_
_
_
_
_
SEGURIDAD

Trampas en la Red espían a la delincuencia cibernética para descubrir sus métodos

El Proyecto HoneyNet reúne a voluntarios informáticos de todo el mundo para colocar obstáculos a los ilegales - La comunidad académica española RedIRIS fue pionera en montar una red de este tipo, a finales del año 2000

Su misión es tender trampas a los salteadores, diseminando equipos desprotegidos por Internet. Son cientos de profesionales de la seguridad informática de todo el mundo, también España, que participan voluntariamente en el Proyecto HoneyNet. Su éxito ha sido tal que cada vez más empresas usan trampas parecidas para defenderse. TotalDark es un travieso adolescente convencido de que hoy es su día de suerte: husmeando por Internet, ha descubierto un equipo de muy fácil acceso. Indaga en sus entrañas, buscando un botín y calibrando qué usos dará a su recién descubierta Cueva de Ali Babá. TotalDark no sabe que ha caído en una trampa y graban sus movimientos, para analizarlos después.

Más información
PROYECTO HONEYNET ESPAÑA:
ANTIGUA RED DE MÁQUINAS TRAMPA DE REDIRIS:

La Internet española está minada de una cantidad indeterminada de trampas instaladas por empresas, universidades y el Proyecto HoneyNet España. La comunidad académica RedIRIS fue pionera en montar una red de este tipo, a finales del año 2000, hoy reconvertida en otros proyectos de sistemas trampa, especialmente Bichos, que capta el código malicioso que corre por sus redes.

El objetivo de las trampas de RedIRIS es investigar cómo se llevan a cabo los ataques, pero también defenderse, haciendo que los señuelos distraigan al intruso para analizar sus acciones y orquestar el contraataque. Esta segunda razón ha hecho que cada vez más empresas pongan trampas en sus redes: engañan a los atacantes externos e internos, creando un laberinto de falsos caminos y sensores que los espían.

La idea de los sistemas trampa nació con el Proyecto HoneyNet, cuyo objetivo no es defender una red concreta, sino investigar y compartir experiencias sobre las nuevas tendencias en ataques informáticos, difíciles de descubrir con otros métodos. Su influencia ha sido tal que hoy en día la palabra honeynet (red de miel) es sinónimo de sistema trampa.

El Proyecto HoneyNet tiene seis señuelos en la Internet española. Pocos aún, pero suficientes para inferir que la mayoría de atacantes no son personas, sino máquinas: "Existe mucha actividad relativa a sondeos y ataques automatizados de virus y gusanos. En esto no somos diferentes del resto del mundo", explica Diego González, de HoneyNet España.

Al principio, las trampas antidelincuentes estaban abiertas a todo tipo de ataques, pero con el tiempo se han especializado. En España, las hay dedicadas sólo al correo basura: "Distribuimos direcciones en los foros para que las cojan los spammers. Así sabemos el tiempo que pasa desde que aparece la dirección en Internet hasta que el equipo trampa recibe correo basura, o el tipo de spam que mandan", explica Javier Fernández-Sanguino, miembro del grupo.

Otra trampa consiste en un ordenador conectado a Internet con un sistema operativo configurado tal cual viene de fábrica. HoneyNet España trabaja también en señuelos para conexiones inalámbricas o el novedoso protocolo IPv6.

A nivel internacional, la Alianza HoneyNet investiga los cada vez más ataques contra aplicaciones web, las intrusiones que usan Google como fuente de información y los asaltos a ordenadores de usuarios.

HoneyNet España destaca por la sofisticación de sus trampas: "Puedes hacer sistemas que serán comprometidos rápidamente por intentos automatizados y otros que sólo un atacante, con cierta capacidad técnica, podría hacerse con ellos. Nuestra investigación se ha centrado más en esto: poner sistemas difíciles de romper", explica Fernández-Sanguino.

Cuando un intruso cae en la trampa, afirma Raúl Siles otro integrante del grupo, se toman diversas medidas según el incidente: "Notificarlo a las autoridades, avisar al proveedor de servicios o a la empresa propietaria de la dirección IP. Muchas veces, los ataques vienen de empresas que desconocen que sus sistemas están siendo usados para asaltar otros equipos".

Además de las trampas diseminadas por la Internet española, el grupo ha creado otras 17 para el Proyecto HoneyNet mundial.

La razón de no ponerlas en España es la precariedad con que trabajan: "Disponemos de pocos equipos físicos donde instalar los sistemas trampa, por eso utilizamos software de virtualización que nos permite tener más de una trampa en un mismo equipo físico", explican.

Sin ayuda económica

Siles añade: "No tenemos ayuda económica de ningún organismo; toda la financiación y la dedicación han salido de nuestros bolsillos y nuestro tiempo". Esto limita su infraestructura y también la vitalidad del grupo, que ha pasado de siete a cuatro miembros desde su fundación, en verano de 2004. "Estamos abiertos a recibir propuestas de empresas y organismos interesados", afirman.

El Proyecto HoneyNet se gestó en 1999 de la mano de Lance Spitzner, con el lema: Aprender del enemigo y compartir las lecciones aprendidas. Hoy agrupa a 200 voluntarios de 25 países que forman la Alianza HoneyNet, cuyos informes leen ávidamente los profesionales de seguridad, pues vienen de fuentes de primera mano.

Pero no es sólo la información lo que ha hecho famoso al Proyecto HoneyNet, sino también un sinfín de nuevas tecnologías, desarrolladas por sus voluntarios y usadas actualmente por todo tipo de profesionales y empresas que quieren detectar actividades maliciosas en sus redes y analizarlas.

Crear las trampas no es fácil, explica Carles Fragoso, de HoneyNet España: "Exige el máximo de creatividad y técnica, pues requiere un amplio dominio en los ámbitos de protección, detección y respuesta". El señuelo debe parecer vulnerable, pero es sólo un disfraz: tiene sensores que capturan todo tipo de datos sobre las técnicas del atacante.

Además, cuenta con sistemas de control para evitar que los asaltantes envíen virus, correo basura o ataquen otras máquinas desde la trampa. Con esta intención se creó la conocida herramienta HoneyWall ('muro de miel'), un cortafuegos al revés: mientras los convencionales protegen un equipo de los ataques procedentes de Internet, HoneyWall protege a Internet de los ataques que puedan venir de los sistemas trampa.

PROYECTO HONEYNET ESPAÑA: www.honeynet.org.es/es ANTIGUA RED DE MÁQUINAS TRAMPA DE REDIRIS: www.rediris.es/cert/ped

De izquierda a derecha, Raúl Siles y Javier Fernández-Sanguino.
De izquierda a derecha, Raúl Siles y Javier Fernández-Sanguino.CRISTÓBAL MANUEL

Regístrate gratis para seguir leyendo

Si tienes cuenta en EL PAÍS, puedes utilizarla para identificarte
_

Archivado En

Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
_
_