Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints.Líder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity || Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud || Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity || Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Identity Security
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      Analyses forensiques, IRR et préparation aux incidents.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for ¿Qué son los Honeytokens en ciberseguridad?
Cybersecurity 101/Ciberseguridad/Honeytokens

¿Qué son los Honeytokens en ciberseguridad?

Descubra cómo los honeytokens sirven como trampas digitales para detectar accesos no autorizados, mejorar la seguridad y proporcionar alertas tempranas contra las amenazas cibernéticas. Descubra sus tipos, ventajas y estrategias de implementación.

CS-101_Cybersecurity.svg
Tabla de contenidos

Entradas relacionadas

  • Análisis forense digital: definición y mejores prácticas
  • Corrección de vulnerabilidades: guía paso a paso
  • Ciberseguridad forense: tipos y mejores prácticas
  • Los 10 principales riesgos de ciberseguridad
Actualizado: August 11, 2025

Con el rápido desarrollo del mundo cibernético, es necesario proteger los datos del escenario actual para que no sean vistos o accedidos por personas no autorizadas. La seguridad tradicional en términos de cortafuegos y antivirus no es suficiente, ya que las amenazas avanzadas los violan, por lo que es necesario desarrollar mecanismos por adelantado para detectar intrusiones. Un honeytoken es una de las herramientas más eficaces y secretas para atrapar a los actores maliciosos en el acto.

Los honeytokens son esencialmente cebos o señuelos digitales que pueden parecer datos normales y legítimos, pero que se utilizan como mecanismos de detección de intrusos. Por término medio, pasan 327 días antes de que se pueda determinar si se ha producido una violación de los datos. Los equipos de seguridad pueden identificar las violaciones en cuestión de minutos cuando los honeytokens se distribuyen en múltiples ubicaciones.

De este modo, las intrusiones en el canal de distribución de software pueden protegerse en cuestión de minutos. Alerta a los equipos de seguridad mediante indicadores cuando engañan a los atacantes para que interactúen con los activos señuelo, lo que les permite advertir de posibles violaciones antes de que se produzcan daños reales. Desempeñan un papel crucial no solo en la detección, sino también en el rastreo y la comprensión del comportamiento de los intrusos, por lo que actúan como un sistema de alerta temprana contra los ciberataques.

La actividad de autenticación de los tokens de miel es uno de los principales indicadores de la ciberseguridad moderna de que existe una intención maliciosa cuando los atacantes intentan utilizar credenciales falsas o interactuar con datos señuelo que alertan de posibles intrusiones. Un ataque con tokens de miel también es el momento en el que los atacantes interactúan inocentemente con un token de miel, lo que proporciona a los equipos de seguridad información crítica sobre el intento de violación.

Este artículo ofrece una guía completa para comprender los tokens de miel y su importante valor en la defensa de la ciberseguridad moderna. Desde su origen hasta la diferencia que supone con respecto a los honeypots, pasando por su implementación práctica y sus aplicaciones en el mundo real, los aspectos fundamentales de los tokens de miel y cómo pueden mejorar la postura de seguridad de una organización. hasta su implementación práctica y aplicaciones en el mundo real, también se abordan los aspectos fundamentales de los honeytokens y cómo pueden mejorar la postura de seguridad de una organización.

Honeytokens - Imagen destacada | SentinelOne¿Qué son los honeytokens?

Los honeytokens son, en esencia, señuelos electrónicos preparados para detectar accesos no autorizados en una red. Están diseñados para parecer información legítima y valiosa para posibles atacantes, como credenciales de inicio de sesión falsas, documentos o claves API. La principal diferencia entre los honeypots y los honeytokens es que los honeypots son sistemas señuelo totalmente funcionales creados para atraer a los atacantes e interactuar con ellos. Los honeytokens, por su parte, son mucho menos observadores y mucho más específicos.

Estos tokens se instalan dentro de un sistema o red de manera que notifican y alertan discretamente cada vez que alguien intenta acceder a ellos, modificarlos o moverlos. Solo se abstienen de interactuar con el atacante, pero revelan actividades no autorizadas, lo que los convierte en una excelente herramienta para la detección de intrusiones sin una complejidad indeseada.

¿Qué hace un honeytoken?

Un honeytoken se utiliza esencialmente para detectar actividades ilícitas o sospechosas dejando un cebo al que solo los usuarios no autorizados intentarán acceder. Un atacante o una persona malintencionada interactuaría con un honeytoken si se tratara de un archivo falso, una entrada de base de datos falsa o un conjunto de credenciales engañosas, lo que activaría una alerta que avisaría al equipo de seguridad de que alguien está sondeando el sistema donde no debería.

Las organizaciones obtienen señales de alerta temprana en forma de intenciones maliciosas a partir de honeytokens incrustados en ubicaciones críticas y sensibles, como directorios, archivos o bases de datos clave, donde pueden establecerse y actuar antes de que se produzcan daños reales. Los honeytokens han demostrado ser muy valiosos para la prevención de violaciones de datos, accesos no autorizados y amenazas internas.

La actividad de autenticación de los honeytokens permite a las organizaciones rastrear los casos de intentos de inicio de sesión o acceso no autorizados. De este modo, se evitan las violaciones de datos, las amenazas internas y el acceso no autorizado. En general, los honeytokens constituyen una capa de protección indispensable, ya que permiten a las organizaciones ser proactivas en la detección de amenazas en lugar de reaccionar ante ellas.

Historia de los honeytokens

La idea general de los honeytokens se ha desarrollado a partir del principio general de los "honeypots" y la captura y el análisis de hackers. Los honeypots se originaron como sistemas señuelo diseñados para atraer la atención de los atacantes con el fin de interactuar con dichos sistemas y, de ese modo, permitir a los profesionales de la ciberseguridad estudiar el comportamiento, los métodos y los vectores de ataque de dichos hackers. Con el tiempo, las técnicas de seguridad han evolucionado hacia técnicas más complejas y se ha llegado a la conclusión de que se necesitan soluciones mucho más ligeras y flexibles.

Esto daría lugar, en última instancia, a la sofisticada herramienta de Honeytoken, centrada en la detección de actividades no autorizadas específicas sin necesidad de desplegar todo el esfuerzo que exige un sistema señuelo. Los Honeytokens constituyen un método menos costoso y que requiere menos recursos en comparación con los honeypots, lo que podría generar información útil sobre intrusiones en el proceso.

Los honeytokens son una parte integral del conjunto de herramientas de ciberseguridad y han sido adoptados por empresas y corporaciones de todos los tamaños para la detección temprana de amenazas. En contextos modernos, los honeytokens ayudan a detectar amenazas que van desde intentos de ataques honeytoken hasta violaciones internas, mejorando la postura de seguridad general de las organizaciones.

HoneyToken vs Honeypot

Los honeytokens y los honeypots son métodos de detección de actividades no autorizadas que se aplican habitualmente en ciberseguridad. De hecho, estos dos conceptos varían mucho en cuanto a la forma en que exponen las actividades maliciosas que se producen dentro de una red o un sistema, aunque persiguen el mismo objetivo general. Por lo tanto, comprender sus diferencias puede ayudar a implementarlos adecuadamente dentro del marco de seguridad de una organización.

  • Honeypot: Un honeypot es un entorno aparentemente real creado para los atacantes. El honeypot recibe este tipo de interacción de los atacantes y, por lo tanto, permite a los equipos de seguridad observar su comportamiento. Los honeypots crean la apariencia de servicios o redes para hacer creer a los atacantes que han encontrado un objetivo real. Una vez que se involucran, el equipo de seguridad puede estudiar cómo actúan y recopilar información valiosa sobre cómo operan las amenazas. Pero los honeypots requieren mucha más planificación, recursos y cuidados, ya que representan sistemas completos.
  • Honeytoken: Un honeytoken es un dato falso específico, como credenciales, archivos o claves API, que se coloca dentro de un sistema real para detectar accesos no autorizados. Actúa como una trampa: si se accede a él, se activa una alerta que indica que alguien está sondeando áreas en las que no debería estar. A diferencia de los honeypots, los honeytokens no simulan entornos completos, sino que son sencillos y fáciles de implementar, lo que ofrece una forma eficaz de detectar amenazas con una sobrecarga mínima. Son ideales para detectar rápidamente los intentos de acceso no autorizado sin necesidad de una infraestructura compleja.

Tipos de honeytokens y sus usos

Los honeytokens se pueden preparar en diversas formas en función de los requisitos y entornos específicos de ciberseguridad. Una organización puede supervisar diferentes partes de su infraestructura a través de los distintos tipos de honeytokens y detectar todo tipo de actividades no autorizadas.

A continuación se muestra una breve lista de las formas más comunes de honeytokens que se utilizan:

  • Honeytokens de base de datos: Los honeytokens son entradas ficticias en una base de datos que parecen entradas reales. Cuando se ejecuta un ataque o se manipulan dichas entradas ficticias, se activa una alarma. Los honeytokens de base de datos son extremadamente útiles en sistemas que almacenan información confidencial en bases de datos. Cualquier acceso no autorizado dará una indicación previa de la posibilidad de una violación. Son de gran ayuda para detectar consultas no autorizadas a la base de datos o intentos de filtrar los datos.
  • Honeytokens basados en archivos: Son archivos honeypot que se colocan en directorios o sistemas de archivos y parecen tener algún valor, por lo que atraen a los intrusos. Si el atacante abre, mueve o copia los archivos, se envía una alerta al equipo de seguridad. Los honeypots basados en archivos son muy populares entre las organizaciones cuya principal preocupación es el robo de archivos o el acceso no autorizado a documentos. Estos pueden incluir contratos dudosos, informes financieros y otra información confidencial con la que pueden obtener grandes beneficios si se detienen las violaciones de datos en una fase muy temprana.
  • Honeytokens de credenciales: Puede consistir en la inclusión de nombres de usuario, contraseñas o claves API falsos en un sistema. Si un atacante intenta utilizar las credenciales falsas para iniciar sesión en el sistema, sería un indicador de que algunos usuarios no autorizados están intentando entrar en el sistema. Los honeytokens de credenciales son muy útiles para supervisar los intentos de inicio de sesión y pueden ayudar a detectar ataques de fuerza bruta, relleno de credenciales o amenazas internas. Dado que los usuarios legítimos nunca deben utilizar credenciales falsas, cualquier actividad que las implique es un claro indicio de intención maliciosa.
  • Honeytokens de claves API: Estos honeytokens serán claves API maliciosas que se inyectarán en los entornos de software. En el momento en que un actor no autorizado intente utilizarlas, se generará una alerta. Estos honeytokens de claves API resultan ser una herramienta especial en entornos cloud relativamente altamente dependientes y en procesos de desarrollo de software que utilizan API para acceder a los servicios. Este concepto permite a una organización detectar cómo y si alguien hace un uso indebido o obtiene acceso no autorizado a sus servicios mediante la implantación de claves falsas, y posiblemente detener a los actores maliciosos antes de que utilicen los sistemas reales.
  • Honeytokens de correo electrónico: Los Honeytokens son direcciones de correo electrónico o mensajes falsos que se utilizan para alertar al sistema si se accede a ellos o incluso se utilizan. Estos honeytokens se encargan de detectar intentos de phishing o amenazas internas y accesos no autorizados a correos electrónicos. Por ejemplo, una organización podría crear una cuenta de correo electrónico falsa que, con suerte, nunca se utilizará. De hecho, si alguien envía o recibe correos electrónicos desde esa dirección, significaría una actividad sospechosa y un compromiso de seguridad, y el equipo de seguridad podría reaccionar rápidamente.

Ventajas de utilizar Honeytokens

Honeytokens ofrece varias ventajas clave que lo convierten en una herramienta eficaz en una estrategia de ciberseguridad. Su simplicidad y versatilidad lo hacen valioso en diversos entornos, desde pequeñas empresas hasta grandes corporaciones.

  • Detección temprana: Honeytokens ofrece un sistema de alerta temprana, ya que detecta el acceso no autorizado una vez que se produce la infracción. Dado que los honeytokens están pensados para que solo puedan acceder a ellos actores maliciosos, ofrecen una indicación inmediata de que algo va mal o de que se está produciendo una brecha o algún tipo de actividad sospechosa. Esto supone una ventaja, ya que la detección temprana ayudará a las organizaciones a actuar antes de que se produzcan más daños y se pueda minimizar el impacto de un ataque.
  • Bajo consumo de recursos: Los honeytokens también son ligeros y requieren pocos recursos para su implementación y mantenimiento. Además, a diferencia de los honeypots, que pueden simular sistemas completos con un cuidado y una alimentación constantes, los honeytokens son fáciles de instalar y supervisar utilizando herramientas de seguridad preexistentes. Los bajos gastos generales hacen que los honeytokens sean una opción económica incluso para las organizaciones más pequeñas, especialmente para aquellas que cuentan con recursos limitados en materia de ciberseguridad.
  • Altamente personalizables: Los honeytokens se pueden personalizar fácilmente para entornos y necesidades específicos. Las organizaciones pueden implementar honeytokens en todas las áreas que puedan ser objeto de ataques, ya sea incorporando credenciales, archivos o entradas de bases de datos falsas como forma de defenderse de los atacantes. Esto permite a las empresas reforzar su postura de seguridad mediante la implementación de honeytokens en áreas de alto riesgo, mejorando así la cobertura general.
  • Mínimo número de falsos positivos: Otra ventaja de los honeytokens es que son muy precisos. Al ser datos creados artificialmente a los que nunca se debe acceder, los honeytokens identifican automáticamente cualquier entrada que se realice en los datos. Esto da lugar a un número mucho menor de falsos positivos en comparación con el software de detección típico, lo que se traduce en una menor fatiga por alertas para el equipo de seguridad y una mayor capacidad para centrarse en las amenazas reales.

¿Cómo funcionan los honeytokens en la ciberseguridad?

Los honeytokens están diseñados para permanecer inactivos en el sistema, en estado latente hasta que una actividad maliciosa los activa. Por lo tanto, cuando se implanta un honeytoken, ya sea un archivo, una credencial o una entrada de base de datos, no hace absolutamente nada mientras los usuarios legítimos entran y salen en sus actividades. El honeytoken solo se activa tras una interacción correcta con un atacante. Un honeytoken envía una alerta al equipo de seguridad en caso de quese accede a él, se mueve o se utiliza de cualquier otra forma. Los sistemas de registro, los servicios de seguridad de terceros o los scripts de supervisión personalizados pueden crear una alerta que haga que un honeytoken se adapte a diferentes marcos de ciberseguridad. Su capacidad para funcionar de forma sigilosa y alertar solo sobre actividades maliciosas lo convierte en una forma muy eficaz de atrapar a los atacantes sin interferir en los usuarios legítimos.

Cómo implementar honeytokens: guía paso a paso

Los honeytokens deben introducirse con cautela para capturar correctamente las actividades no autorizadas. A continuación se ofrece una guía paso a paso sobre cómo se pueden implementar los honeytokens como parte del marco de ciberseguridad:

  1. Identificar los sistemas críticos: Identifique dónde necesita más protección su red. Se trata de lugares en los que el acceso no autorizado causaría más daños, como el almacenamiento de información confidencial de clientes en una base de datos, sistemas de correo electrónico o servidores de archivos que contienen documentos privados. Por lo tanto, al centrarse en los sistemas críticos, cada vez que se acceda a un honeytoken, es probable que se detecte alguna actividad sospechosa asociada a él.
  2. Elegir el honeytoken adecuado: Seleccione el tipo de token de miel más adecuado que se adapte a su entorno y a sus objetivos de seguridad. Dependiendo del nivel de preocupación por el acceso no autorizado a las credenciales de inicio de sesión, un token de miel de credenciales será la mejor opción para este tipo de situaciones. Si el robo de datos es una preocupación importante, los tokens de miel basados en archivos o las entradas falsas en bases de datos serán muy eficaces. Por lo tanto, en este caso, el tipo adecuado de tokens de miel garantiza que se mezclen bien con los datos reales, pero ahuyenta a los posibles atacantes.
  3. Coloque los honeytokens de forma estratégica: Coloque los honeytokens en lugares a los que pueda acceder un usuario malintencionado para llamar su atención, como directorios de cuentas con privilegios, carpetas configuradas a nivel de administrador o entradas de bases de datos que puedan parecer valiosas. Los honeytokens deben colocarse en lugares donde un atacante también pueda encontrarlos, pero ocultos de manera que no sea probable que los usuarios legítimos los activen accidentalmente.
  4. Configurar la supervisión: Tras la implementación del honeytoken, debe configurar alertas cada vez que se acceda a él o se utilice. Esto se puede lograr estableciendo sistemas de registro y supervisando cómo se accede o se utiliza el honeytoken, o incluso integrándolo en un sistema de supervisión de seguridad existente, SIEM, por ejemplo. La alerta debe remitirse al personal adecuado con autoridad para actuar ante el incidente.
  5. Probar la configuración: Antes de utilizar los honeytokens en un entorno real, es necesario realizar una prueba básica en forma de pruebas de penetración o simulaciones de los honeytokens para comprobar si funcionan según lo previsto. Los intentos de acceso al honeytoken son ataques simulados a través de intentos de acceso, que permiten comprobar si las alertas se generan y reciben realmente por el equipo de seguridad, y cuándo lo hacen, verificando así la fiabilidad y la eficacia de la implementación del honeytoken.
  6. Supervisar y responder: Esto se realiza después de implementar el sistema, donde se deben supervisar regularmente las alertas de honeytoken. Dado que los honeytokens están codificados de forma que solo los usuarios no autorizados pueden acceder a ellos, cada alerta significa que ha surgido una amenaza potencial. El equipo de seguridad debe contar con procedimientos de respuesta para investigar el origen de la alerta y mitigar cualquier brecha de seguridad. La supervisión regular con un buen proceso de respuesta a incidentes es la clave para maximizar los beneficios de los honeytokens.

Limitaciones y retos de los honeytokens

Aunque los honeytokens son una herramienta poderosa para detectar accesos no autorizados, tienen limitaciones y retos que las organizaciones deben tener en cuenta:

  • Detección, no prevención: Por lo general, los honey tokens se utilizan para detectar, no para prevenir. Los honey tokens alertan al administrador sobre el intento de violación, de modo que el acceso no autorizado inicial puede producirse sin que se intervenga inmediatamente después. Esto significa que las organizaciones siguen siendo vulnerables en caso de que los atacantes empiecen a explotar el honey token antes de que el equipo de seguridad pueda intervenir. Por lo tanto, una organización que confía por completo en los tokens honey sin medidas preventivas como cortafuegos, sistemas de prevención de intrusiones o formación de los empleados para que estén atentos corre un riesgo enorme.
  • Atacantes sofisticados: Los ciberdelincuentes sofisticados saben cómo detectar el engaño, y los tokens honey no son una excepción. Pueden recurrir al reconocimiento para buscar trampas que neutralicen los tokens de miel. Por ejemplo, si los atacantes saben que un conjunto concreto de credenciales o entradas de base de datos no se utiliza, es posible que nunca encuentren esos tokens de miel. Por lo tanto, las organizaciones deben asegurarse de que sus tokens de miel se actualicen constantemente, tanto en su diseño como en su ubicación, para que se mezclen bien con los datos legítimos y sean menos detectables.
  • Falsa seguridad: La confianza excesiva en los tokens de miel puede llevar a una falsa seguridad por parte de los equipos de seguridad y de la dirección en cuanto a que no se producirán intrusiones. Las organizaciones no supervisan ni actualizan los tokens de miel con regularidad. Esta complacencia deja huecos, ya que los tokens de miel antiguos pueden no funcionar como se esperaba o atraer una atención no deseada hacia el sistema. Por lo tanto, las organizaciones deben considerar los tokens de miel solo como parte de un enfoque de seguridad multicapa y garantizar su actualización y evaluación continua de su eficacia.
  • Implementación que requiere muchos recursos: La implementación de tokens de miel puede ser una actividad que requiere muchos recursos y tiempo. Las organizaciones dedicarán horas de esfuerzo y tiempo al diseño y la colocación de tokens de miel y, posteriormente, a su mantenimiento, en detrimento de otras medidas de seguridad importantes. Las organizaciones pequeñas con poco personal de seguridad pueden incluso encontrar demasiado complicada la tarea de implementar y gestionar los honeytokens. Por lo tanto, una organización debe ser consciente de su capacidad para implementar honeytokens en su marco de seguridad existente sin desviar recursos a otras áreas.
  • Posibilidad de solapamiento de señales: Al existir varios mecanismos de seguridad, los honeytokens pueden generar alertas que se solapan con otros sistemas de detección. Esto provoca confusión entre los equipos de seguridad en cuanto a qué alarmas deben atenderse primero y cuáles son menos importantes. Es fundamental gestionarlo adecuadamente, ya que esto puede provocar fatiga por alertas, lo que hace que los equipos se vuelvan insensibles a las advertencias y, por lo tanto, puedan pasar desapercibidas amenazas reales. La mejor manera de resolverlo es mediante una comunicación adecuada y una delimitación de funciones entre las diferentes herramientas de seguridad.
  • Cuestiones legales y de privacidad: La implementación de honeytokens, en particular aquellos que implican credenciales de usuario o datos confidenciales, puede plantear cuestiones legales y de privacidad. En algunas jurisdicciones, las organizaciones pueden enfrentarse a un escrutinio regulatorio si implementan activos engañosos sin informar a los usuarios, o si estos activos conducen a la recopilación de datos de los atacantes durante los incidentes. Las empresas deben asegurarse de que los honeytokens cumplan con las leyes de privacidad y se adhieran a las normas de protección de datos pertinentes, como el RGPD o la CCPA, para evitar complicaciones legales.
  • Riesgo de detección y represalias: Si los atacantes identifican los honeytokens, pueden tomar represalias lanzando ataques más sofisticados, con el objetivo de dañar la red o extraer datos sin ser detectados. Los ciberdelincuentes, cuando se les alerta de la presencia de honeytokens, pueden introducir intencionadamente falsos positivos, abrumando al equipo de seguridad con alertas falsas. Por lo tanto, las organizaciones deben ser cautelosas y tener en cuenta el riesgo de que los atacantes sofisticados puedan explotar sus propios honeytokens como forma de contraataque.

Prácticas recomendadas para implementar tokens de miel

Para que los tokens de miel sean realmente eficaces, las organizaciones pueden seguir algunas prácticas recomendadas:

  • La ubicación es importante: La ubicación estratégica de los honeytokens es clave para su eficacia. Deben colocarse en áreas de alto valor o sensibles de un sistema, donde el acceso de personas no autorizadas pueda levantar sospechas rápidamente. Estas áreas incluyen directorios de cuentas privilegiadas, bases de datos críticas o archivos que parecen valiosos para los atacantes. La colocación estratégica de los honeytokens en zonas de riesgo aumentará las posibilidades de detectar actividades maliciosas dentro de una organización.
  • Supervisar de forma constante: Supervise continuamente los honeytokens, que serán capaces de alertar a los equipos de seguridad con la rápida identificación de las alertas que se realizan. Por lo tanto, las alertas de los honeytokens deben incluirse en una solución de supervisión de la seguridad, preferiblemente una SIEM para la agregación de toda la información relacionada con la seguridad. De este modo, la supervisión constante permite a los equipos de seguridad ver las infracciones en tiempo real y acelerar las respuestas para mitigar los riesgos y evitar la pérdida de datos.
  • Actualizar periódicamente: La actualización periódica de los honeytokens es muy importante para mantener su eficacia. Con la evolución de los atacantes y la continua invención de tácticas, los honeytokens obsoletos pueden no atraer actividades maliciosas de manera eficiente. Las organizaciones deben revisar y actualizar los honeytokens a intervalos regulares para adaptarse al panorama de amenazas y a las necesidades de la organización en evolución.
  • Combinar con otras herramientas: Los honeytokens deben ser una parte integral de una estrategia de ciberseguridad más amplia, junto con muchas otras herramientas y prácticas de detección. La integración de los honeytokens con otras herramientas de seguridad, como los sistemas de detección de intrusiones (IDS), los cortafuegos y el análisis del comportamiento de los usuarios, mejora la postura de seguridad. Esta protección multicapa, en la práctica, significa que nadie dependerá de una sola tecnología para detectar la infiltración en el sistema.
  • Formación y concienciación de los usuarios: Formar a los empleados sobre la existencia y la naturaleza de los honeytokens puede añadir una capa más de defensa. Aunque los honeytokens están diseñados para confundir a los atacantes, educar al personal sobre su existencia probablemente aumentará la vigilancia y fomentará la notificación de actividades que puedan percibirse como inusuales. Además, se educaría a los empleados para identificar amenazas potenciales en sesiones de formación de concienciación que reforzarían aún más la postura de seguridad de una organización.
  • Pruebas y validación: La eficacia de los honeytokens puede validarse mediante pruebas periódicas en ataques simulados o pruebas de penetración. Las organizaciones deben realizar simulacros para comprobar si los honeytokens activan correctamente una alerta y si el equipo de seguridad puede responder de forma adecuada. Esto no solo garantiza que los honeytokens funcionen como es debido, sino que también perfecciona la respuesta ante incidentes.

Ejemplos reales de honeytokens

Los honeytokens, al ser activos señuelo, se utilizan para atraer a los atacantes y revelar su presencia, de modo que la organización pueda mejorar su postura de seguridad. Aunque los casos de honeytokens en detalle rara vez se hacen públicos debido a su carácter sensible, los ejemplos muestran cómo funciona este concepto en distintos ámbitos:

#1. Registros de bases de datos señuelo

Una institución financiera crea entradas artificiales en la base de datos de clientes (honeytokens) con datos financieros aparentemente atractivos, pero falsos. Si alguien intenta acceder a esos registros o explotarlos de alguna otra manera, el hecho de que existan esos registros hace saltar la alarma, ya que probablemente sea una señal de una posible violación de datos.

Inspiradas por esta idea, otras empresas como IBM han hablado de "datos señuelo" en materia de seguridad, aunque se desconoce qué medidas han tomado al respecto.

#2. Archivos y recursos compartidos de red falsos

Una empresa de alta tecnología crea un recurso compartido llamado "Q2_Profit_Projections" con contenido llamativo, pero totalmente falso. Una vez que la entidad hostil obtiene acceso al recurso compartido, se dirige directamente al equipo de operaciones de seguridad.

Según organizaciones de investigación y empresas de seguridad, se ha demostrado que este enfoque por sí solo es muy eficaz para detectar a personas internas y externas sin escrúpulos.

#3. Recursos web engañosos

Una aplicación de compras en línea puede generar una página de inicio de sesión de administrador fantasma o señuelo. Es decir, cuando el actor malintencionado intenta iniciar sesión en la página de inicio de sesión, esta captura su IP y sus intentos de inicio de sesión y los pasa a una lista negra.

Las tecnologías de engaño basadas en la web se aplican en varios proyectos de honeypot para investigar y responder a las amenazas cibernéticas.

#4. Almacenamiento en la nube fantasma

Un proveedor de servicios en la nube crea un depósito de almacenamiento en la nube señuelo con datos atractivos pero falsos. Las solicitudes de acceso al depósito pueden supervisarse y alimentarse para mejorar la inteligencia sobre amenazas del proveedor. Las tecnologías de engaño del mundo real pueden añadirse a los sistemas de seguridad en la nube.

#5. Dispositivos IoT falsos

Una instalación industrial coloca dispositivos señuelo conectados a Internet llamados "honeytokens" que se hacen pasar por dispositivos IoT. Las interacciones de tráfico con los señuelos indican que podría haber un ataque al IoT.

Los investigadores de seguridad han creado con éxito dispositivos IoT "honeypot" para comprender y combatir esta creciente ola de ataques al IoT.

Ciberseguridad impulsada por la IA

Mejore su postura de seguridad con detección en tiempo real, respuesta a velocidad de máquina y visibilidad total de todo su entorno digital.

Demostración

Conclusión

Los honeytokens son una herramienta potente y ligera en el ámbito de la ciberseguridad que permite a las organizaciones comprobar con bastante rapidez si hay accesos no autorizados. Lo hacen de una manera tan invisible que los sistemas existentes los integran a la perfección, lo que los convierte en un mecanismo de defensa perfecto para aplicar en diversos entornos, desde servicios en la nube hasta infraestructuras locales. Otra ventaja importante es que no requieren mucho mantenimiento. Una vez implementados, necesitan muy poca supervisión, y los equipos de seguridad pueden volver a realizar tareas más complejas. La eficiencia es muy útil para las organizaciones que disponen de relativamente pocos recursos. Los honeytokens proporcionan una gran protección sin requerir mucho tiempo ni recursos económicos.

Otra ventaja es la gran precisión con la que los honeytokens alertan al personal de seguridad de posibles amenazas. Las alertas suelen representar eventos de seguridad reales, ya que solo son accesibles para los actores maliciosos. Por lo tanto, esto reduce el ruido de los falsos positivos y los equipos de seguridad pueden responder rápidamente a las amenazas reales. De todas estas formas, el uso y la implementación eficaces de los honeytokens podrían mejorar la postura de ciberseguridad de una organización. Colocados de forma adecuada y supervisados con precisión, son parte integral de las medidas de seguridad sofisticadas. Con la nueva era de la protección de datos, se integrarán con herramientas como los honeytokens para ayudar a las organizaciones a proteger sus sistemas contra las violaciones de datos y las amenazas cibernéticas en 2025 y más allá.

"

FAQs

Un honeytoken es un activo digital artificial, como un archivo ficticio o una credencial, creado para atrapar a los atacantes. Cuando se accede a él, alerta a las autoridades sobre la posibilidad de acceso por parte de personas no autorizadas y destaca los intentos de violación.

Los honeytokens se utilizan de forma estratégica para atraer a personas malintencionadas internas que intentan acceder a ellos o manipularlos. Los equipos de seguridad reciben alertas que les ayudan a detectar posibles amenazas internas antes de que puedan causar daños.

Los Honeytokens se utilizan en bases de datos, sistemas de archivos y cuentas de correo electrónico para detectar accesos no autorizados a los sistemas. Incluso se integran en la infraestructura de la red para supervisar otros movimientos no autorizados, lo que activa alertas tempranas de incidentes de seguridad.

La actividad de autenticación con honeytokens se aplica al uso de credenciales de honeytokens o a los intentos de acceso a cuentas artificiales. Genera alertas, lo que proporciona a los equipos de seguridad un mecanismo para identificar intentos de inicio de sesión sospechosos, así como cuentas potencialmente comprometidas.

Las mejores prácticas para los honeytokens incluyen la colocación estratégica en áreas sensibles, evitar nombres obvios, supervisar el acceso a los tokens y realizar actualizaciones o pruebas periódicas de la colocación para garantizar la eficacia en la detección de amenazas.

Descubre más sobre Ciberseguridad

Gestión de riesgos: marcos, estrategias y mejores prácticasCiberseguridad

Gestión de riesgos: marcos, estrategias y mejores prácticas

Descubra los marcos, estrategias y mejores prácticas clave de gestión de riesgos para proteger a su organización de las amenazas y mejorar la resiliencia en un panorama de riesgos en constante cambio.

Seguir leyendo
¿Qué es el TCO (coste total de propiedad) de la ciberseguridad?Ciberseguridad

¿Qué es el TCO (coste total de propiedad) de la ciberseguridad?

El coste total de propiedad (TCO) en ciberseguridad afecta al presupuesto. Aprenda a calcular el TCO y sus implicaciones para sus inversiones en seguridad.

Seguir leyendo
26 ejemplos de ransomware explicados en 2025Ciberseguridad

26 ejemplos de ransomware explicados en 2025

Explore 26 ejemplos significativos de ransomware que han dado forma a la ciberseguridad, incluidos los últimos ataques de 2025. Comprenda cómo estas amenazas afectan a las empresas y cómo SentinelOne puede ayudar.

Seguir leyendo
¿Qué es el smishing (phishing por SMS)? Ejemplos y tácticasCiberseguridad

¿Qué es el smishing (phishing por SMS)? Ejemplos y tácticas

Descubra qué es el smishing (phishing por SMS) y cómo los ciberdelincuentes utilizan mensajes de texto falsos para robar información personal. Conozca las señales de alerta y cómo protegerse de estas estafas.

Seguir leyendo
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Español
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2026 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso