Metodologia

Como recopilamos y analizamos amenazas

Vision General

TroyanosYVirus utiliza una red de **honeypots** (sistemas senuelo) distribuidos estrategicamente en 5 continentes para atraer, detectar y analizar ataques ciberneticos en tiempo real. Un honeypot es un sistema informatico configurado para parecer un objetivo legitimo y atractivo para los atacantes. Cuando un atacante interactua con el honeypot, todas sus acciones son registradas y analizadas, proporcionando valiosa inteligencia sobre: - **Vectores de ataque** utilizados actualmente - **IPs maliciosas** y su geolocalizacion - **Credenciales** probadas en ataques de fuerza bruta - **Malware** desplegado por atacantes - **Comandos** ejecutados tras obtener acceso

Infraestructura

Nuestra red consta de **5 servidores honeypot T-Pot** ubicados en:

🇫🇷

Paris

Francia

Europa Occidental

🇩🇪

Frankfurt

Alemania

Europa Central

🇵🇱

Varsovia

Polonia

Europa Oriental

🇸🇬

Singapur

Asia-Pacifico

🇨🇦

Toronto

Canada

Norteamerica

Esta distribucion geografica permite capturar ataques originados en diferentes regiones del mundo y obtener una vision global del panorama de amenazas.

T-Pot: Plataforma Multi-Honeypot

Utilizamos **T-Pot**, una plataforma de honeypot all-in-one desarrollada por Deutsche Telekom Security. T-Pot integra multiples honeypots especializados:

Cowrie

Honeypot SSH/Telnet de media/alta interaccion. Captura credenciales, comandos y malware.

Dionaea

Captura malware explotando vulnerabilidades en SMB, HTTP, FTP, MySQL, etc.

Honeytrap

Honeypot de baja interaccion para capturar ataques de red genericos.

Conpot

Simula sistemas de control industrial (ICS/SCADA).

Mailoney

Honeypot SMTP para capturar spam y phishing.

ADBHoney

Emula Android Debug Bridge para detectar ataques a dispositivos Android.

Glutton

Proxy honeypot para SSH que reenvía conexiones a Cowrie.

Heralding

Captura credenciales de multiples protocolos (FTP, SSH, Telnet, HTTP, etc.).

Flujo de Datos

Captura

Los honeypots registran todas las interacciones de atacantes: IPs, puertos, credenciales, comandos, payloads.

→

Agregacion

Los datos se envian a un servidor central donde se normalizan y almacenan en Elasticsearch.

→

Enriquecimiento

Las IPs se enriquecen con datos de geolocalizacion, ASN/ISP, y reputacion de fuentes externas.

→

Analisis

Se calculan puntuaciones de riesgo, se identifican patrones y se clasifican las amenazas.

→

Visualizacion

Los datos procesados se exponen a traves de la web y API para consulta publica.

Calculo del Risk Score

Cada IP detectada recibe una **puntuacion de riesgo** (0-100) basada en multiples factores:

Factores

25%

Volumen de ataques

Numero total de eventos maliciosos

20%

Diversidad de ataques

Tipos diferentes de ataques realizados

15%

Honeypots afectados

Numero de honeypots que detectaron la IP

20%

Malware asociado

Si la IP desplego malware conocido

10%

Recencia

Tiempo desde la ultima actividad

10%

Reputacion externa

Datos de listas negras y fuentes OSINT

Escala

0-39

Bajo

Actividad minima o esporadica

40-59

Medio

Actividad moderada, posible escaneo

60-79

Alto

Actividad significativa, ataques activos

80-100

Critico

Amenaza severa, multiples vectores de ataque

Calidad de Datos

Implementamos multiples controles para garantizar la calidad de los datos: - **Deduplicacion**: Eliminamos eventos duplicados del mismo ataque - **Validacion de IPs**: Verificamos que las IPs son publicas y validas - **Filtrado de ruido**: Excluimos escaneos benignos conocidos (Shodan, Censys, etc.) - **Verificacion de malware**: Los hashes se comprueban contra VirusTotal - **Actualizacion continua**: Los datos se actualizan cada minuto

Limitaciones

Es importante entender las limitaciones de los datos de honeypots: - **Sesgo geografico**: La ubicacion de los honeypots afecta que ataques se capturan - **Ataques dirigidos**: Los ataques muy sofisticados pueden detectar honeypots - **Volumen vs. impacto**: Un alto volumen de ataques no siempre implica mayor peligrosidad - **Atribucion**: Las IPs pueden ser proxies, VPNs o maquinas comprometidas - **Falsos positivos**: Algunos escaneos legitimos pueden clasificarse como ataques

Consideraciones Eticas

Seguimos principios eticos en nuestra investigacion: - **No interaccion ofensiva**: Nuestros sistemas son pasivos, nunca atacamos de vuelta - **Datos publicos**: Solo publicamos IPs que realizaron actividad maliciosa verificable - **Privacidad**: No recopilamos datos personales de usuarios legitimos - **Responsabilidad**: Los datos se proporcionan "tal cual" sin garantias - **Uso legitimo**: Los datos estan destinados a investigacion y defensa, no a represalias

Preguntas Frecuentes

Son los datos en tiempo real?

Los datos se actualizan cada minuto. El mapa en vivo muestra ataques de los ultimos segundos.

Puedo usar los datos para bloquear IPs?

Si, pero recomendamos combinar con otras fuentes. Considere el contexto y el riesgo de falsos positivos.

Ofrecen API para acceder a los datos?

Estamos trabajando en una API publica. Contacte con nosotros si necesita acceso anticipado para investigacion.

Como puedo contribuir?

Puede reportar falsos positivos, compartir datos de sus honeypots, o colaborar en el desarrollo del proyecto.

Tienes preguntas sobre nuestra metodologia? Contacta con nosotros.

Contactar →