Ciberseguridad
Introducción

La ciberseguridad —el conjunto de conocimientos y prácticas para defender dispositivos y productos conectados a Internet de ataques maliciosos por parte de piratas informáticos y ciberdelincuentes— es un tema muy importante para mí. Realizo investigaciones sobre patrones de comportamiento, tácticas, técnicas y procedimientos utilizados en ataques cibernéticos. En esta página presento parte de mis trabajo en ciberseguridad.

Opero sistemas señuelos (honeypots en inglés) para comprender cómo los piratas informáticos desarrollan sus prácticas de ataque. Un honeypot es un sistema (generalmente, aunque no siempre, una computadora) conectado a una red de forma controlada y segura que se configura como un señuelo para atraer a ciberatacantes. En otras palabras, un honeypot es un dispositivo de engaño diseñado para que se parezca a un sistema de los que son objetos de los ataques de cibercriminales. Todas las actividades llevadas a cabo por hackers en sus intentos de comprometer el honeypot quedan registradas y son luego analizadas por investigadores.

Utilizo Cowrie, un fantástico honeypot de código abierto capaz de recopilar información de ataques orquestrados a través de los protocolos de cominicaciones SSH y Telnet. Cowrie emula un sistema operativo Linux del tipo Debian, y destaca en el registro de ataques de fuerza bruta e interacciones realizadas por atacantes en el shell (intérprete de comandos) remoto.

Como, lamentablemente, los ataques a dispositivos conectados son casi omnipresentes, Cowrie genera grandes cantidades de datos. Utilizo una base de datos de MySQLpara albergar una copia local de los datos. Proceso y analizo los datos recopilados utilizando herramientas y APIs propias desarrolladas en los lenguajes de programación Go, Python y Bash. Como parte del análisis, aumento los datos de ataque recogidos por Cowrie con información de malware (código malicioso) de VirusTotal e información de direcciones IP de MaxMind GeoLite2. Ambos servicios ofrecen niveles de servicio gratuitos con límites razonables en el consumo sus APIs, por lo que todo el análisis se puede realizar de forma muy económica. La página de notas de configuración proporciona detalles adicionales sobre la implementación de mi entorno señuelo.

Configuración de señuelo
Configuración de señuelo

Comparto algunos de los resultados de mi trabajo en este sitio web y otros con la comunidad de ciberseguridad. Para más detalles, consulta la sección de Resultados más abajo. Para obtener un avance de las actividades de investigación en curso y futuras, puedes consultar la sección Trabajos futuros.

Resultados
Icono de datosn
Información de tráfico no deseado resumida y organizada en paneles de datos que incluyen métricas, listas, gráficos y mapas. Actualizdos diariamente.
Icono de búsqueda
Comprueba si una dirección IP o un sistema autónomo (AS) aparece en nuestra base de datos como posible origen de tráfico no deseado.
Icono de API
API REST para extraer información en formato JSON de la base de datos de tráfico no deseado.
Icono de contribuciones
Mis contribuciones diarias de direcciones IPs sospechosas a AbuseIPDB.

Tráfico no deseado detectado entre el 26 de julio de 2023 y ayer

El gráfico de arriba muestra la tendencia a lo largo del tiempo del tráfico no deseado recibido en nuestro honeypot, en cada una de sus dos categorías de análisis y ataques. El tiempo entre puntos de datos en el gráfico es de horas. Puedes encontrar más detalles sobre la interpretación de este y otros resultados aquí.

La operación de honeypots da como resultado un entorno rico en datos que ofrece oportunidades para futuras investigaciones. Actualmente, estamos siguiendo las siguientes líneas de investigación: