Honeyfile
¿Qué es Honeyfile?
HoneyfileDocumento señuelo colocado en el almacenamiento para generar una alerta si un atacante o usuario interno lo lee, copia o exfiltra.
Un honeyfile es un documento falso pero creíble — por ejemplo passwords.xlsx, contratos-2026.docx o aws-keys.txt — colocado en directorios donde es probable que un atacante curioso o un insider deshonesto navegue. El archivo no contiene valor real, pero está instrumentado para que cualquier acceso dispare una alerta inmediata y de alta fidelidad. Los honeyfiles son baratos, generan pocos falsos positivos y son eficaces para detectar movimiento lateral, reconocimiento de ransomware y robo de datos. Se despliegan habitualmente en recursos compartidos de archivos, endpoints y buckets en la nube, en combinación con EDR y DLP, como parte de una estrategia de engaño.
● Ejemplos
- 01
Un falso passwords.xlsx en una unidad compartida que avisa al SOC al abrirse.
- 02
Un archivo canario con credenciales AWS que se dispara al usarse contra la API de IAM.
● Preguntas frecuentes
¿Qué es Honeyfile?
Documento señuelo colocado en el almacenamiento para generar una alerta si un atacante o usuario interno lo lee, copia o exfiltra. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Honeyfile?
Documento señuelo colocado en el almacenamiento para generar una alerta si un atacante o usuario interno lo lee, copia o exfiltra.
¿Cómo funciona Honeyfile?
Un honeyfile es un documento falso pero creíble — por ejemplo passwords.xlsx, contratos-2026.docx o aws-keys.txt — colocado en directorios donde es probable que un atacante curioso o un insider deshonesto navegue. El archivo no contiene valor real, pero está instrumentado para que cualquier acceso dispare una alerta inmediata y de alta fidelidad. Los honeyfiles son baratos, generan pocos falsos positivos y son eficaces para detectar movimiento lateral, reconocimiento de ransomware y robo de datos. Se despliegan habitualmente en recursos compartidos de archivos, endpoints y buckets en la nube, en combinación con EDR y DLP, como parte de una estrategia de engaño.
¿Cómo defenderse de Honeyfile?
Las defensas contra Honeyfile combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Honeyfile?
Nombres alternativos comunes: Archivo señuelo, Archivo canario.
● Términos relacionados
- defense-ops№ 293
Tecnología de engaño
Enfoque defensivo que despliega señuelos, migas de pan y activos falsos en todo el entorno para detectar, despistar y estudiar a los atacantes con alta fidelidad.
- defense-ops№ 487
Honeyuser
Identidad falsa provista en los servicios de directorio y sistemas de RR.HH. para que cualquier intento de inicio de sesión o enumeración revele de inmediato a un atacante.
- defense-ops№ 482
Cuenta señuelo (Honey Account)
Credencial o cuenta señuelo —a menudo sin persona completa— diseñada para activar alertas cuando un atacante intenta usarla.
- network-security№ 486
Honeytoken
Dato falso —credencial, archivo, registro o clave de API— que no tiene uso legítimo y dispara una alerta en cuanto se utiliza.
- network-security№ 485
Honeypot
Sistema o servicio señuelo expuesto deliberadamente para atraer atacantes, observar sus técnicas y desviarlos de los activos productivos.
- defense-ops№ 012
Defensa activa
Estrategia defensiva que va más allá de la supervisión pasiva para enfrentar, engañar e interrumpir a los adversarios dentro de los propios activos del defensor.