Metodología
Cómo recopilamos y analizamos amenazas
Visión General
TroyanosYVirus utiliza una red distribuida de sensores **honeypot** (sistemas señuelo) desplegados en múltiples ubicaciones geográficas para atraer, detectar y analizar ataques cibernéticos en tiempo real.
Un honeypot es un sistema informático configurado para parecer un objetivo legítimo y atractivo para los atacantes. Cuando un atacante interactúa con el honeypot, todas sus acciones son registradas y analizadas, proporcionando valiosa inteligencia sobre:
- **Vectores de ataque** utilizados actualmente
- **IPs maliciosas** y su geolocalización
- **Credenciales** probadas en ataques de fuerza bruta
- **Malware** desplegado por atacantes
- **Comandos** ejecutados tras obtener acceso
Infraestructura
Nuestra red consta de una **red distribuida de sensores honeypot T-Pot** desplegados en múltiples ubicaciones geográficas, abarcando diferentes regiones del mundo.
Europa
Múltiples países
UE
Norteamérica
Múltiples países
NA
Asia-Pacífico
Múltiples países
APAC
La distribución geográfica de nuestros sensores permite capturar ataques originados en diferentes regiones del mundo y obtener una visión global del panorama de amenazas. Por razones de seguridad operativa, no divulgamos el número exacto ni las ubicaciones específicas de nuestros sensores.
T-Pot: Plataforma Multi-Honeypot
Utilizamos **T-Pot**, una plataforma de honeypot all-in-one desarrollada por Deutsche Telekom Security. T-Pot integra múltiples honeypots especializados:
Cowrie
Honeypot SSH/Telnet de media/alta interacción. Captura credenciales, comandos y malware.
Dionaea
Captura malware explotando vulnerabilidades en SMB, HTTP, FTP, MySQL, etc.
Honeytrap
Honeypot de baja interacción para capturar ataques de red genéricos.
Conpot
Simula sistemas de control industrial (ICS/SCADA).
Mailoney
Honeypot SMTP para capturar spam y phishing.
ADBHoney
Emula Android Debug Bridge para detectar ataques a dispositivos Android.
Glutton
Proxy honeypot para SSH que reenvía conexiones a Cowrie.
Heralding
Captura credenciales de múltiples protocolos (FTP, SSH, Telnet, HTTP, etc.).
Flujo de Datos
01
Captura
Los honeypots registran todas las interacciones de atacantes: IPs, puertos, credenciales, comandos, payloads.
→
02
Agregación
Los datos se envían a un servidor central donde se normalizan y almacenan en Elasticsearch.
→
03
Enriquecimiento
Las IPs se enriquecen con datos de geolocalización, ASN/ISP, y reputación de fuentes externas.
→
04
Análisis
Se calculan puntuaciones de riesgo, se identifican patrones y se clasifican las amenazas.
→
05
Visualización
Los datos procesados se exponen a través de la web y API para consulta pública.
Cálculo del Risk Score
Cada IP detectada recibe una **puntuación de riesgo** (0-100) basada en múltiples factores:
Factores
25%
Volumen de ataques
Número total de eventos maliciosos
20%
Diversidad de ataques
Tipos diferentes de ataques realizados
15%
Honeypots afectados
Número de honeypots que detectaron la IP
20%
Malware asociado
Si la IP desplegó malware conocido
10%
Recencia
Tiempo desde la última actividad
10%
Reputación externa
Datos de listas negras y fuentes OSINT
Escala
0-39
Bajo
Actividad mínima o esporádica
40-59
Medio
Actividad moderada, posible escaneo
60-79
Alto
Actividad significativa, ataques activos
80-100
Crítico
Amenaza severa, múltiples vectores de ataque
Calidad de Datos
Implementamos múltiples controles para garantizar la calidad de los datos:
- **Deduplicación**: Eliminamos eventos duplicados del mismo ataque
- **Validación de IPs**: Verificamos que las IPs son públicas y válidas
- **Filtrado de ruido**: Excluimos escaneos benignos conocidos (Shodan, Censys, etc.)
- **Verificación de malware**: Los hashes se comprueban contra VirusTotal
- **Actualización continua**: Los datos se actualizan cada minuto
Limitaciones
Es fundamental entender las limitaciones inherentes a los datos de honeypots para su correcta interpretación:
- **Sesgo geográfico**: La ubicación de los sensores honeypot afecta qué ataques se capturan y cuáles quedan fuera del alcance de detección
- **Ataques dirigidos**: Los ataques muy sofisticados o dirigidos pueden detectar y evadir honeypots, quedando infrarrepresentados en los datos
- **Volumen vs. impacto**: Un alto volumen de ataques desde una IP no siempre implica mayor peligrosidad; puede tratarse de escaneos automatizados de bajo impacto
- **Atribución**: Las IPs detectadas pueden ser proxies, VPNs, nodos Tor, máquinas comprometidas o infraestructura CDN. La presencia de una IP no implica que su titular sea responsable de la actividad maliciosa
- **Falsos positivos**: Algunos escaneos legítimos de seguridad (investigadores, motores de búsqueda, servicios de monitorización) pueden clasificarse incorrectamente como ataques
- **Datos automatizados**: Todo el proceso de recopilación, enriquecimiento y puntuación es automatizado, lo que puede introducir errores sistemáticos
- **Sin atribución definitiva**: Los datos de esta plataforma no deben utilizarse como única fuente para atribuir actividad delictiva a ninguna persona o entidad
Consideraciones Éticas
Seguimos principios éticos en nuestra investigación:
- **No interacción ofensiva**: Nuestros sistemas son pasivos, nunca atacamos de vuelta
- **Datos públicos**: Solo publicamos IPs que realizaron actividad maliciosa verificable
- **Privacidad**: No recopilamos datos personales de usuarios legítimos
- **Responsabilidad**: Los datos se proporcionan "tal cual" sin garantías
- **Uso legítimo**: Los datos están destinados a investigación y defensa, no a represalias
Preguntas Frecuentes
¿Son los datos en tiempo real?
Los datos se actualizan cada minuto. El mapa en vivo muestra ataques de los últimos segundos.
¿Puedo usar los datos para bloquear IPs?
Sí, pero recomendamos combinar con otras fuentes. Considere el contexto y el riesgo de falsos positivos.
¿Ofrecen API para acceder a los datos?
Estamos trabajando en una API pública. Contacte con nosotros si necesita acceso anticipado para investigación.
¿Cómo puedo contribuir?
Puede reportar falsos positivos, compartir datos de sus honeypots, o colaborar en el desarrollo del proyecto.
¿Tienes preguntas sobre nuestra metodología? Contacta con nosotros.
Contactar →