The Hacker's Path: Guía Complementaria
Esta guía acompaña a Parte 1: Introducción y Parte 2: Dominio de Flipper. Aprendiste el ataque. Ahora construye tu defensa.
El mes pasado investigué los precios de plataformas comerciales de honeypot. Thinkst Canary cobra $5,000/año por cinco dispositivos. Otros proveedores cobran por sensor, por mes, y tus datos de amenazas pasan primero por su infraestructura. Ellos ven a tus atacantes antes que tú.
Eso es absurdo.
Un honeypot es un sistema señuelo diseñado para ser atacado. Despliegas servicios falsos como SSH, SMB y FTP, y observas lo que sucede. Los atacantes creen que están irrumpiendo en un servidor real, pero en realidad te están entregando inteligencia sobre sus herramientas, técnicas y objetivos. Es defensa ofensiva.
El concepto es simple. La implementación no debería costar una hipoteca.
Así que construimos HoneyAegis: una plataforma honeypot auto-alojada, nativa de Docker, con análisis de IA local. Una Raspberry Pi 5 ejecuta los sensores. Un viejo portátil Alienware ejecuta el cerebro. Todo se queda en tu red. Sin nube. Sin suscripciones. Sin que ningún proveedor vea tus datos de amenazas antes que tú.
Despliégalo en una tarde. Sé dueño de todo para siempre.
¿Qué es un honeypot?
Antes de construir, aclaremos qué estamos construyendo.
Un honeypot es un sistema deliberadamente vulnerable desplegado para atraer atacantes. Se ve lo suficientemente real como para engañar a escáneres automáticos y hackers curiosos, pero es completamente falso. No hay datos reales, no hay usuarios reales, no hay servicios reales, solo emulaciones que registran todo.
¿Por qué querrías uno?
- Alerta temprana: Los atacantes golpean tu honeypot antes que tus sistemas reales. Los ves venir.
- Inteligencia de amenazas: Aprende qué herramientas usan, qué credenciales prueban, qué buscan.
- Patrones de ataque: Construye una base de datos de técnicas específicas para la exposición de tu red.
- Entrenamiento: Observa ataques reales desarrollarse. Mejor que cualquier simulación.
- Pruebas de penetración: Un objetivo seguro para tus propios ejercicios ofensivos.
Qué emula HoneyAegis
Cowrie: Honeypot de SSH y Telnet. Registra transcripciones completas de sesiones, captura credenciales, registra comandos.
Dionaea: Captura malware. Emula SMB, FTP, HTTP y otros servicios. Almacena cargas útiles para análisis.
OpenCanary: Honeypot multiservicio. Emula recursos compartidos de Windows, MySQL, SSH y más. Altamente configurable.
La arquitectura de dos nodos
HoneyAegis usa una separación deliberada: el sensor está expuesto a internet, el cerebro permanece protegido.
Internet ──► Router (reenvío de puertos) ──► Pi 5 SENSOR
│
│ Vector (logs)
▼
Red Interna ◄──────► Alienware CEREBRO
│
├── PostgreSQL + TimescaleDB
├── FastAPI Backend
├── Ollama (IA local)
├── Next.js Dashboard
└── Redis + Celery¿Por qué separarlos?
El sensor está intencionalmente expuesto. Será atacado. Ese es todo el punto. Si algo sale catastróficamente mal, si un atacante escapa de los contenedores del honeypot, el Pi es un dispositivo de $60 que no tiene nada excepto señuelos. Límpialo. Redespliega. Treinta minutos.
El cerebro contiene todo lo valioso: tu base de datos, tu dashboard, tu análisis de IA, tus datos históricos de ataques. Nunca toca internet. Se sienta en tu red interna, recibiendo logs del sensor por un canal seguro.
⚠️ El cerebro NUNCA debe estar expuesto a internet
Reenviar puertos al cerebro es comprometer al instante. El cerebro tiene tu base de datos PostgreSQL, tu API, tu dashboard. Exponerlo es invitar a atacantes a tu infraestructura real. Solo el sensor recibe reenvío de puertos. Solo puertos de honeypot. Nada más.
Configuración de hardware
Esto es lo que usamos. No es la única configuración válida, es nuestra configuración óptima usando hardware que ya teníamos.
NODO 1 — SENSOR (Raspberry Pi 5 4GB)
| Componente | Especificación |
|---|---|
| Rol | Sensor dedicado de honeypot |
| SO | Raspberry Pi OS (64-bit) |
| CPU | Broadcom BCM2712, quad-core Cortex-A76 @ 2.4 GHz |
| RAM | 4 GB LPDDR4X |
| Almacenamiento | microSD o NVMe vía HAT |
| Servicios | Cowrie, Dionaea, OpenCanary, Vector, plugins de HoneyAegis |
| Uso de RAM | ~2-2.5 GB estimado |
| Red | Expuesto a internet (solo puertos de honeypot) |
NODO 2 — CEREBRO (Alienware 15 R3)
| Componente | Especificación |
|---|---|
| Rol | Backend, análisis de IA, dashboard, base de datos |
| SO | Kali GNU/Linux 2025.4 (rolling) |
| CPU | Intel Core i7-7700HQ (4 núcleos / 8 hilos @ 2.8 GHz) |
| GPU | NVIDIA GeForce GTX 1070 Mobile — 8 GB VRAM |
| RAM | 16-32 GB (16 GB mínimo recomendado) |
| NIC | Qualcomm Atheros Killer E2500 Gigabit Ethernet |
| Servicios | FastAPI, PostgreSQL+TimescaleDB, Redis, Celery, Ollama, Next.js, Traefik |
| Uso de RAM | ~7.2 GB estimado |
| Red | Solo interna — NUNCA expuesta |
¿Por qué la GTX 1070?
La IA local requiere aceleración por GPU para ser útil. La GTX 1070 tiene 8GB de VRAM, suficiente para ejecutar Ollama con llama3.1:8b cómodamente. Esto te da resúmenes de amenazas generados por IA sin enviar datos a OpenAI o Anthropic. La IA explica qué están haciendo los atacantes en lenguaje sencillo, completamente en tu hardware.
Configuración paso a paso: Sensor Pi 5
Construyamos esto desde cero. Empezaremos con el sensor, el Pi 5 que está expuesto a internet.
Fase 1: Configuración del sensor Raspberry Pi 5
Tiempo: 45 minutos
Requisitos: Raspberry Pi 5 (4GB), tarjeta microSD o HAT NVMe, fuente de alimentación, cable Ethernet, otra computadora con SSH
1.1 Instalar Raspberry Pi OS
Descarga Raspberry Pi Imager en tu computadora. Inserta tu tarjeta microSD.
# En Raspberry Pi Imager:
# 1. Choose Device: Raspberry Pi 5
# 2. Choose OS: Raspberry Pi OS Lite (64-bit)
# 3. Choose Storage: Your microSD card
# 4. Click the gear icon for advanced options:
# - Set hostname: honeypot-sensor
# - Enable SSH with password authentication
# - Set username/password (not pi/raspberry)
# - Configure WiFi if needed (but use Ethernet)
# 5. Write the imageInserta la tarjeta en tu Pi 5, conecta Ethernet y enciéndelo.
1.2 Configuración inicial
Conéctate por SSH a tu Pi:
bash# Desde tu computadora
ssh [email protected]
# Actualizar todo
sudo apt update && sudo apt upgrade -y
# Instalar herramientas esenciales
sudo apt install -y git curl vim htop1.3 Configurar IP estática
Tu Pi necesita una IP predecible para el reenvío de puertos. Reemplaza las direcciones IP con el esquema de tu red:
bash# Verificar el nombre de tu conexión actual
nmcli con show
# Configurar IP estática (ajusta para tu red)
sudo nmcli con mod "Wired connection 1" ipv4.addresses 192.168.1.50/24
sudo nmcli con mod "Wired connection 1" ipv4.gateway 192.168.1.1
sudo nmcli con mod "Wired connection 1" ipv4.dns "8.8.8.8,8.8.4.4"
sudo nmcli con mod "Wired connection 1" ipv4.method manual
sudo nmcli con up "Wired connection 1"
# Verificar
ip addr show eth01.4 Instalar Docker
bash# Instalar Docker usando el script de conveniencia
curl -fsSL https://get.docker.com -o get-docker.sh
sudo sh get-docker.sh
# Agregar tu usuario al grupo docker
sudo usermod -aG docker $USER
# Instalar el plugin de Docker Compose
sudo apt install -y docker-compose-plugin
# Cerrar sesión y volver a entrar para los cambios de grupo
exit
# Reconectar por SSH, luego verificar
docker --version
docker compose version1.5 Desplegar el sensor HoneyAegis
bash# Clonar el repositorio
git clone https://github.com/thesecretchief/HoneyAegis.git
cd HoneyAegis
# Copiar la plantilla de entorno
cp .env.example .env
# Editar configuración
nano .envEn el archivo .env, configura estos valores:
bash# Sensor configuration
HONEYAEGIS_MODE=sensor
BRAIN_HOST=192.168.1.100 # Your Alienware's IP
SENSOR_NAME=pi5-sensor-01Despliega el stack del sensor:
bash# Iniciar servicios del sensor
docker compose --profile sensor up -d
# Observar los contenedores inicializarse
docker ps
# Expected containers:
# - honeyaegis-cowrie (SSH/Telnet honeypot)
# - honeyaegis-dionaea (malware capture)
# - honeyaegis-opencanary (multi-service)
# - honeyaegis-vector (log shipper)
# Verificar logs para confirmar que todo funciona
docker compose logs -f
Configuración paso a paso: Cerebro Alienware
Ahora el cerebro, el nodo protegido que procesa todo.
Fase 2: Configuración del cerebro Alienware
Tiempo: 30 minutos
Requisitos: Kali Linux instalado, drivers NVIDIA configurados, conectado a la misma red que el Pi
2.1 Verificar Kali y NVIDIA
bash# Verificar versión de Kali
cat /etc/os-release
# Verificar que el driver NVIDIA funciona
nvidia-smi
# You should see:
# - Driver version (535+ recommended)
# - GTX 1070 with ~8GB VRAM
# - CUDA version2.2 Instalar Docker en Kali
bash# Actualizar e instalar Docker
sudo apt update
sudo apt install -y docker.io docker-compose-v2
# Habilitar e iniciar Docker
sudo systemctl enable docker
sudo systemctl start docker
# Agregar tu usuario al grupo docker
sudo usermod -aG docker $USER
# Cerrar sesión y volver a entrar, luego verificar
docker --version
docker compose version2.3 Instalar NVIDIA Container Toolkit
Esto permite que los contenedores Docker accedan a tu GPU, necesario para Ollama:
bash# Add NVIDIA container toolkit repository
distribution=$(. /etc/os-release; echo $ID$VERSION_ID)
curl -s -L https://nvidia.github.io/nvidia-docker/gpgkey | sudo apt-key add -
curl -s -L https://nvidia.github.io/nvidia-docker/$distribution/nvidia-docker.list | \
sudo tee /etc/apt/sources.list.d/nvidia-docker.list
# Install the toolkit
sudo apt update
sudo apt install -y nvidia-container-toolkit
# Configure Docker to use NVIDIA runtime
sudo nvidia-ctk runtime configure --runtime=docker
sudo systemctl restart docker
# Test GPU access in a container
docker run --rm --gpus all nvidia/cuda:12.0-base nvidia-smi2.4 Desplegar el cerebro HoneyAegis
bash# Clonar el repositorio
git clone https://github.com/thesecretchief/HoneyAegis.git
cd HoneyAegis
# Copiar la plantilla de entorno
cp .env.example .env
# Editar configuración
nano .envConfigura el cerebro:
bash# Brain configuration
HONEYAEGIS_MODE=brain
OLLAMA_GPU=true
POSTGRES_PASSWORD=your-strong-password-here
JWT_SECRET=another-strong-secret
ADMIN_PASSWORD=dashboard-admin-passwordDespliega:
bash# Iniciar el stack completo del cerebro
docker compose --profile brain up -d
# Esto toma algunos minutos en la primera ejecución
# Observar el progreso:
docker compose logs -f
# Una vez que los contenedores estén arriba, descargar el modelo de IA
docker exec -it honeyaegis-ollama ollama pull llama3.1:8b
# This downloads ~4.7GB - takes a few minutes
# Verificar todos los contenedores
docker ps
# Expected containers:
# - honeyaegis-fastapi (API backend)
# - honeyaegis-postgres (database)
# - honeyaegis-redis (cache/queue)
# - honeyaegis-celery (background workers)
# - honeyaegis-ollama (local AI)
# - honeyaegis-nextjs (dashboard)
# - honeyaegis-traefik (reverse proxy)
Punto clave
Tu sensor honeypot está intencionalmente expuesto. Tu nodo cerebro nunca debe estarlo. Esta separación es la base de toda la arquitectura. Si los atacantes escapan de un contenedor en el Pi, no encuentran nada de valor. Tus datos, dashboard y análisis de IA permanecen seguros en la red interna.
Configuración de red
Aquí es donde la gente comete errores. Lee con atención.
⚠️ Reglas de reenvío de puertos
SOLO reenvía estos puertos al sensor Pi:
| Servicio | Puerto externo | Puerto interno (Pi) | Protocolo |
|---|---|---|---|
| SSH Honeypot | 22 | 2222 | TCP |
| Telnet Honeypot | 23 | 2223 | TCP |
| FTP Honeypot | 21 | 2121 | TCP |
| SMB Honeypot | 445 | 4450 | TCP |
NUNCA reenvíes estos:
- Puerto 3000 (Dashboard)
- Puerto 8000 (API)
- Puerto 5432 (PostgreSQL)
- Puerto 6379 (Redis)
- Ningún puerto al Alienware
Ingresa a tu router y configura el reenvío de puertos hacia la IP estática del Pi (192.168.1.50 en nuestro ejemplo). Los servicios del honeypot se ejecutan en puertos altos internamente, pero los atacantes los ven en puertos estándar externamente.
Acceder al dashboard
Desde cualquier computadora en tu red interna:
bash# Abrir en el navegador:
http://192.168.1.100:3000
# Default credentials (change immediately!):
# Username: admin
# Password: (what you set in ADMIN_PASSWORD)Lo que verás:
- Feed de ataques en tiempo real: Transmisión en vivo de ataques entrantes mientras ocurren
- Mapa GeoIP: Representación visual de dónde se originan los ataques
- Grabaciones de sesiones: Transcripciones completas de sesiones SSH/Telnet, exportables como MP4/GIF
- Resúmenes de IA: Explicaciones generadas por Ollama de patrones de ataque en lenguaje sencillo
- Estadísticas: Frecuencia de ataques, credenciales comunes, servicios objetivos
- Configuración de alertas: Configura notificaciones de Slack, Discord, email vía Apprise
Usar HoneyAegis para pruebas de penetración
Aquí es donde se pone divertido. Tu honeypot es un objetivo seguro para practicar técnicas ofensivas.
Ejercicio: Ataca tu propio honeypot
Desde Kali (apuntando a la IP interna del Pi):
- Ejecuta nmap contra el Pi para ver los servicios expuestos
- Intenta fuerza bruta SSH con Hydra
- Prueba enumeración SMB
- Observa cómo el dashboard se ilumina en tiempo real
- Lee el análisis de la IA sobre tu ataque
bash# Escanear tu honeypot
nmap -sV -p 22,23,445,21 192.168.1.50
# Fuerza bruta SSH (Cowrie aceptará todo y lo registrará)
hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.50:2222
# Conectar manualmente y explorar
ssh [email protected] -p 2222
# Try common passwords - Cowrie accepts them
# Revisa el dashboard - tu sesión aparece al instante
# Observa cómo la IA explica lo que hicisteIntegración con The Hacker's Path:
- Parte 3 (Fundamentos de Kali): Usa tu honeypot como objetivo de reconocimiento
- Parte 4 (Explotación): Practica Metasploit contra tu entorno controlado
- Parte 5 (Auditoría completa): Incluye el despliegue de honeypot como componente defensivo
¿Qué hay de Home Assistant en el mismo Pi?
Respuesta corta: No lo hagas.
⚠️ Mantén tu honeypot aislado
Tu sensor honeypot está intencionalmente expuesto a internet. Será atacado, ese es todo el punto. Ejecutar Home Assistant en el mismo dispositivo pone los controles de tu hogar inteligente a un escape de contenedor de distancia de los atacantes. Si algo sale mal, quieres que el radio de explosión se limite a servicios falsos, no a tus cerraduras reales y termostato. Usa un Pi separado para Home Assistant.
¿La buena noticia? Esos ~1.5 GB de margen no se desperdician. HoneyAegis tiene espacio para crecer.
Mejores usos para la capacidad de tu Pi
En lugar de amontonar servicios no relacionados en un dispositivo expuesto, usa ese margen para capacidades de honeypot más profundas:
Presupuesto de RAM del Pi 5 4GB (sensor dedicado)
| Sobrecarga del sistema | ~500 MB |
|---|---|
| Cowrie (SSH/Telnet) | ~300 MB |
| Dionaea (captura de malware) | ~400 MB |
| OpenCanary (multiservicio) | ~200 MB |
| Vector (envío de logs) | ~100 MB |
| Total base | ~1.5 GB |
| Disponible para expansión | ~2.5 GB |
Hoja de ruta: Próximamente en HoneyAegis
Estamos desarrollando activamente módulos de sensor adicionales para el proyecto HoneyAegis en GitHub. Las adiciones planificadas incluyen:
- Conpot (~200 MB) — Honeypot de sistemas de control industrial. Emula PLCs y sistemas SCADA.
- Mailoney (~100 MB) — Honeypot SMTP. Captura bots de spam y recolectores de credenciales.
- Elasticpot (~150 MB) — Honeypot de Elasticsearch. Atrapa bots que escanean clústeres expuestos.
- ADBHoney (~100 MB) — Honeypot de Android Debug Bridge. Detecta atacantes que apuntan a dispositivos móviles.
- Honey tokens — Credenciales falsas de AWS y claves API que disparan alertas cuando se usan.
La arquitectura está preparada para esto. HoneyAegis usa una estructura modular de Docker Compose: cada nuevo honeypot se agrega como un contenedor con Vector enviando sus logs al cerebro. Dale estrella al repositorio para seguir el desarrollo, o contribuye tus propios módulos.
El principio: Mantén tu sensor honeypot haciendo una cosa bien: ser un objetivo atractivo y aislado que alimenta inteligencia a tu cerebro. Ejecuta Home Assistant en un dispositivo separado donde corresponde.
Lectura relacionada: Operation Smart Home cubre configuraciones dedicadas de Home Assistant, y Your WiFi Can See You Moving explica la detección WiFi en su propio hardware.
Solución de problemas y mantenimiento
bash# Ver logs (ambos nodos)
docker compose logs -f
docker compose logs -f service-name
# Reiniciar un servicio
docker compose restart cowrie
# Verificar uso de recursos de contenedores
docker stats
# Respaldo de base de datos (en el cerebro)
docker exec honeyaegis-postgres pg_dump -U honeyaegis honeyaegis > backup.sql
# Actualizar HoneyAegis
git pull
docker compose pull
docker compose up -d
# Limpiar datos de ataque antiguos (¡cuidado!)
docker exec honeyaegis-postgres psql -U honeyaegis -c \
"DELETE FROM sessions WHERE created_at < NOW() - INTERVAL '30 days';"Problemas comunes:
- Conflictos de puertos: Otro servicio usando los puertos del honeypot. Verificar con
netstat -tlnp - Incompatibilidad de driver NVIDIA: La versión del toolkit de contenedores debe coincidir con el driver. Reinstalar el toolkit después de actualizar drivers.
- Vector no envía logs: Verificar
docker compose logs vector. Generalmente es un problema de red/firewall entre los nodos. - Ollama lento: Verificar acceso a GPU con
docker exec honeyaegis-ollama nvidia-smi
¿Qué sigue?
Ahora tienes una red honeypot en producción generando inteligencia de amenazas real. Así es como evolucionarla:
- Déjala correr una semana. Te sorprenderá la rapidez con que aparecen los ataques, generalmente en cuestión de horas.
- Ajusta la "adherencia" del honeypot. Configura Cowrie para emular un sistema de archivos más realista, manteniendo a los atacantes enganchados más tiempo.
- Agrega honey tokens. Despliega credenciales falsas que disparen alertas instantáneas cuando se usen.
- Integra feeds de amenazas. Conéctate a MISP o AbuseIPDB para contexto enriquecido sobre atacantes.
- Expande tu flota de sensores. Despliega sensores Pi adicionales en diferentes puntos de salida de la red.
Las plataformas comerciales cobran $5,000/año para mostrarte qué está atacando tu red. Acabas de construir la misma capacidad por el costo de un Pi y algo de electricidad. Los atacantes van a venir te observes o no. Ahora los estás observando.
Lista de verificación de despliegue
☐ Pi 5: IP estática asignada, Docker instalado, stack del sensor corriendo
☐ Alienware: NVIDIA toolkit instalado, Docker corriendo, stack del cerebro desplegado
☐ Ollama: Modelo llama3.1:8b descargado, aceleración por GPU verificada
☐ Red: Reenvío de puertos configurado (¡solo puertos de honeypot!)
☐ Aislamiento del cerebro: Verificado que el cerebro NO tiene exposición a internet
☐ Dashboard: Accesible en la IP interna, contraseña de admin cambiada
☐ Vector: Logs fluyendo del sensor al cerebro
☐ Primer ataque: Probado atacando tu propio honeypot
☐ Análisis de IA: Verificado que Ollama genera resúmenes de amenazas
The Hacker's Path
Esta guía acompaña a la serie de seguridad.
Parte 1: Introducción Parte 2: Dominio de Flipper Guía HoneyAegis ✓ Parte 3: Fundamentos de Kali Parte 4: Explotación
