Un hacker creyó haber robado una contraseña, pero en realidad llamó a la policía. En GitHub enseñan a provocar al intruso para sacar sus reacciones (y registros)
Actualizan el catálogo "Awesome Deception" con herramientas para engaños en Internet.
Los atacantes llevan tiempo acostumbrados a las defensas clásicas, por eso cada vez más equipos de seguridad intentan jugar en el terreno del engaño. En lugar de limitarse a tapar agujeros, colocan señuelos que parecen secretos, credenciales y servicios reales. Quien caiga en ellos casi con seguridad no ha venido por trabajo, sino en busca de datos ajenos.
En GitHub apareció y se actualiza regularmente el catálogo Awesome Deception. Es una gran recopilación de artículos, investigaciones, ponencias, guías y herramientas sobre el engaño cibernético, honeypots y «señuelos de señal» como honeytokens y canary tokens. Los autores indican que en un momento fue necesario rescatar la lista original, las versiones antiguas se multiplicaron y los enlaces se rompieron con el tiempo, por eso la nueva rama se ha hecho con énfasis en la actualidad de los materiales.
Si se explica en términos sencillos, el engaño cibernético consiste en colocar de antemano en la infraestructura cosas que no deberían usarse legítimamente. Puede ser una llave falsa, una cuenta señuelo, un archivo que atraiga a un atacante, un servicio de prueba o todo un segmento de red falso. En cuanto el atacante interactúa con el señuelo, los defensores reciben una señal precisa de que hay alguien ajeno en el sistema. Este enfoque también es respaldado por metodologías importantes, como MITRE Engage, donde el engaño se considera parte de las operaciones planificadas de interacción con el adversario, y MITRE D3FEND, que incluye una táctica llamada Deceive y un conjunto de técnicas para «decorados» y trampas.
Según las incorporaciones recientes en la recopilación, el engaño se está desplazando rápidamente hacia la nube y DevOps. Wiz, por ejemplo, publicó el código fuente de HoneyBee, una herramienta que, con ayuda de LLM, genera entornos y configuraciones intencionadamente mal configurados para desplegar señuelos realistas y estudiar más rápido los ataques a tecnologías populares. Esto no es ya «un señuelo en un rincón de la red», sino la automatización del despliegue de pilas vulnerables similares a las que realmente usan las empresas.
Al mismo tiempo crece el interés en el tema «IA contra IA». En el estudio LLM Agent Honeypot los investigadores describen un honeypot que intenta distinguir a atacantes habituales de agentes LLM autónomos y evaluar hasta qué punto esos agentes ya se encuentran «en la naturaleza». Esta línea por ahora se parece más a la prospección de riesgos futuros, pero el mero hecho de que aparezcan experimentos así muestra hacia dónde mira la industria.
Es interesante que no todos los nuevos objetivos «de moda» atraen ya a atacantes reales. GreyNoise, a finales de 2025, escribió que en su experimento con honeypots MCP apenas observaron intentos específicos de explotación, aunque, según su observación, cualquier servicio en Internet se localiza con rapidez y luego empieza el habitual fondo de escaneos. En otras palabras, la tendencia hacia el middleware de IA es visible, pero entonces no había una caza masiva centrada en él.
Los profesionales también comparten experiencias, y a veces esto resulta mucho más práctico que «honeypots completos». Grafana Labs, por ejemplo, contó en detalle cómo los canary tokens ayudan a detectar intrusiones con señales tempranas y por qué importa más no la forma del señuelo sino su colocación y escalado adecuados. Thinkst desarrolla la idea del «engaño visible» y publica variantes inusuales, como «tarjetas de crédito» Canarytokens, que quieren asustar a los estafadores con el hecho de que cualquier número robado puede resultar una trampa.
Al mismo tiempo, grandes reguladores y organismos gubernamentales también están probando el enfoque en la práctica. El Centro Nacional de Ciberseguridad del Reino Unido publicó en diciembre de 2025 conclusiones provisionales sobre las pruebas de soluciones de engaño cibernético y subrayó que esas herramientas pueden aportar visibilidad valiosa y detectar comprometimientos ocultos, pero requieren una implementación cuidadosa y una correcta integración con los procesos.