Trampas en la Red esp¨ªan a la delincuencia cibern¨¦tica para descubrir sus m¨¦todos

Su misi¨®n es tender trampas a los salteadores, diseminando equipos desprotegidos por Internet. Son cientos de profesionales de la seguridad inform¨¢tica de todo el mundo, tambi¨¦n Espa?a, que participan voluntariamente en el Proyecto HoneyNet. Su ¨¦xito ha sido tal que cada vez m¨¢s empresas usan trampas parecidas para defenderse. TotalDark es un travieso adolescente convencido de que hoy es su d¨ªa de suerte: husmeando por Internet, ha descubierto un equipo de muy f¨¢cil acceso. Indaga en sus entra?as, buscando un bot¨ªn y calibrando qu¨¦ usos dar¨¢ a su reci¨¦n descubierta Cueva de Ali Bab¨¢. TotalDark no sabe que ha ca¨ªdo en una trampa y graban sus movimientos, para analizarlos despu¨¦s.

La Internet espa?ola est¨¢ minada de una cantidad indeterminada de trampas instaladas por empresas, universidades y el Proyecto HoneyNet Espa?a. La comunidad acad¨¦mica RedIRIS fue pionera en montar una red de este tipo, a finales del a?o 2000, hoy reconvertida en otros proyectos de sistemas trampa, especialmente Bichos, que capta el c¨®digo malicioso que corre por sus redes.

El objetivo de las trampas de RedIRIS es investigar c¨®mo se llevan a cabo los ataques, pero tambi¨¦n defenderse, haciendo que los se?uelos distraigan al intruso para analizar sus acciones y orquestar el contraataque. Esta segunda raz¨®n ha hecho que cada vez m¨¢s empresas pongan trampas en sus redes: enga?an a los atacantes externos e internos, creando un laberinto de falsos caminos y sensores que los esp¨ªan.

La idea de los sistemas trampa naci¨® con el Proyecto HoneyNet, cuyo objetivo no es defender una red concreta, sino investigar y compartir experiencias sobre las nuevas tendencias en ataques inform¨¢ticos, dif¨ªciles de descubrir con otros m¨¦todos. Su influencia ha sido tal que hoy en d¨ªa la palabra honeynet (red de miel) es sin¨®nimo de sistema trampa.

El Proyecto HoneyNet tiene seis se?uelos en la Internet espa?ola. Pocos a¨²n, pero suficientes para inferir que la mayor¨ªa de atacantes no son personas, sino m¨¢quinas: "Existe mucha actividad relativa a sondeos y ataques automatizados de virus y gusanos. En esto no somos diferentes del resto del mundo", explica Diego Gonz¨¢lez, de HoneyNet Espa?a.

Al principio, las trampas antidelincuentes estaban abiertas a todo tipo de ataques, pero con el tiempo se han especializado. En Espa?a, las hay dedicadas s¨®lo al correo basura: "Distribuimos direcciones en los foros para que las cojan los spammers. As¨ª sabemos el tiempo que pasa desde que aparece la direcci¨®n en Internet hasta que el equipo trampa recibe correo basura, o el tipo de spam que mandan", explica Javier Fern¨¢ndez-Sanguino, miembro del grupo.

Otra trampa consiste en un ordenador conectado a Internet con un sistema operativo configurado tal cual viene de f¨¢brica. HoneyNet Espa?a trabaja tambi¨¦n en se?uelos para conexiones inal¨¢mbricas o el novedoso protocolo IPv6.

A nivel internacional, la Alianza HoneyNet investiga los cada vez m¨¢s ataques contra aplicaciones web, las intrusiones que usan Google como fuente de informaci¨®n y los asaltos a ordenadores de usuarios.

HoneyNet Espa?a destaca por la sofisticaci¨®n de sus trampas: "Puedes hacer sistemas que ser¨¢n comprometidos r¨¢pidamente por intentos automatizados y otros que s¨®lo un atacante, con cierta capacidad t¨¦cnica, podr¨ªa hacerse con ellos. Nuestra investigaci¨®n se ha centrado m¨¢s en esto: poner sistemas dif¨ªciles de romper", explica Fern¨¢ndez-Sanguino.

Cuando un intruso cae en la trampa, afirma Ra¨²l Siles otro integrante del grupo, se toman diversas medidas seg¨²n el incidente: "Notificarlo a las autoridades, avisar al proveedor de servicios o a la empresa propietaria de la direcci¨®n IP. Muchas veces, los ataques vienen de empresas que desconocen que sus sistemas est¨¢n siendo usados para asaltar otros equipos".

Adem¨¢s de las trampas diseminadas por la Internet espa?ola, el grupo ha creado otras 17 para el Proyecto HoneyNet mundial.

La raz¨®n de no ponerlas en Espa?a es la precariedad con que trabajan: "Disponemos de pocos equipos f¨ªsicos donde instalar los sistemas trampa, por eso utilizamos software de virtualizaci¨®n que nos permite tener m¨¢s de una trampa en un mismo equipo f¨ªsico", explican.

Sin ayuda econ¨®mica

Siles a?ade: "No tenemos ayuda econ¨®mica de ning¨²n organismo; toda la financiaci¨®n y la dedicaci¨®n han salido de nuestros bolsillos y nuestro tiempo". Esto limita su infraestructura y tambi¨¦n la vitalidad del grupo, que ha pasado de siete a cuatro miembros desde su fundaci¨®n, en verano de 2004. "Estamos abiertos a recibir propuestas de empresas y organismos interesados", afirman.

El Proyecto HoneyNet se gest¨® en 1999 de la mano de Lance Spitzner, con el lema: Aprender del enemigo y compartir las lecciones aprendidas. Hoy agrupa a 200 voluntarios de 25 pa¨ªses que forman la Alianza HoneyNet, cuyos informes leen ¨¢vidamente los profesionales de seguridad, pues vienen de fuentes de primera mano.

Pero no es s¨®lo la informaci¨®n lo que ha hecho famoso al Proyecto HoneyNet, sino tambi¨¦n un sinf¨ªn de nuevas tecnolog¨ªas, desarrolladas por sus voluntarios y usadas actualmente por todo tipo de profesionales y empresas que quieren detectar actividades maliciosas en sus redes y analizarlas.

Crear las trampas no es f¨¢cil, explica Carles Fragoso, de HoneyNet Espa?a: "Exige el m¨¢ximo de creatividad y t¨¦cnica, pues requiere un amplio dominio en los ¨¢mbitos de protecci¨®n, detecci¨®n y respuesta". El se?uelo debe parecer vulnerable, pero es s¨®lo un disfraz: tiene sensores que capturan todo tipo de datos sobre las t¨¦cnicas del atacante.

Adem¨¢s, cuenta con sistemas de control para evitar que los asaltantes env¨ªen virus, correo basura o ataquen otras m¨¢quinas desde la trampa. Con esta intenci¨®n se cre¨® la conocida herramienta HoneyWall ('muro de miel'), un cortafuegos al rev¨¦s: mientras los convencionales protegen un equipo de los ataques procedentes de Internet, HoneyWall protege a Internet de los ataques que puedan venir de los sistemas trampa.

PROYECTO HONEYNET ESPA?A: www.honeynet.org.es/es ANTIGUA RED DE M?QUINAS TRAMPA DE REDIRIS: www.rediris.es/cert/ped