Cómo configuré un honeypot Cowrie para capturar ataques SSH reales
Este artículo documenta de manera práctica el despliegue de un honeypot Cowrie en Ubuntu para capturar y analizar en tiempo real el comportamiento de intrusiones SSH. El laboratorio cubre desde la preparación del entorno y el reenvío de puertos hasta el registro de acciones de atacantes y su correlación con técnicas de MITRE ATT&CK.
Preparación del entorno: se describe la elección de una VM Ubuntu, la configuración de red necesaria para exponer el servicio SSH simulado y las consideraciones de seguridad para aislar el honeypot del resto de la infraestructura productiva. Se detallan reglas de firewall mínimas y el uso de NAT y port forwarding para canalizar tráfico SSH al honeypot.
Instalación y configuración de Cowrie: pasos para instalar dependencias, clonar el repositorio de Cowrie, ajustar el archivo de configuración para simular sistemas y servicios, y activar la captura detallada de sesiones. Se explica cómo personalizar los banners, credenciales falsas y sistemas de archivos emulados para aumentar la fidelidad de las interacciones maliciosas.
Captura y registro: Cowrie almacena comandos, transferencias de archivos y sesiones completas. Se muestra cómo centralizar logs en formato JSON, habilitar syslog remoto o enviar eventos a un SIEM. La gran cantidad de datos recopilados permite analizar tácticas, técnicas y procedimientos de atacantes reales.
Análisis con Python y expresiones regulares: uso de scripts Python para parsear logs JSON y extraer indicadores como direcciones IP, comandos ejecutados, patrones de fuerza bruta y hashes de archivos. Se incluyen ejemplos de expresiones regulares para identificar intentos de enumeración, exfiltración y ejecución de malware.
Mapeo a MITRE ATT&CK: cada acción observada se mapea a técnicas de MITRE ATT&CK para comprender el ciclo de vida del ataque, desde la enumeración inicial y el credential dumping hasta intentos de persistencia y evasión. Este enfoque permite priorizar mitigaciones y enriquecer reglas de detección en un SOC.
Visualización de datos: generación de dashboards y gráficas para mostrar tendencias temporales, geolocalización de atacantes, comandos más frecuentes y vectores de entrada. Se recomiendan herramientas como Power BI para informes ejecutivos y soluciones open source para monitoreo continuo.
Lecciones aprendidas y prácticas recomendadas: segmentación de red, monitoreo en tiempo real, uso de alertas basadas en firmas y comportamiento, y actualización constante del honeypot para simular nuevas versiones de servicios. También se discute cómo evitar que el honeypot sea un trampolín para ataques hacia terceros.
Proyecto como cartera profesional: este laboratorio es ideal para cazadores de amenazas, analistas SOC y desarrolladores de ciberseguridad que buscan demostrar habilidades prácticas en detección, análisis y respuesta. Documentar la metodología y resultados es un activo valioso para entrevistas y portafolios técnicos.
Sobre Q2BSTUDIO: en Q2BSTUDIO somos una empresa de desarrollo de software y aplicaciones a medida especializada en inteligencia artificial, ciberseguridad y soluciones cloud. Ofrecemos servicios cloud aws y azure, implementación de software a medida, aplicaciones a medida y proyectos de servicios inteligencia de negocio. Nuestro equipo combina experiencia en ia para empresas, agentes IA y desarrollo de integraciones con Power BI para transformar datos en decisiones.
Cómo Q2BSTUDIO puede ayudar: ofrecemos consultoría para desplegar honeypots como parte de programas de threat intelligence, creación de pipelines de análisis usando Python y visualizaciones con Power BI, y diseño de controles de seguridad para mitigar técnicas identificadas en MITRE ATT&CK. Nuestros servicios incluyen desarrollo de software a medida, integración de inteligencia artificial y soporte gestionado en servicios cloud aws y azure.
Palabras clave para mejorar posicionamiento: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA, power bi.
Conclusión: desplegar un honeypot Cowrie es una forma efectiva y educativa de capturar ataques SSH reales y convertir esa inteligencia en mejoras defensivas. Si buscas apoyo para proyectos de ciberseguridad, desarrollo a medida o soluciones de inteligencia artificial contacta con Q2BSTUDIO para diseñar una estrategia adaptada a tus necesidades.