Cryptocoins

Guía sobre la estafa cripto Honeypot

¿Qué es un honeypot cripto y por qué se usa?

Los programas de smart contracts en una red descentralizada de nodos pueden ejecutarse en blockchains modernas como Ethereum. Los smart contracts son cada vez más populares y valiosos, convirtiéndolos en un objetivo más atractivo para los atacantes. En los últimos años, varios smart contracts han sido objetivo de hackers.

Sin embargo, una nueva tendencia parece estar ganando terreno; concretamente, los atacantes ya no buscan contratos vulnerables sino que adoptan una estrategia más proactiva. En su lugar, buscan engañar a sus víctimas para que caigan en trampas enviando contratos que parecen vulnerables pero contienen trampas ocultas. El término honeypot se utiliza para describir este tipo único de contrato. Pero, ¿qué es una trampa cripto honeypot?

Los honeypots son smart contracts que parecen tener un problema de diseño que permite a un usuario arbitrario drenar Ether (la moneda nativa de Ethereum) del contrato si el usuario envía una cantidad particular de Ether al contrato previamente. Sin embargo, cuando el usuario intenta explotar esta aparente falla, se abre una trampa que revela una segunda vulnerabilidad, aún desconocida, que impide que el drenaje de ether tenga éxito. Entonces, ¿qué hace un honeypot?

El objetivo es que el usuario se enfoque completamente en la debilidad visible e ignore cualquier señal de que el contrato tiene una segunda vulnerabilidad. Los ataques honeypot funcionan porque las personas son frecuentemente fácilmente engañadas, al igual que en otros tipos de fraude. Como resultado, las personas no siempre pueden cuantificar el riesgo frente a su avaricia y suposiciones. Entonces, ¿son ilegales los honeypots?

¿Cómo funciona una estafa honeypot?

En ciberataques cripto como los honeypots, el dinero del usuario quedará aprisionado y solo el creador del honeypot (atacante) podrá recuperarlo. Un honeypot generalmente funciona en tres etapas:

Para configurar honeypots en smart contracts de Ethereum, un atacante no necesita ninguna habilidad específica. Un atacante, en realidad, tiene las mismas habilidades que un usuario regular de Ethereum. Solo necesitan el dinero para configurar el smart contract y cebarlo. Una operación de honeypot, en general, consiste en una computadora, programas y datos que imitan el comportamiento de un sistema real que podría ser atractivo para los atacantes, como dispositivos del Internet de las Cosas, un sistema bancario, o una red pública de utilidades o transporte.

Aunque parece parte de la red, está aislado y monitoreado. Dado que los usuarios legítimos no tienen motivo para acceder a un honeypot, todos los intentos de comunicarse con él se consideran hostiles. Los honeypots se despliegan frecuentemente en la zona desmilitarizada (DMZ) de una red. Esta estrategia lo separa de la red de producción principal mientras lo mantiene conectado. Un honeypot en la DMZ puede monitorearse desde lejos mientras los atacantes acceden a él, reduciendo el riesgo de una red principal comprometida.

Para detectar intentos de infiltración en la red interna, se pueden colocar honeypots fuera del firewall externo, orientados a Internet. La ubicación real del honeypot depende de lo complejo que sea, el tipo de tráfico que desea atraer y qué tan cerca está de los recursos críticos del negocio. Siempre estará aislado del entorno de producción, independientemente de dónde se coloque.

El registro y visualización de la actividad del honeypot proporciona información sobre el grado y los tipos de amenazas a los que se enfrenta una infraestructura de red, mientras desvía la atención de los atacantes de los activos del mundo real. Los honeypots pueden ser tomados por ciberdelincuentes y utilizados contra la empresa que los configuró. Los ciberdelincuentes también han utilizado honeypots para obtener información sobre investigadores u organizaciones, servir como señuelos y propagar desinformación.

Los honeypots se alojan frecuentemente en máquinas virtuales. Por ejemplo, si el honeypot se ve comprometido por malware, puede restaurarse rápidamente. Por ejemplo, una honeynet (red de honeypots) consta de dos o más honeypots en una red, mientras que una “granja de miel” (honey farm) es una colección centralizada de honeypots y herramientas de análisis.

Tanto las soluciones de código abierto como las comerciales pueden ayudar en el despliegue y administración de honeypots. Hay honeypots que se venden por separado y honeypots que se combinan con otro software de seguridad y se anuncian como tecnología de engaño. Se puede encontrar software de honeypot en GitHub, que puede ayudar a los principiantes a aprender a utilizar honeypots.

Tipos de honeypots

Hay dos tipos de honeypots basados en el diseño y despliegue de smart contracts: honeypots de investigación y de producción. Los honeypots de investigación recopilan información sobre ataques y se utilizan para analizar el comportamiento hostil en el mundo real.

Obtienen información sobre las tendencias de los atacantes, vulnerabilidades y cepas de malware que los adversarios están atacando actualmente al examinar tanto su entorno como el mundo exterior. Esta información puede ayudarte a decidir sobre defensas preventivas, prioridades de parches e inversiones futuras.

Por otro lado, los honeypots de producción están dirigidos a detectar la penetración activa de la red y engañar al atacante. Los honeypots brindan oportunidades adicionales de monitoreo y llenan los vacíos comunes de detección que rodean la identificación de escaneos de red y movimientos laterales; por lo tanto, la obtención de datos sigue siendo una responsabilidad principal.

Los honeypots de producción ejecutan servicios que normalmente se ejecutarían en tu entorno junto con el resto de tus servidores de producción. Los honeypots de investigación son más complejos y almacenan más tipos de datos que los honeypots de producción.

También hay muchos niveles dentro de los honeypots de producción e investigación, dependiendo del nivel de sofisticación que su empresa requiera:

  • Honeypot de alta interacción: Esto es comparable a un honeypot puro en el sentido de que ejecuta una gran cantidad de servicios, pero es menos sofisticado y contiene menos datos. Aunque los honeypots de alta interacción no están destinados a replicar sistemas de producción a gran escala, ejecutan (o parecen ejecutar) todos los servicios comúnmente asociados con sistemas de producción, incluidos sistemas operativos funcionales.

La empresa desplegadora puede observar los hábitos y estrategias de los atacantes usando esta forma de honeypot. Los honeypots de alta interacción requieren muchos recursos y son difíciles de mantener, pero los resultados pueden valer la pena.

  • Honeypot de interacción media: Estos imitan características de la capa de aplicación pero carecen de su propio sistema operativo. Intentan interferir o confundir a los atacantes para que las empresas tengan más tiempo para descubrir cómo responder adecuadamente a un ataque.
  • Honeypot de baja interacción: Este es el honeypot más popular utilizado en un entorno de producción. Los honeypots de baja interacción ejecutan pocos servicios y se utilizan principalmente como herramienta de detección de alertas tempranas. Muchos equipos de seguridad instalan múltiples honeypots en diferentes segmentos de su red porque son fáciles de configurar y mantener.
  • Honeypot puro: Este sistema a gran escala, similar a producción, se ejecuta en múltiples servidores. Está lleno de sensores e incluye datos “confidenciales” e información de usuario. La información que proporcionan es invaluable, aunque puede ser compleja y difícil de gestionar.

Varias tecnologías de honeypot

Las siguientes son algunas de las tecnologías de honeypot en uso:

  • Honeypots de cliente: La mayoría de los honeypots son servidores que escuchan conexiones. Los honeypots de cliente buscan activamente servidores maliciosos que apuntan a clientes y vigilan el honeypot para detectar cambios sospechosos o inesperados. Estos sistemas suelen estar virtualizados y tienen un plan de contención implementado para mantener segura al equipo de investigación.

  • Honeypots de malware: Estos identifican malware utilizando canales establecidos de replicación y ataque. Se han diseñado honeypots (como Ghost) para parecerse a dispositivos de almacenamiento USB. Por ejemplo, si una máquina se infecta con malware que se propaga por USB, el honeypot engañará al malware para que infecte el dispositivo simulado.

  • Honeynets: Una honeynet es una red de varios honeypots en lugar de un sistema único. Las honeynets están diseñadas para seguir las acciones y motivos de un atacante mientras contienen toda la comunicación entrante y saliente.

  • Honeypots de spam: Se utilizan para simular abiertos retransmisores de correo y proxies abiertos. Los spammers primero se enviarán un correo electrónico a sí mismos para probar el retransmisor de correo disponible. Si tienen éxito, enviarán una enorme cantidad de spam. Esta forma de honeypot puede detectar y reconocer la prueba y bloquear con éxito la enorme cantidad de spam que sigue.

  • Honeypot de base de datos: Dado que las inyecciones de lenguaje de consulta estructurado (SQL) a menudo pueden pasar desapercibidas por los firewalls, algunas organizaciones desplegarán un firewall de base de datos para crear bases de datos de señuelo y dar soporte a honeypots.

¿Cómo detectar un honeypot cripto?

Examinar el historial de operaciones es una técnica para reconocer un fraude cripto honeypot. Una criptomoneda generalmente debería permitirte comprar y venderla cuando desees. En una estafa honeypot, habrá muchas compras de la moneda, pero a la gente le costará venderla. Esto indica que no es una moneda legítima y deberías evitarla.

Además, el enfoque de ciencia de datos basado en el comportamiento de las transacciones del contrato se puede utilizar para clasificar los contratos como honeypots o no honeypots.

¿Dónde pueden aparecer honeypots en los smart contracts de Ethereum?

Los honeypots podrían aparecer en tres áreas diferentes de la implementación de smart contracts de Ethereum. Estos son los tres niveles:

  • La máquina virtual de Ethereum (EVM): Aunque la EVM sigue un conjunto de estándares y reglas bien establecidas, los autores de smart contracts pueden presentar su código de maneras que son engañosas o poco claras a primera vista. Estas tácticas podrían resultar costosas para el hacker desprevenido.
  • El compilador de Solidity: El compilador es la segunda área donde los desarrolladores de smart contracts pueden aprovecharse. Ciertos errores a nivel de compilador están bien documentados, pero otros pueden no estarlo. Estos honeypots pueden ser difíciles de descubrir a menos que el contrato haya sido probado en condiciones del mundo real.
  • El explorador de blockchain Etherscan: El tercer tipo de honeypot se basa en el hecho de que los datos presentados en los exploradores de blockchain están incompletos. Si bien mucha gente cree implícitamente en los datos de Etherscan, no necesariamente muestra la imagen completa. Por otro lado, los astutos desarrolladores de smart contracts pueden aprovechar algunas de las peculiaridades del explorador.

¿Cómo protegerse de las estafas de contratos honeypot?

Esta sección guía sobre cómo salir de las estafas honeypot para evitar perder tu dinero. Hay herramientas disponibles para ayudarte a ver señales de alerta y evitar estas monedas. Por ejemplo, usa Etherscan si la moneda que estás comprando está en la red Ethereum o usa BscScan si la moneda en cuestión está en la Binance Smart Chain.

Encuentra el Token ID de tu moneda e ingrésalo en el sitio web correspondiente. Ve a “Token Tracker” en la página siguiente. Aparecerá una pestaña etiquetada “Holders”. Allí puedes ver todas las billeteras que poseen tokens y los pools de liquidez. Desafortunadamente, hay numerosas combinaciones de elementos de los que ser consciente. Algunas de las señales de alerta que debes conocer para protegerte contra las estafas cripto honeypot son:

  • Sin monedas muertas: Si más del 50% de las monedas están en una billetera muerta, un proyecto está relativamente protegido contra rug pulls (pero no contra honeypots) (generalmente identificada como 0x000000000000000000000000000000000000dead). Si menos de la mitad de las monedas están muertas o ninguna está muerta, ten cuidado.
  • Sin auditoría: Las probabilidades de un honeypot se eliminan casi siempre si una empresa confiable las audita.
  • Grandes billeteras poseedoras: Evita las criptomonedas que tienen solo una o pocas billeteras.
  • Examina su sitio web: Esto debería ser bastante sencillo; pero, si el sitio web parece apresurado y el desarrollo es pobre, ¡es una señal de advertencia! Un truco es ir a whois.domaintools.com y escribir el nombre de dominio para ver cuándo se registró el sitio web. Podrías estar bastante seguro de que es un fraude si el dominio se registró dentro de 24 horas o menos del inicio del proyecto.
  • Revisa sus redes sociales: Los proyectos de estafa generalmente presentan fotos robadas y de baja calidad, problemas gramaticales y mensajes “spam” poco atractivos (como “¡deja tu dirección ETH abajo!”), sin enlaces a información relevante del proyecto, etc.

Token Sniffer es otro excelente recurso para detectar honeypots cripto. Busca los resultados del “Automated Contract Audit” ingresando el Token ID en la esquina superior derecha. Aléjate del proyecto si hay alguna alerta. Dado que muchos proyectos ahora emplean plantillas de contratos, la indicación “No prior similar token contracts” puede ser un falso positivo.

Si tu moneda está listada en la Binance Smart Chain, ve a PooCoin, ingresa el Token ID de nuevo y monitorea los gráficos. Aléjate si no hay billeteras vendiendo o si solo una o dos billeteras están vendiendo tu moneda elegida. Lo más probable es que sea un honeypot. No es un honeypot si muchas billeteras están vendiendo la moneda elegida. Finalmente, deberías realizar una investigación exhaustiva antes de desprenderte de tu dinero ganado con esfuerzo al comprar criptomonedas.

¿Cómo se diferencia un honeypot de una honeynet?

Una honeynet es una red compuesta por dos o más honeypots. Puede ser beneficioso tener una red de honeypots conectada. Permite a las empresas rastrear cómo un atacante interactúa con un solo recurso o punto de red y cómo un invasor se mueve entre puntos de red e interactúa con múltiples puntos a la vez.

El objetivo es persuadir a los hackers de que han ingresado con éxito a la red; por lo tanto, agregar más ubicaciones falsas de red aumenta el realismo de la configuración. Los honeypots y honeynets con implementaciones más avanzadas, como firewalls de próxima generación, sistemas de detección de intrusiones (IDS), y pasarelas web seguras, se denominan tecnología de engaño. Los sistemas de detección de intrusiones se refieren a un dispositivo o programa de software que vigila la actividad hostil o las violaciones de políticas en una red. Las capacidades automatizadas de la tecnología de engaño permiten que un honeypot responda a posibles atacantes en tiempo real.

Los honeypots pueden ayudar a las empresas a mantenerse al día con el panorama de riesgos siempre cambiante a medida que surgen amenazas cibernéticas. Los honeypots proporcionan información vital para garantizar que una organización esté preparada y son posiblemente la mejor manera de atrapar a un atacante en el acto, aunque es imposible prever y prevenir cada ataque. También son una buena fuente de conocimiento para profesionales de ciberseguridad.

¿Cuáles son los pros y los contras de los honeypots?

Los honeypots recopilan datos de ataques genuinos y otras actividades ilícitas, brindando a los analistas una gran cantidad de conocimiento. Además, hay menos falsos positivos. Por ejemplo, los sistemas de detección normales de ciberseguridad pueden generar muchos falsos positivos, pero un honeypot minimiza el número de falsos positivos porque los usuarios genuinos no tienen motivo para contactar al honeypot.

Además, los honeypots son inversiones valiosas ya que solo interactúan con acciones maliciosas y no requieren recursos de alto rendimiento para procesar enormes volúmenes de datos de red en busca de ataques. Por último, incluso si un atacante está usando cifrado, los honeypots pueden detectar actividades maliciosas.

Aunque los honeypots proporcionan muchas ventajas, también tienen muchos inconvenientes y riesgos. Por ejemplo, los honeypots solo recopilan datos en caso de un ataque. No ha habido intentos de acceder al honeypot; por lo tanto, no existen datos para analizar el ataque.

Además, el tráfico malicioso adquirido por la red de honeypots solo se recopila cuando se lanza un ataque contra ella; si un atacante sospecha que una red es un honeypot, la evitará.

Los honeypots son generalmente reconocibles a partir de sistemas de producción legítimos, lo que implica que los hackers hábiles pueden distinguir fácilmente un sistema de producción de un sistema honeypot utilizando técnicas de huella digital del sistema.

A pesar de que los honeypots están aislados de la red real, eventualmente se conectan de alguna manera para permitir a los administradores acceder a los datos que contienen. Dado que busca atraer hackers para obtener acceso root, un honeypot de alta interacción a menudo se considera más riesgoso que uno de baja interacción.

En general, los honeypots ayudan a los investigadores a comprender los riesgos en los sistemas de red, pero no deberían usarse en lugar de un IDS estándar. Por ejemplo, si un honeypot no está configurado correctamente, podría ser explotado para obtener acceso a sistemas del mundo real o servir como plataforma de lanzamiento para ataques a otros sistemas.

El contenido proporcionado en este sitio web es solo para fines educativos e informativos. No constituye asesoramiento financiero, y toda inversión conlleva un riesgo significativo, incluida la posible pérdida del capital principal. Se le recomienda encarecidamente que realice su propia investigación exhaustiva y consulte con un profesional financiero calificado antes de tomar cualquier decisión de inversión.