IntermediogithubhoneypotsdeceptionCTIcaptura

Honeypots y deception: capturar malware en producción

Los mejores repositorios de honeypots en GitHub: T-Pot, Cowrie, Dionaea, HoneyDB y frameworks de deception. Cómo desplegar honeypots para capturar malware y generar CTI.

MalwareIntel Research··4 min lectura
Serie: Repositorios GitHub — Parte 12

Por qué honeypots

Un honeypot es un sistema deliberadamente vulnerable que atrae atacantes. Su propósito: capturar malware, documentar técnicas de ataque y generar inteligencia sobre amenazas. Un honeypot bien configurado te da muestras de malware fresco, IPs de atacantes, herramientas usadas y TTPs.

Para una plataforma CTI como MalwareIntel, los honeypots son una fuente de inteligencia de primera mano: no dependes de feeds de terceros, generas tus propios datos.

Top repositorios

1. T-Pot (Telekom Security)

Repo: telekom-security/tpotce Stars: 6,500+ | Estado: muy activo

Plataforma de honeypots all-in-one de Deutsche Telekom. Despliega 20+ honeypots en un solo servidor con Docker Compose. Incluye dashboard Kibana para visualización, Suricata para IDS y herramientas de análisis.

Honeypots incluidos: Cowrie (SSH/Telnet), Dionaea (SMB/HTTP), Conpot (ICS/SCADA), Mailoney (SMTP), Glutton (proxy), Heralding (credenciales) y 15+ más.

Valor: la forma más rápida de desplegar un sensor de honeypots completo. Un servidor cloud barato (4 EUR/mes en Hetzner) + T-Pot = sensor de CTI operativo en 30 minutos.

2. Cowrie

Repo: cowrie/cowrie Stars: 5,000+ | Estado: activo

Honeypot de SSH/Telnet de interacción media-alta. Simula un sistema Linux donde los atacantes pueden hacer login, ejecutar comandos y descargar malware. Registra toda la sesión: comandos, archivos descargados, TTYlog completo.

Valor: captura las herramientas que los atacantes despliegan post-compromiso en sistemas Linux. Los botnets IoT (Mirai, Mozi) atacan SSH constantemente.

3. Dionaea

Repo: DinoTools/dionaea Stars: 700+ | Estado: mantenido

Honeypot de baja interacción que emula servicios vulnerables: SMB, HTTP, FTP, TFTP, SIP, MySQL. Captura exploits y malware que los atacantes intentan desplegar.

Valor: captura exploit payloads y binarios de malware que se propagan automáticamente por la red (worms, botnets).

4. Conpot

Repo: mushorg/conpot Stars: 1,000+ | Estado: activo

Honeypot de ICS/SCADA que emula dispositivos industriales: Siemens S7, Modbus, BACnet, IPMI. Diseñado para capturar ataques a infraestructura crítica.

Valor: nicho pero valioso. Los ataques ICS son cada vez más frecuentes y Conpot es una de las pocas formas de observarlos sin exponer infraestructura real.

5. HoneyDB

Web: honeydb.io Estado: activo

Plataforma que agrega datos de honeypots de la comunidad. Publica estadísticas de ataques, IPs maliciosas y tendencias. API disponible para integración.

Valor: si no quieres desplegar tu propio honeypot, HoneyDB te da los datos agregados de la comunidad.

6. OpenCanary

Repo: thinkst/opencanary Stars: 4,500+ | Estado: activo

Honeypot de baja interacción para redes internas (canary). Emula servicios (SSH, RDP, HTTP, SMB, FTP) y alerta cuando alguien interactúa con ellos. Diseñado para detectar movimiento lateral dentro de tu red.

Valor: diferente enfoque. No es para capturar malware externo, sino para detectar atacantes que ya están dentro de tu red. Si un equipo toca el canary, alguien está haciendo reconocimiento interno.

Cómo desplegar un sensor de honeypots

Setup mínimo con T-Pot

1. Servidor: Hetzner CX22 (2 vCPU, 4GB RAM, 40GB SSD) ~4 EUR/mes
2. OS: Debian 12 minimal
3. Instalar: git clone T-Pot + ./install.sh
4. Configurar: elegir tipo (standard, industrial, collector)
5. Abrir puertos: los que T-Pot necesite según la configuración
6. Dashboard: acceder a Kibana vía puerto management
7. Datos: IOCs capturados en Elasticsearch, exportables a MISP/Supabase

Pipeline de CTI desde honeypots

Honeypot → captura malware + IPs
    ↓
Elasticsearch → almacena eventos
    ↓
Análisis automático → hash, YARA scan, VT lookup
    ↓
MISP/MalwareIntel → normaliza y publica IOCs
    ↓
Sigma/YARA → genera reglas de detección

Errores comunes

  1. Exponer el honeypot en tu red interna sin segmentación. Un atacante podría usarlo como pivot
  2. No monitorizar el honeypot suficientemente. Si el atacante escapa del honeypot, necesitas detectarlo
  3. Honeypot obvio: si es demasiado fácil o tiene banners que gritan "soy un honeypot", los atacantes sofisticados lo ignoran
  4. No procesar los datos: capturar 10GB de logs diarios sin analizarlos es inútil. Automatiza el análisis

Veredicto

T-Pot para despliegue rápido, Cowrie para SSH/IoT, OpenCanary para detección interna. Un honeypot bien mantenido genera CTI de primera mano que ningún feed comercial puede igualar: son datos de ataques contra TU infraestructura (o una simulación de ella). Para MalwareIntel, los honeypots son la fuente de datos primaria más valiosa.

Preguntas frecuentes

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.