibes la alerta.
Plan Pro+
EMAIL
Token Email — Para libreta de contactos
Una dirección de email única que genera una alerta cuando recibe cualquier mensaje. Colócala en libretas de contactos, documentos internos o como dirección "de emergencia" en sistemas. Si alguien la usa, o si campaña de phishing la incluye como objetivo, lo sabes al instante.
Caso de uso: Añade la dirección token a la libreta de contactos corporativa como "contacto interno de seguridad". Si una campaña de phishing dirigido a tu empresa la incluye como objetivo, significa que los atacantes tuvieron acceso a tu libreta de contactos.
Plan Pro+
La amenaza interna: el enemigo que ya tiene las llaves
Los firewalls, antivirus y sistemas de detección de intrusiones están diseñados para detectar amenazas externas: atacantes que intentan penetrar el perímetro de seguridad. Pero el 60% de las brechas de seguridad tienen un componente interno: alguien que ya tiene acceso legítimo a los sistemas.
Las amenazas internas son las más difíciles de detectar por una razón simple: el "atacante" no está haciendo nada técnicamente anómalo. Está usando su usuario y contraseña legítimos para acceder a sistemas a los que tiene permiso. La diferencia está en la intención y el uso que hace de esa información.
Tres perfiles de amenaza interna
👤
El empleado malintencionado: Está pensando en irse a la competencia, tiene un agravio con la empresa o simplemente encuentra una oportunidad económica. Descarga listas de clientes, copia propuestas comerciales, exfiltra código fuente o planes de producto. El daño puede ser enorme y muchas veces no se descubre hasta meses después, cuando ya está en manos de la competencia.
👤
El empleado descuidado: No tiene mala intención, pero sus prácticas de seguridad son deficientes. Comparte documentos confidenciales por WhatsApp, usa su email personal para enviar archivos de trabajo, guarda datos en servicios cloud no autorizados. La filtración no es intencionada, pero el daño es el mismo.
👤
El empleado comprometido: Sus credenciales han sido robadas — mediante phishing, una brecha en un servicio que usa también en el trabajo, o malware en su equipo personal. Un atacante externo usa esas credenciales para acceder a los sistemas con la identidad de un empleado legítimo. Los sistemas de seguridad no ven nada anómalo.
En los tres casos, los canary tokens detectan el acceso no autorizado porque no discriminan por intención: solo registran el acceso. Un empleado malintencionado, uno descuidado y un atacante con credenciales robadas activan el mismo token de la misma manera.
Casos reales de detección con canary tokens
Caso 01 · Empleado filtrando a la competencia
Bufete de abogados identifica al origen de una filtración en 48 horas
EmpresaBufete de abogados con 25 profesionales, sector mercantil
ProblemaTres clientes habían sido contactados por un bufete competidor con información que solo podía conocerse internamente
SoluciónTokens DOCX únicos en los expedientes de los tres clientes afectados, distribuidos a los abogados que tenían acceso
ResultadoEn 48 horas, uno de los tokens se activó desde una IP doméstica a las 22h. Era la IP del portátil personal del socio junior que tenía acceso a los tres expedientes. Evidencia digital completa para el expediente disciplinario.
Caso 02 · Credenciales robadas en uso
Consultora detecta acceso con credenciales robadas antes de la exfiltración
EmpresaConsultora estratégica, 60 empleados, maneja datos confidenciales de clientes Fortune 500
ProblemaLas credenciales de un directivo aparecieron en una brecha de datos de un gestor de contraseñas de tercero. El atacante las probó en los sistemas corporativos.
SoluciónToken XLSX en carpeta "Propuestas_Clientes_2025" accesible con las credenciales del directivo
ResultadoEl atacante accedió al servidor y abrió el archivo señuelo. Alerta inmediata desde IP de Países Bajos. Sesión cortada, credenciales revocadas, auditoría completa en menos de 20 minutos. Ninguna propuesta real fue accedida.
Caso 03 · Proveedor con acceso excesivo
Empresa tech descubre que proveedor externo accedía a documentación no autorizada
EmpresaStartup tecnológica, 30 empleados, producto SaaS B2B
ProblemaUn proveedor de desarrollo externo tenía acceso al repositorio de código. Se sospechaba que estaba accediendo también a documentación de producto y roadmap estratégico.
SoluciónToken URL embebido en documento "Roadmap_Producto_Confidencial_2025-2026.pdf" en carpeta teóricamente fuera del alcance del proveedor
ResultadoEl token se activó tres veces en dos semanas desde IPs del rango del proveedor. Evidencia suficiente para rescindir el contrato e iniciar revisión de todos los accesos externos.
Caso 04 · Spear phishing previo a ataque dirigido
Empresa industrial detecta reconocimiento previo a un ataque dirigido
EmpresaFabricante industrial, 200 empleados, sector defensa civil
ProblemaCampaña de spear phishing muy dirigida con información interna detallada. Alguien estaba recopilando información antes del ataque principal.
SoluciónToken Email como dirección de contacto interno visible solo en documentos internos y en el sistema de RRHH
ResultadoLa dirección token recibió un email de phishing antes que los empleados reales. El grupo atacante había accedido previamente al sistema de RRHH. Brecha identificada y parcheada antes del ataque principal.
Cómo implementarlos en tu empresa hoy mismo
Implementar canary tokens no requiere conocimientos técnicos avanzados ni presupuesto significativo. Con una plataforma adecuada, crear y desplegar tu primer token lleva menos de dos minutos.
Estrategia de despliegue recomendada para PYMEs
🗺️
Los 5 tokens que toda empresa debería tener activos:
1. Token DOCX en documentos de RRHH: Nóminas, contratos, evaluaciones de desempeño. Son los documentos más tentadores para empleados con intenciones ocultas.
2. Token XLSX en información financiera: Presupuestos, proyecciones, márgenes. Si alguien los abre sin autorización, sabrás en segundos.
3. Token URL en comunicaciones con proveedores: Un enlace exclusivo en cada propuesta o contrato enviado. Si la URL se activa desde una IP desconocida, el documento fue compartido sin permiso.
4. Token QR en sala de servidores o instalaciones restringidas: Si alguien escanea el código, probablemente está fotografiando algo que no debería.
5. Token Email en libreta de contactos interna: Detecta si un atacante accedió a tu directorio de contactos e intenta usarlo para phishing dirigido.
Planes disponibles en ChacalTokens
Gratis
0€ /mes
3 tokens activos
Token URL
Token QR
Alertas Telegram
Starter
4.99€ /mes
10 tokens activos
+ DOCX, XLSX, PDF
+ HTML (4 métodos)
Alertas Telegram
Pro
14.99€ /mes
30 tokens activos
+ Token DNS
+ Token Email
Informes PDF
Business
29.99€ /mes
Tokens ilimitados
Todos los tipos
API REST + Webhooks
Integración SIEM
| Característica |
Sin canary tokens |
Con ChacalTokens |
| Detección de filtraciones internas |
Prácticamente imposible |
En tiempo real |
| Tiempo de detección |
197 días de media |
Segundos |
| Evidencia digital para acciones legales |
Escasa o inexistente |
IP, hora, geolocalización, SO |
| Falsos positivos |
— |
Cero |
| Detección credenciales comprometidas |
No |
Sí, con tokens en recursos protegidos |
| Cobertura en documentos físicos |
No |
Sí, con tokens QR imprimibles |
| Precio mínimo |
— |
0€ (plan gratuito) |
Preguntas frecuentes sobre canary tokens
¿Son legales los canary tokens?
Sí. Desplegar canary tokens en activos propios de tu empresa es perfectamente legal en España y la Unión Europea. Es una técnica de seguridad defensiva estándar. Para un contexto laboral, es recomendable que la política de uso de recursos informáticos de la empresa mencione el uso de herramientas de monitorización de seguridad, algo ya habitual en cualquier política corporativa bien redactada.
¿Puede el intruso saber que el documento tiene un token?
En la mayoría de los casos, no. El token es completamente invisible para el usuario: el documento tiene apariencia y funcionamiento normales. Un usuario técnico muy avanzado que analice el código fuente del archivo podría detectar la referencia externa, pero esto requeriría saber qué buscar y hacer un análisis forense antes de abrir el archivo, lo cual es extremadamente inusual.
¿Qué pasa si un empleado legítimo abre un documento con token?
Si el token está en un documento al que ese empleado tiene acceso legítimo, recibirás una alerta pero será un acceso esperado. Por eso es importante colocar los tokens en documentos o ubicaciones donde el acceso no debería ocurrir: carpetas de otras áreas, documentos de distribución restringida, archivos señuelo con nombres tentadores en ubicaciones sensibles. La clave del diseño es que el token esté en algo que nadie debería abrir sin razón legítima.
¿Funcionan los tokens si el intruso usa VPN?
Con una VPN, la IP capturada será la del servidor VPN, no la real del intruso. Sin embargo, esto no hace inútil el token: la alerta sigue generándose, sigues sabiendo que alguien accedió al documento en ese momento exacto, y la combinación de hora, sistema operativo y navegador suele ser suficiente para correlacionar con otros logs y identificar al responsable. Los tokens HTML con múltiples métodos de tracking tienen además más probabilidades de capturar información adicional.
¿Cuántos tokens debería tener activos mi empresa?
Depende del tamaño y la exposición al riesgo, pero como regla general: entre 5 y 15 tokens cubre la mayoría de vectores críticos en una PYME. Más importante que la cantidad es la estrategia de colocación: un token bien ubicado en el lugar correcto vale más que veinte tokens en lugares irrelevantes. Empieza con los documentos más sensibles (financiero, RRHH, propiedad intelectual) y expande gradualmente.
¿Los canary tokens sustituyen al DLP (Data Loss Prevention)?
No, son complementarios. Los sistemas DLP intentan prevenir la salida de datos monitorizando el tráfico de red y el comportamiento de archivos. Los canary tokens detectan el acceso no autorizado en el momento en que ocurre. El DLP tiene muchos falsos positivos y requiere configuración compleja; los tokens tienen cero falsos positivos y configuración inmediata. Para PYMEs sin equipo de seguridad, los canary tokens ofrecen un ratio valor/complejidad mucho mejor que el DLP.
// ChacalTokens — Canary tokens para empresas reales
Tu primer token puede estar activo en los próximos 2 minutos
ChacalTokens te permite crear, desplegar y gestionar canary tokens sin ningún conocimiento técnico. Elige el tipo de token, personalízalo, descárgalo o cópialo y colócalo donde quieres proteger. Cuando alguien lo active, recibes la alerta por Telegram con toda la información del acceso.
Plan gratuito disponible · Sin tarjeta de crédito · Configuración en 2 minutos
🦊
ChacalSecurity Research Team
Equipo especializado en ciberseguridad para PYMEs. Investigamos amenazas reales, analizamos técnicas de ataque y construimos herramientas de detección accesibles para empresas sin departamento de seguridad dedicado.
chacalsecurity.com
