01. ¿Qué es un honeybot y cómo funciona?
Un honeybot es una trampa digital que simula ser un servicio real pero vulnerable. Cuando un atacante lo descubre e interactúa con él, lo registramos todo — su IP, país, técnica usada y payload completo — y te avisamos al instante.
La clave: tú no instalas nada. El honeybot es una URL alojada en nuestros servidores. Tu trabajo es ponerla en lugares donde un atacante real podría encontrarla.
✅ Lo que SÍ es
Una URL trampa que simula una API, un archivo .env expuesto o un bot de Telegram. Registra cada interacción del atacante con todos sus datos.
❌ Lo que NO es
No es un software que instalas en tu servidor. No requiere configuración técnica en tu infraestructura. No intercepta tráfico de tus sistemas reales.
🎯 ¿A quién detecta?
Atacantes que buscan APIs expuestas, credenciales en código, bots vulnerables o endpoints sin protección. El tipo de atacante más peligroso para una empresa.
⚡ ¿Qué recibes?
IP del atacante, país, ISP, técnica usada (SQLi, XSS, recon...), payload completo enviado y alerta instantánea por Telegram.
03. Tipos de honeybot
Cada tipo simula un servicio diferente para atraer a distintos perfiles de atacante.
Simula una API de empresa real con endpoints convincentes. Responde de forma diferente según el endpoint que acceda el atacante: un intento de login recibe un error de credenciales, un acceso a /admin/config recibe datos falsos tentadores, un acceso a /.env recibe variables de entorno ficticias.
¿Cuándo usarlo?
Cuando quieres detectar atacantes que hacen reconocimiento de APIs, escanean endpoints o intentan explotar credenciales expuestas. Es el tipo más versátil.
Ejemplos de respuesta por endpoint
POST /trap/slug/api/auth/login → {"error":"Invalid credentials","code":401}
GET /trap/slug/api/admin/config → {"db_pass":"Sup3rS3cr3t!","jwt_secret":"..."}
GET /trap/slug/.env → DB_PASS=Sup3rS3cr3t!\nAWS_ACCESS_KEY=AKIA...
GET /trap/slug/api/backup → {"url_descarga":"https://storage.../backup.sql.gz?token=..."}
✅ Cada petición queda registrada con IP, técnica detectada y payload completo
Dónde desplegarlo: como URL de API en variables de entorno de un repositorio de pruebas, en comentarios de código, en documentación interna de Notion, en archivos README de proyectos.
Simula un endpoint receptor de webhooks como los que usan Stripe, GitHub o Slack. Acepta cualquier payload y responde con confirmación, registrando todo lo recibido.
¿Cuándo usarlo?
Cuando quieres detectar atacantes que intentan inyectar eventos falsos en tus sistemas (falsificar pagos de Stripe, push de GitHub, alertas de Slack) o que escanean webhooks expuestos.
Respuesta que ve el atacante
{"received":true,"id":"evt_a3f9b2c1d4e5f6a7b8c9","status":"processed"}
✅ El payload enviado por el atacante queda guardado íntegro
Dónde desplegarlo: como webhook de Stripe en un entorno de staging, como endpoint de notificaciones en un archivo de configuración expuesto, en variables WEBHOOK_URL de un .env de pruebas.
Simula un archivo .env accesible públicamente con credenciales de producción falsas completas: base de datos, AWS, Stripe, SendGrid. Los atacantes que buscan secretos expuestos acceden a él, registrando su IP y origen.
¿Cuándo usarlo?
Cuando quieres detectar bots y atacantes que escanean repositorios o URLs en busca de archivos de configuración expuestos accidentalmente. Es el tipo preferido de los scrapers automáticos.
Contenido que ve el atacante
DB_HOST=postgres-internal.empresa.local
DB_PASS=Sup3rS3cr3t!
AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
STRIPE_SECRET_KEY=sk_live_fake_honeypot_key
✅ Se registra quién accede, desde dónde y con qué herramienta
Dónde desplegarlo: como URL en el README de un repositorio público de pruebas, en un Gist de GitHub, expuesto en un servidor web de staging en la ruta /.env.
Simula el webhook de un bot de Telegram. Acepta actualizaciones como si fuera un bot real y responde con OK, registrando a todo el que intente interactuar con él o inyectar comandos.
¿Cuándo usarlo?
Cuando quieres detectar atacantes que buscan tokens de bots de Telegram expuestos para tomar el control del bot, enviar mensajes en tu nombre o espiar conversaciones.
Respuesta que ve el atacante
{"ok":true}
✅ Queda registrado el payload del webhook y la IP origen
Dónde desplegarlo: como TELEGRAM_WEBHOOK_URL en variables de entorno de un proyecto expuesto, en código subido accidentalmente a GitHub.
04. Estrategias de despliegue
La URL trampa es inútil si nadie la encuentra. Aquí tienes estrategias reales para que los atacantes la descubran de forma natural.
🗄️ Repositorio de pruebas con .env expuesto
Crea un repositorio de GitHub público o privado de pruebas y añade un archivo .env o README que incluya la URL del honeybot como si fuera una API real de tu empresa. Los bots que escanean GitHub en busca de secretos la encontrarán.
📋 Notion o documentación interna filtrada
Añade la URL del honeybot en una página de Notion marcada como "API interna — staging". Si alguien con acceso indebido navega por tu Notion, la encontrará e intentará usarla.
💬 Comentario en código publicado
En un repositorio de código real, añade un comentario del tipo // TODO: mover a variable de entorno — por ahora: https://api.empresa.com/v2 usando la URL del honeybot. Los atacantes que revisan el código lo encontrarán.
🌐 Servidor staging accesible desde internet
Si tienes un servidor de staging, configura la URL del honeybot como endpoint de algún servicio. Los escáneres automáticos tipo Shodan lo indexarán.
📧 Email con datos de acceso falsos
Si sospechas que alguien puede estar monitorizando tus comunicaciones internas, envía un email con la URL del honeybot como "API de acceso temporal". Si alguien intenta usarla, lo sabrás.
05. Alertas Telegram
Recibe una notificación instantánea en Telegram cada vez que un honeybot sea activado, con todos los datos del atacante.
Cómo configurarlo:
- 1. Abre Telegram y busca @ProxychacalAlerts_bot
- 2. Pulsa Start o escribe
/start
- 3. El bot te responde con tu Chat ID (un número)
- 4. Ve al panel → Perfil → sección Telegram
- 5. Pega el Chat ID y pulsa Conectar
Una vez conectado recibirás mensajes como este en cada activación:
🍯 HoneyBot activado
🤖 Bot: API corporativa falsa
🔗 Endpoint: POST /api/auth/login
🌐 IP: 185.220.101.45
🇷🇺 País: RU — Moscú
🏢 ISP: AS60068 Datacamp Limited
🎯 Técnica: credential_harvest
⏰ 04/05/2026 16:42:31
📦 Payload:
{"username":"admin","password":"admin123"}
06. Técnicas de ataque detectadas
Cada interacción es analizada automáticamente para identificar la técnica usada por el atacante.
sql_injection
Payloads con ' OR, UNION SELECT, DROP TABLE. Indica un atacante que busca vulnerabilidades SQL.
xss_attempt
Payloads con <script>, javascript:, onerror=. Intento de inyección de código en interfaz.
recon_sensitive
Accesos a /admin, /config, /.env, /backup. Reconocimiento de endpoints sensibles.
credential_stuffing
Autenticación Basic sin Bearer. Uso de credenciales robadas de otras brechas.
credential_harvest
Payloads con password, passwd, secret. Intento de extracción de credenciales.
api_recon
Accesos a /api/, /v1/, /graphql. Escaneo de la estructura de la API.
generic_probe
Cualquier otro acceso. Puede ser un escáner automático, bot o atacante en fase de reconocimiento inicial.
07. Whitelist de IPs
Evita que tus propias IPs queden registradas como eventos. Útil cuando quieres probar el honeybot sin contaminar los datos.
¿Cómo funciona?
- 1. Ve a Mis Honeybots → botón ✏️ Editar en el honeybot que quieras configurar
- 2. En el campo Whitelist de IPs introduce las IPs separadas por comas
- 3. Guarda los cambios
- 4. Cualquier petición desde esas IPs será ignorada — no se registrará como evento ni enviará alerta Telegram
Ejemplo de whitelist
85.123.45.67, 192.168.1.1, 10.0.0.5
¿Cuándo usar la whitelist?
Pruebas propias
Añade tu IP pública para probar el honeybot sin que aparezca en los eventos.
Equipo interno
Excluye las IPs de tu oficina o VPN si tienes compañeros que puedan acceder accidentalmente a la URL trampa.
Pentester contratado
Si tienes un auditor realizando pruebas, puedes excluir temporalmente su IP para separar sus accesos de los ataques reales.
💡 Consejo: Para conocer tu IP pública actual visita
ipinfo.io antes de configurar la whitelist.
08. Personalización de datos ficticios
Hace que el honeybot parezca un sistema real de tu empresa o del sector que quieras simular. Un atacante verá exactamente los datos que tú configures.
Cómo configurarlo:
- 1. Ve a Mis Honeybots → botón ✏️ Editar
- 2. En la sección Datos ficticios personalizados rellena los campos que quieras
- 3. Los campos vacíos usan valores genéricos por defecto
- 4. Guarda — los cambios se aplican inmediatamente en la siguiente petición
Campos configurables
Nombre empresa
Aparece en los emails ficticios de usuarios, en la URL de Redis y en el archivo .env como APP_NAME.
DB host
Servidor de base de datos ficticio que verá el atacante en /admin/config y en el .env.
DB nombre / usuario
Credenciales de base de datos ficticias. Hazlas creíbles pero que no coincidan con las reales.
DB contraseña
La contraseña ficticia de BD. Usa un formato realista: Empr3sa#2024!. Nunca uses tu contraseña real.
JWT Secret
Clave ficticia de firma JWT. Aparece en /admin/config y en el .env.
AWS Access Key
Clave AWS ficticia. Formato real: AKIAIOSFODNN7EXAMPLE. Nunca uses claves reales.
Versión de app
Versión ficticia que aparece en las respuestas de configuración. Ej: 3.2.1.
Ejemplo real — antes y después
Sin personalizar
DB_HOST=postgres-internal.empresa.local
DB_NAME=empresa_prod
DB_PASS=Sup3rS3cr3t!
JWT_SECRET=empresa-secret-2024
Personalizado ✅
DB_HOST=db01.acmecorp.internal
DB_NAME=acme_production
DB_PASS=Acm3#Pr0d2024!
JWT_SECRET=acme-jwt-prod-v3
Un atacante que vea datos personalizados creerá que encontró el sistema real de tu empresa, aumentando la probabilidad de que interactúe más y revele su técnica completa.
⚠️ Importante — seguridad
Nunca introduzcas credenciales, claves o secretos reales en los campos de datos ficticios.
El objetivo es usar datos verosímiles pero completamente falsos.
Si un atacante llega a intentar usar esas credenciales, no deben funcionar en ningún sistema real.
09. Preguntas frecuentes
¿Tengo que instalar algo en mi servidor?
No. Los honeybots son URLs alojadas en nuestra infraestructura. Solo tienes que crear el honeybot en el panel y colocar la URL estratégicamente.
¿Es legal usar honeybots?
Sí. Los honeybots son una técnica defensiva legítima ampliamente usada en ciberseguridad. No capturan datos de usuarios reales, solo registran accesos no autorizados a trampas.
¿Qué pasa si alguien accede a la URL trampa por error?
Quedará registrado como cualquier otro evento. Puedes ignorar eventos de IPs conocidas tuyas. En el futuro añadiremos opción de whitelist de IPs.
¿El atacante sabe que es un honeypot?
No. Las respuestas están diseñadas para parecer sistemas reales. Un atacante que accede a /admin/config recibe credenciales de BD falsas que parecen reales.
¿Puedo usar la misma URL trampa en varios sitios?
Sí. Puedes compartir la misma URL en múltiples lugares. Si quieres identificar exactamente desde qué canal vino el atacante, crea un honeybot diferente para cada canal.
¿Cuánto tiempo se guardan los eventos?
Indefinidamente mientras tu cuenta esté activa. Puedes exportar todos los eventos a CSV en cualquier momento desde la sección Eventos del panel.
ChacalHoneybots