🌐 Publicamos un servicio web en Internet y observamos detenidamente lo que sucede 📊

by editor
on agosto 20, 2025
Honeypot web abierto al mundo: resultados y aprendizajes

🍯 Honeypot HTTP/HTTPS abierto al mundo

Recientemente hemos hecho una exposición controlada de un servidor web (puertos 80/tcp y 443/tcp) para observar, medir y documentar intentos de exploración y abuso en tiempo real. El objetivo: comprender quién toca, cuánto lo intenta y cómo se ve en el firewall.

🛡️ Registro: firewall perimetral 🌐 Audiencia: Internet global 🔓 Exposición: total (HTTP/S) ⏱️ Ventana observada: 20:07–22:31 (20 ago 2025)

🧪 Configuración del ejercicio

  • Servidor “honeypot” con servicios HTTP y HTTPS publicados sin geofencing ni listas blancas.
  • Política del firewall: Web (46); inspección y registro de metadatos de cada conexión.
  • Se capturaron fecha/hora, IP de origen, país/región, bytes intercambiados y resultado.
  • ⚠️ Ética y seguridad: el entorno estuvo aislado, sin datos reales, solo para observación.

📊 Resumen de hallazgos (20 de agosto de 2025)

Intentos totales
48
en 2 h 24 min 40 s
Ritmo promedio
~19.9/h
~0.33 por minuto
IPs únicas
18
origen global
Tráfico observado
≈ 31.5 KiB / 116.1 KiB
ida / vuelta (agregado)

🌍 Distribución por país/región

  • 🇺🇸 Estados Unidos: 25 (52.08%)
  • 🇧🇬 Bulgaria: 8 (16.67%)
  • 🇷🇺 Federación Rusa: 6 (12.50%)
  • 🇱🇹 Lituania: 3 (6.25%)
  • 🪪 “Reserved”: 2 (4.17%)
  • 🇨🇦 Canadá: 1 (2.08%)
  • 🇩🇪 Alemania: 1 (2.08%)
  • 🇷🇴 Rumania: 1 (2.08%)
  • 🇪🇬 Egipto: 1 (2.08%)

📌 IPs más activas

  • 204.76.203.206 (🇺🇸): 12 intentos
  • 87.120.191.6 (🇧🇬): 6 intentos
  • 204.76.203.212 (🇺🇸): 6 intentos
  • 213.232.203.50 (🇷🇺): 6 intentos
  • 149.50.103.48 (🇺🇸): 3 intentos

Resto: 13 intentos repartidos entre 13 IPs.

🗂️ Registro detallado

Fecha/Hora Destino Política Resultado (B / kB) IP Origen País/Región
2025/08/20 20:07:03192.168.2.250Web (46)748 B / 1.91 kB204.76.203.206United States
2025/08/20 20:08:06192.168.2.250Web (46)748 B / 1.91 kB87.120.191.6Bulgaria
2025/08/20 20:09:15192.168.2.250Web (46)696 B / 1.91 kB204.76.203.212United States
2025/08/20 20:11:23192.168.2.250Web (46)696 B / 1.91 kB87.120.191.6Bulgaria
2025/08/20 20:19:35192.168.2.250Web (46)748 B / 1.91 kB204.76.203.206United States
2025/08/20 20:19:47192.168.2.250Web (46)820 B / 6.45 kB213.232.203.50Russian Federation
2025/08/20 20:19:53192.168.2.250Web (46)581 B / 5.35 kB205.210.31.88Canada
2025/08/20 20:25:21192.168.2.250Web (46)748 B / 1.91 kB91.224.92.14Lithuania
2025/08/20 20:30:51192.168.2.250Web (46)745 B / 1.96 kB45.135.194.8Reserved
2025/08/20 20:33:10192.168.2.250Web (46)696 B / 1.91 kB149.50.103.48United States
2025/08/20 20:33:39192.168.2.250Web (46)696 B / 1.91 kB204.76.203.206United States
2025/08/20 20:35:53192.168.2.250Web (46)696 B / 1.91 kB204.76.203.212United States
2025/08/20 20:37:02192.168.2.250Web (46)748 B / 1.91 kB213.232.203.50Russian Federation
2025/08/20 20:39:10192.168.2.250Web (46)630 B / 5.29 kB172.104.143.39Germany
2025/08/20 20:40:03192.168.2.250Web (46)696 B / 1.91 kB87.120.191.6Bulgaria
2025/08/20 20:44:52192.168.2.250Web (46)431 B / 1.80 kB135.237.125.201United States
2025/08/20 20:45:59192.168.2.250Web (46)696 B / 1.91 kB204.76.203.206United States
2025/08/20 20:52:31192.168.2.250Web (46)371 B / 10.78 kB91.224.92.17Lithuania
2025/08/20 20:57:39192.168.2.250Web (46)696 B / 1.91 kB204.76.203.206United States
2025/08/20 21:05:20192.168.2.250Web (46)696 B / 1.91 kB204.76.203.212United States
2025/08/20 21:10:13192.168.2.250Web (46)696 B / 1.91 kB204.76.203.206United States
2025/08/20 21:14:24192.168.2.250Web (46)808 B / 3.72 kB213.232.203.50Russian Federation
2025/08/20 21:17:13192.168.2.250Web (46)696 B / 1.91 kB204.76.203.219United States
2025/08/20 21:17:29192.168.2.250Web (46)693 B / 1.91 kB89.42.231.200Romania
2025/08/20 21:20:38192.168.2.250Web (46)696 B / 1.91 kB87.120.191.6Bulgaria
2025/08/20 21:23:47192.168.2.250Web (46)696 B / 1.91 kB204.76.203.206United States
2025/08/20 21:31:01192.168.2.250Web (46)696 B / 1.91 kB149.50.103.48United States
2025/08/20 21:31:36192.168.2.250Web (46)696 B / 1.91 kB204.76.203.212United States
2025/08/20 21:33:03192.168.2.250Web (46)164 B / 112 B197.57.181.238Egypt
2025/08/20 21:36:16192.168.2.250Web (46)696 B / 1.91 kB204.76.203.206United States
2025/08/20 21:38:59192.168.2.250Web (46)745 B / 1.91 kB45.135.194.8Reserved
2025/08/20 21:40:18192.168.2.250Web (46)589 B / 653 B87.121.84.42Bulgaria
2025/08/20 21:43:53192.168.2.250Web (46)696 B / 1.91 kB87.120.191.6Bulgaria
2025/08/20 21:47:57192.168.2.250Web (46)800 B / 2.16 kB213.232.203.50Russian Federation
2025/08/20 21:48:45192.168.2.250Web (46)696 B / 1.91 kB204.76.203.206United States
2025/08/20 21:56:39192.168.2.250Web (46)696 B / 1.91 kB91.224.92.14Lithuania
2025/08/20 21:58:21192.168.2.250Web (46)748 B / 1.91 kB204.76.203.212United States
2025/08/20 22:00:11192.168.2.250Web (46)479 B / 5.23 kB94.156.152.158Bulgaria
2025/08/20 22:01:04192.168.2.250Web (46)748 B / 1.91 kB204.76.203.206United States
2025/08/20 22:08:00192.168.2.250Web (46)748 B / 3.81 kB213.232.203.50Russian Federation
2025/08/20 22:12:01192.168.2.250Web (46)696 B / 1.91 kB87.120.191.6Bulgaria
2025/08/20 22:14:25192.168.2.250Web (46)696 B / 1.91 kB204.76.203.206United States
2025/08/20 22:16:48192.168.2.250Web (46)469 B / 1.80 kB35.202.9.133United States
2025/08/20 22:21:14192.168.2.250Web (46)748 B / 2.11 kB213.232.203.50Russian Federation
2025/08/20 22:23:32192.168.2.250Web (46)748 B / 1.91 kB204.76.203.212United States
2025/08/20 22:26:37192.168.2.250Web (46)696 B / 1.91 kB204.76.203.206United States
2025/08/20 22:28:05192.168.2.250Web (46)431 B / 1.85 kB66.240.223.202United States
2025/08/20 22:31:43192.168.2.250Web (46)696 B / 1.91 kB149.50.103.48United States

Nota: “Resultado” muestra bytes en ambas direcciones en cada intento (formato B / kB).

🔎 ¿Qué nos dice este patrón?

  • El tráfico de sondeo aparece en minutos tras la exposición y se sostiene en el tiempo sin necesidad de anunciar el servicio.
  • Hay concentración por IP/ASN: unas pocas direcciones realizan muchos más intentos que el resto.
  • La geografía es diversa, con mayor proporción desde 🇺🇸 y actividad relevante desde 🇧🇬 y 🇷🇺.
  • El volumen de bytes por intento es bajo, consistente con scanners y pruebas automáticas de descubrimiento/vulnerabilidad.

🧰 Buenas prácticas para entornos expuestos

  • Aplicar WAF y listas de control de acceso (geofencing, allowlists) cuando el caso de uso lo permita.
  • Activar registro detallado y telemetría hacia un SIEM (detecciones por IP repetitiva, firmas y rarezas).
  • Usar servicios señuelo (honeypots) aislados para investigación, nunca mezclar con datos/productivo.
  • Automatizar respuesta: rate-limit, tarpitting, bloqueo temporal y enriquecimiento por reputación.
  • Mantener parches del stack web y mTLS/TLS moderno cuando aplique.

⏱️ Ventana analizada: 20:07:03 a 22:31:43 (20/ago/2025). · Datos fuente: registros del firewall.

📝 Este artículo puede reproducirse citando la fuente. Para dudas técnicas o reproducir el ejercicio en su entorno, contácteme.



© TEC-OH · Publicado en agosto 2025 · Este contenido se basa en pruebas realizadas en vivo y con la asistencia de herramientas de observabilidad y análisis. Para mayor información o agendar una cita con un consultor deje sus datos de contacto en el formulario de nuestra página inicial.

Categories:

Ciberseguridad

Tags:

analisis y vulnerabilidadesciberseguridadfirewallhoneypotwaf

2 Responses

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *