43%
de los ataques comienzan con reconocimiento activo de servicios
7
técnicas de ataque detectadas automáticamente por cada honeybot
0%
tráfico legítimo hacia un honeybot — cualquier acceso es sospechoso
segundos
tiempo de alerta tras el primer contacto del atacante
🎣
La lógica detrás de los honeybots: Un atacante que no sabe que está en un señuelo actúa sin precauciones. Te muestra sus técnicas, sus herramientas, su IP real y sus objetivos. Es el equivalente digital a seguir a alguien que cree que nadie le observa.
¿Qué son los honeybots? Definición y concepto
Un honeybot es un servicio web señuelo — una API REST falsa, un bot de Telegram ficticio, un receptor de webhooks simulado o un archivo de configuración deliberadamente expuesto — diseñado para detectar atacantes que sondean aplicaciones y servicios digitales en busca de vulnerabilidades.
A diferencia de los honeypots tradicionales, que simulan infraestructura de red (servidores SSH, bases de datos, carpetas compartidas), los honeybots operan a nivel de aplicación. Simulan exactamente el tipo de servicios que cualquier empresa moderna utiliza y que los atacantes saben que pueden ser vulnerables: endpoints de APIs con credenciales débiles, bots de Telegram con tokens expuestos, archivos .env con variables de entorno accesibles, webhooks de integración sin autenticación.
El principio es el mismo que el de cualquier honeypot: ningún usuario legítimo debería interactuar jamás con un honeybot. Por definición, es un servicio que no existe en el mundo real de tu empresa. Cualquier conexión es, sin excepción, sospechosa.
🔍
Por qué los atacantes sondean antes de atacar: El reconocimiento previo es una fase estándar en cualquier ataque planificado. Los atacantes buscan puntos de entrada fáciles: APIs sin autenticación, archivos de configuración accesibles, paneles de administración con credenciales por defecto, endpoints que devuelven información del sistema. Un honeybot simula exactamente esos puntos de entrada tentadores y registra quién los toca.
Honeypot vs. honeybot: cuál necesita tu empresa
La confusión entre ambos términos es habitual. Son complementarios, no sinónimos. La diferencia clave está en qué tipo de amenaza detecta cada uno.
Honeypot tradicional
Simula infraestructura de red: SSH, RDP, SMB, bases de datos
Detecta intrusos que ya están dentro de la red interna
Ideal para detectar movimiento lateral tras una brecha
Protege contra amenazas internas y accesos con credenciales robadas
Opera en la capa de red y transporte
Honeybot
Simula servicios web: APIs REST, bots, webhooks, archivos .env
Detecta atacantes que sondean servicios desde el exterior
Ideal para detectar reconocimiento previo a un ataque
Protege APIs, integraciones y aplicaciones web
Opera en la capa de aplicación (HTTP/HTTPS)
✅
La respuesta a qué necesitas: Si tu empresa tiene servidores internos, bases de datos o empleados con acceso remoto → honeypots. Si tu empresa tiene APIs, aplicaciones web, bots de Telegram o integraciones con servicios externos → honeybots. La mayoría de las empresas modernas necesitan ambos.
Los 4 tipos de honeybot y sus casos de uso
Cada tipo de honeybot simula un servicio diferente y atrae a un perfil distinto de atacante. La clave está en elegir el tipo que se corresponde con los servicios reales que usa tu empresa, para que el señuelo sea creíble.
API REST
API REST falsa — El más versátil
Simula una API REST con endpoints convincentes que responden de forma realista. Los atacantes que intentan acceder a ella reciben respuestas plausibles que les hacen creer que están interactuando con una API real, mientras el sistema registra cada petición, payload y cabecera.
POST/auth/login401 Invalid credentials
GET/admin/configCredenciales BD falsas
GET/usuariosLista usuarios ficticios
GET/.envVariables entorno falsas
GET/backupURL descarga falsa
→ Ideal para: empresas con APIs propias, SaaS, aplicaciones web, startups tech
TELE GRAM BOT
Bot de Telegram falso
Simula un bot de Telegram con un token de acceso aparentemente válido. Si alguien descubre el token (por una filtración, un repositorio público o reconocimiento) e intenta interactuar con el bot, genera la alerta. Especialmente útil para detectar si tokens de Telegram de tu empresa han sido comprometidos o están expuestos en código fuente público.
POST/webhook200 OK (registra el intento)
GET/getMeBot info ficticio
→ Ideal para: empresas que usan bots de Telegram, detección de tokens filtrados
WEBHOOK
Receptor de webhook genérico
Simula un endpoint receptor de webhooks que podría corresponder a Stripe, GitHub, Slack, PayPal u otros servicios populares. Los atacantes que intentan enviar webhooks falsos para activar acciones (autorizar pagos fraudulentos, ejecutar código, modificar datos) son detectados en el intento. También detecta escaneos automatizados que buscan endpoints de webhooks sin autenticación.
POST/webhook/stripeSimula proceso de pago
POST/webhook/githubSimula evento de repo
→ Ideal para: e-commerce, SaaS con integraciones, empresas con CI/CD
ENV FILE
Archivo .env expuesto
Simula un archivo .env accesible públicamente con credenciales, claves de API y configuraciones de base de datos que parecen reales pero son completamente ficticias. Es uno de los vectores más buscados por atacantes automatizados y manuales: un .env expuesto en una web puede contener acceso a bases de datos, APIs de pago, servicios cloud y mucho más. Los datos ficticios son totalmente personalizables.
GET/.envDB_PASS, AWS_KEY, JWT_SECRET...
GET/.env.localVariables entorno falsas
→ Ideal para: cualquier empresa con aplicación web, detectar bots de escaneo masivo
Las 7 técnicas de ataque que detectan automáticamente
Cada honeybot analiza automáticamente cada petición recibida y la clasifica según la técnica de ataque detectada. No es necesaria ninguna configuración adicional: el sistema identifica el patrón y genera la alerta categorizada.
SQL Injection
Payloads con comillas simples, operadores OR, UNION SELECT o DROP TABLE en parámetros de la petición.
Ejemplo: ' OR 1=1 --
XSS Attempt
Intentos de inyección de scripts en parámetros: etiquetas script, protocolos javascript: o handlers de eventos.
Ejemplo: <script>alert(1)</script>
Reconocimiento sensible
Acceso a rutas típicamente protegidas: /admin, /config, /env, /.env, /backup. Indica escaneo de vulnerabilidades.
Ejemplo: GET /.env.production
Credential Stuffing
Autenticación Basic sin Bearer token, patrón típico de herramientas que prueban credenciales robadas en masa.
Ejemplo: Authorization: Basic dXNl...
Credential Harvesting
Payloads que contienen campos password, passwd o secret, típicos de intentos de extraer credenciales de APIs.
Ejemplo: {"password":"admin123"}
API Reconnaissance
Acceso a rutas de API estándar: /api/, /v1/, /v2/, /graphql. Indica escaneo automatizado de endpoints.
Ejemplo: GET /api/v1/users/dump
Generic Probe
Cualquier otro acceso al honeybot que no encaja en las categorías anteriores. Registra el comportamiento completo para análisis posterior.
Ejemplo: acceso inusual sin patrón definido
Cómo funciona una alerta de honeybot en tiempo real
El flujo desde que un atacante toca el honeybot hasta que recibes la alerta completa dura segundos. Así funciona internamente:
// Flujo de alerta — de 0 a notificado en menos de 5 segundos
Petición recibida: el atacante llama al endpoint del honeybot. La URL trampa registra método HTTP, ruta, cabeceras, payload y user-agent.
Análisis de técnica: el motor clasifica automáticamente la petición en una de las 7 categorías de ataque según el contenido del payload y la ruta accedida.
Geolocalización: la IP del atacante se geolocalizaa en tiempo real obteniendo país, ciudad, ISP y nivel de riesgo conocido.
Respuesta convincente: el honeybot responde con datos ficticios pero plausibles para que el atacante no sospeche que está en un señuelo y continúe revelando más información.
Alerta Telegram: en segundos recibes en tu móvil toda la información del evento con formato legible.
⚠️ HONEYBOT ACTIVADO
Honeybot: API-Produccion-Backup
Técnica: sql_injection
IP: 185.220.101.45
País: 🇩🇪 Alemania
ISP: Hetzner Online GmbH
Endpoint: POST /auth/login
Payload: {"user":"admin' OR 1=1--","pass":"x"}
Hora: 2025-05-26 03:14:22 UTC
Riesgo: CRÍTICO
Casos reales de detección con honeybots
Caso 01 · Escaneo masivo de .env
Agencia de marketing detecta bot de escaneo antes de una brecha real
EmpresaAgencia digital, 22 empleados, varios clientes con e-commerce
ProblemaQuerían saber si sus aplicaciones web eran escaneadas en busca de archivos de configuración expuestos
SoluciónHoneybot tipo ENV FILE con URL trampa publicada en el servidor de staging
ResultadoEn 48 horas, 17 peticiones distintas desde 9 IPs diferentes intentaron acceder al /.env. Todos bots automatizados. Una de las IPs también aparecía en logs reales del servidor de producción — alerta de brecha potencial detectada a tiempo.
Caso 02 · Token de Telegram filtrado en GitHub
Startup SaaS descubre que su token de bot estaba en un repositorio público
EmpresaStartup B2B, 8 empleados, usan Telegram para notificaciones internas
ProblemaUn desarrollador había commiteado por error un token de Telegram en un repositorio que estuvo público durante horas
SoluciónHoneybot tipo Telegram con el token comprometido como señuelo
ResultadoTres días después de crear el honeybot, alguien intentó enviar comandos al bot. Alerta inmediata. El token fue revocado y reemplazado antes de que el atacante lograra nada. Sin el honeybot, nunca habrían sabido que el token estaba siendo usado.
Caso 03 · Ataque dirigido a API de pagos
E-commerce detecta intento de manipulación de webhook de Stripe
EmpresaTienda online con 50.000€/mes de facturación, integración con Stripe
ProblemaSospechaban de intentos de fraude mediante webhooks falsos que intentaban simular pagos completados
SoluciónHoneybot de tipo Webhook en una URL trampa similar a la real pero monitorizada
ResultadoSe detectaron 3 intentos en dos semanas de enviar webhooks falsos simulando pagos completados. Las IPs fueron bloqueadas preventivamente en el servidor de producción. Fraude potencial de varios miles de euros neutralizado.
Caso 04 · SQL Injection en API de reconocimiento
Consultora tech detecta ataque dirigido antes de la fase de explotación
EmpresaConsultora tecnológica, API interna accesible desde internet para clientes
ProblemaNecesitaban saber si su API pública estaba siendo sondeada con técnicas de inyección
SoluciónHoneybot API REST con estructura similar a la API real pero en subdirectorio señuelo
ResultadoSe detectaron intentos de SQL injection desde una IP de Países Bajos durante 3 días consecutivos, siempre entre las 2h y las 4h de la madrugada. Patrón de ataque automatizado identificado. IP bloqueada en la API real antes de que encontrara el endpoint correcto.
Cómo implementar honeybots en tu empresa
Implementar honeybots con ChacalHoneybots no requiere conocimientos técnicos avanzados. El proceso completo —desde crear la cuenta hasta recibir la primera alerta— lleva menos de 15 minutos.
Planes disponibles
Gratis
0€ /mes
2 honeybots activos
✓ 4 tipos de honeybot
✓ Alertas Telegram
✓ Geolocalización
— Informes PDF
Starter
9.99€ /mes
5 honeybots activos
✓ Todo del plan Gratis
✓ Whitelist de IPs
✓ Datos ficticios personalizables
— Informes PDF
Pro
24.99€ /mes
20 honeybots activos
✓ Todo del Starter
✓ Informes PDF completos
✓ Exportar CSV eventos
✓ Filtros avanzados
Business
49.99€ /mes
Honeybots ilimitados
✓ Todo del Pro
✓ SLA garantizado
✓ Soporte prioritario
✓ Consultor dedicado
Comparativa: con y sin honeybots
| Capacidad |
Sin honeybots |
Con ChacalHoneybots |
| Detección de reconocimiento previo | No | Sí, en tiempo real |
| Detección de escaneos .env automatizados | No | Sí, inmediata |
| Detección tokens filtrados en uso | No | Sí, alerta al primer intento |
| Detección SQL injection en fase de sondeo | No | Sí, clasificada automáticamente |
| Identificación de IP y geolocalización | No | Sí, por cada evento |
| Respuestas convincentes al atacante | No aplica | Sí, personalizables |
| Falsos positivos | — | Cero por diseño |
| Whitelist de IPs propias | — | Sí, por honeybot |
| Informes de actividad | No | PDF + CSV exportable |
| Precio mínimo | — | 0€ (plan gratuito) |
🗺️
Estrategia de despliegue recomendada para empezar:
1. Honeybot ENV FILE: Siempre el primero. Los escaneos de archivos .env son masivos y automatizados — lo activarás en horas.
2. Honeybot API REST: Especialmente si tu empresa tiene APIs propias o usa cualquier tipo de servicio web. Cubre el espectro más amplio de técnicas de ataque.
3. Honeybot Telegram: Si usas bots de Telegram para automatización o notificaciones. Detecta tokens filtrados antes de que sean explotados.
4. Honeybot Webhook: Si procesas pagos con Stripe, tienes integraciones con GitHub o usas cualquier sistema de webhooks.
Preguntas frecuentes sobre honeybots
¿Un honeybot puede afectar al rendimiento de mis sistemas reales?
No. Los honeybots de ChacalHoneybots son servicios completamente independientes de tu infraestructura real. Funcionan en servidores separados gestionados por ChacalSecurity. No hay ningún agente instalado en tus sistemas, ningún acceso a tu base de datos real y ningún impacto en el rendimiento de tus aplicaciones.
¿Cómo sabe el honeybot que una petición es de un atacante y no de un usuario legítimo?
Por diseño, ningún usuario legítimo debería conocer la existencia del honeybot ni intentar acceder a él. La URL del honeybot no está en ninguna documentación, ninguna interfaz de usuario ni ningún sistema de producción. Es un señuelo invisible para los usuarios reales pero visible para los atacantes que escanean sistemáticamente rutas y endpoints en busca de vulnerabilidades. Esto elimina por definición los falsos positivos.
¿Puedo personalizar las respuestas que da el honeybot al atacante?
Sí. Desde el panel de ChacalHoneybots puedes personalizar los datos ficticios que se devuelven: nombre de empresa, versión del sistema, credenciales de base de datos falsas, claves de API inventadas, secretos JWT simulados y claves AWS ficticias. Cuanto más verosímiles sean estos datos, más tiempo pasará el atacante interactuando con el señuelo y más información capturarás sobre sus técnicas.
¿Qué hago cuando recibo una alerta de honeybot?
La alerta incluye la IP del atacante con geolocalización. Los pasos recomendados son: añadir esa IP a la lista de bloqueo de tu firewall y servidor web, revisar los logs de tus sistemas reales para ver si esa misma IP ha intentado acceder a endpoints legítimos, y si el patrón es persistente, considerar añadir la IP a listas de reputación compartidas. ChacalHoneybots guarda el historial completo de todos los eventos para análisis posterior.
¿Los honeybots funcionan si el atacante usa VPN o Tor?
La IP capturada será la del nodo VPN o Tor de salida. Aunque esto no identifica directamente al atacante, sigue siendo información valiosa: las IPs de nodos Tor o VPNs conocidas tienen alta reputación de riesgo, permiten correlacionar si el mismo nodo atacó múltiples honeybots, y en muchos casos los atacantes automatizados no usan anonimización. Además, el comportamiento, el user-agent y el patrón de peticiones siguen siendo información forense útil.
// ChacalHoneybots — Detecta el reconocimiento antes del ataque
Los atacantes ya están sondeando tus servicios. ¿Los estás viendo?
ChacalHoneybots despliega servicios señuelo convincentes en minutos: APIs falsas, bots de Telegram ficticios, webhooks trampa y archivos .env señuelo. Cuando un atacante los toca, recibes la alerta completa por Telegram con su IP, técnica, payload y geolocalización.
Plan gratuito con 2 honeybots · Sin tarjeta de crédito · Alerta en menos de 15 minutos
🦊
ChacalSecurity Research Team
Equipo especializado en ciberseguridad para PYMEs. Analizamos técnicas de ataque reales, desarrollamos herramientas de detección accesibles y traducimos la inteligencia de amenazas en soluciones concretas para empresas sin equipo técnico dedicado.
chacalsecurity.com
