Arquitectura de honeynet con integración de datos para el análisis de evidencia digital

Abstract

La honeynet surgió como una herramienta de seguridad informática, diseñada intencionalmente para ser detectada, atacada y comprometida por intrusos en un entorno controlado. Está compuesta por una serie de entornos de red y sistemas señuelo, conocidos como honeypots, los cuales, una vez instalados y configurados, simulan servicios y vulnerabilidades reales con el objetivo de atraer a los intrusos. Esta infraestructura permite observar en tiempo real las acciones de los atacantes, facilitando el análisis profundo de sus tácticas, técnicas, estrategias y objetivos, proporcionando información valiosa para el desarrollo de defensas más eficaces frente a amenazas cibernéticas. A lo largo de los últimos años, se han implementado diversas arquitecturas honeynet con el propósito de mejorar la detección y análisis de ataques, sin embargo, estos estudios han evidenciado una limitación persistente en la falta de integración de datos. En este contexto, el propósito principal de esta investigación es desarrollar una arquitectura de honeynet con integración de datos para el análisis de evidencia digital, que mejore la interoperabilidad propia de la heterogeneidad en los datos proporcionados por las herramientas utilizadas en honeynet en cuanto a confiabilidad y tiempos de respuesta. Se elaboró una ontología honeynet para integración de datos, mediante una especificación explícita y formal de una conceptualización compartida, desarrollada en la herramienta de código abierto Protégé, tomando como base metodológica methontology, la cual fue la base para la arquitectura honeynet con integración de datos para el análisis de evidencia digital, las herramientas que se utilizaron en la arquitectura honeynet para la captura de datos son: Firewall, Sebek, Snort, Argos, P0f, con la finalidad de capturar el comportamiento del intruso dentro de la honeynet, generando una base de datos unificada con toda la información recopilada. La investigación adoptó un enfoque cuantitativo, con un nivel descriptivo y explicativo, y se enmarcó en un diseño cuasiexperimental, mediante la validación de indicadores técnicos con el juicio de expertos y pruebas de hipótesis. Los resultados obtenidos en la evaluación de la arquitectura de honeynet con integración de datos evidencian mejoras sustanciales para el análisis de seguridad digital. Se observó una mejora significativa en la recopilación y comparación de atributos de los datos capturados, lo que facilitó la identificación de patrones de ataque y correlación de eventos, la integración de datos permitió el acceso centralizado a información proveniente de diversas fuentes a través de una sola vista, simplificando la labor del analista, otro hallazgo clave fue la reducción de los tiempos de detección de ciberataques, lo que permite actuar con prontitud ante amenazas y reducir el riesgo de daño a la infraestructura tecnológica, incrementando la confianza de los analistas en el proceso y en los resultados obtenidos permitiendo una mejor gestión para la toma de decisiones de manera eficaz y oportuna.