Menú
Domingo, 25 de Enero de 2026
Diario de Economía de la Región de Murcia
OPINIÓNCanarytokens.org, cómo convertir a un atacante en presa: señuelos
  • Buscar
Domingo, 25 de Enero de 2026
Diario de Economía de la Región de Murcia

DIARIO DE ECONOMÍA DE LA REGIÓN DE MURCIA

Aquilino García

Canarytokens.org, cómo convertir a un atacante en presa: señuelos

 

Después de unos días de gripe … volvemos a la carga

 

¿Canary tokens?: ¿Qué son los canary tokens?

 

Un señuelo. ¿qué es un señuelo? En el cuento de Pulgarcito, dejaba caer piedrecitas para reconstruir el camino de vuelta. Así funcionan los canary tokens, dejas piedrecitas para que los atacantes se entretengan, solo que el camino no va a ninguno concreto.

 

Los canary tokens son sensores de intrusión muy sencillos: pequeños recursos (URL, archivos, claves o credenciales) diseñados para que un atacante los encuentre y los utilice, desviando la atención y dejándonos pistas de que las piedrecitas han sido usadas. La documentación oficial de Canarytokens los describe como sensores de movimiento para redes, ordenadores y nubes: se colocan en carpetas, dispositivos de red o incluso en el teléfono, y se obtiene un aviso claro si alguien interactúa con ellos. Son una versión destilada de la plataforma comercial Canary, pero pensadas para ser gratuitas y ligeras; no requieren instalar agentes ni procesos que ralenticen el equipo.

 

Un canary token es diferente de un honeypot tradicional (Un honeypot o «jarrita de miel»). Mientras que un honeypot simula todo un sistema para atraer intrusos, los canary tokens son señuelos diminutos que se colocan en sistemas reales; cuando alguien accede a ellos, envían un aviso al propietario.

 

Un canary token es un señuelo (archivo, URL, email, Word, PDF, QR, API keys, etc.) incrustado en lugares legítimos para atraer a los atacantes; al abrirlo, la víctima envía una petición web y el token dispara una alerta con la IP, el nombre del token y la hora. Estos señuelos se parecen a los web beacons utilizados para marketing: un archivo incrustado que, al cargarse, realiza una petición HTTP que revela quién lo ha usado.

 

[Img #11567]

 

Ventajas de utilizar canary tokens

 

  • Detectar accesos no autorizados. Los tokens generan una alarma cuando son activados. Incluso en entornos con herramientas SIEM, estos sensores ofrecen detección rápida en lugares donde no existen alertas de otra forma.

 

  • Sencillez. Para utilizarlos basta con visitar la web, elegir un tipo de token, introducir un correo electrónico de notificación y un recordatorio, descargar el archivo y colocarlo donde interese. No requieren instalaciones ni privilegios especiales.

 

  • Variedad de formatos. La lista disponible en canarytokens.org incluye desde URL y resoluciones DNS, hasta credenciales AWS, documentos Word, PDF, claves SSH, imágenes, QR, certificados, claves de Azure, carpetas de red o configuraciones de WireGuard.

 

  • Escalabilidad y bajo coste. Al ser un servicio gratuito, se pueden desplegar cientos o miles de tokens; si se necesita más control, puede instalarse una instancia propia que utilice dominios personalizados.

 

Cómo crear canary tokens con canarytokens.org

 

Vamos a describir una posibilidad real. Tenemos hijos, adolescentes. Podemos darles una «aplicación», por ejemplo con un icono como «Revolut» que al pulsarlo, nos dan la ubicación, incluso lanzaría una foto con la cámara del móvil.

 

El proceso general para cualquier token es similar:

 

  1. Acceder a canarytokens.org y seleccionar el tipo de token deseado.

  2. Introducir un correo electrónico o webhook donde se recibirán las alertas, y escribir un memo descriptivo para recordar dónde se colocará el token. La guía recomienda que el memo sea detallado; una alerta “test” sin contexto no ayuda a saber dónde estaba el señuelo.

  3. Crear y descargar el token. Dependiendo del tipo, se obtiene una URL, un dominio, un archivo o un conjunto de claves.

  4. Colocar el token en un lugar tentador y esperar. Si un atacante lo acciona, se recibirá un correo con la fecha, la IP y el tipo de token accionado.

 

Ejemplo 1: token de Web bug (HTTP)

 

Un token HTTP genera una URL única. Cualquier acceso a la URL provoca una alerta. Para crearlo:

 

  1. Visitar canarytokens.org y elegir Web bug.

  2. Introducir el correo de notificación y un memo como “Enlace señuelo en correo X”.

  3. Pulsar Create my Canarytoken y copiar la URL generada.

  4. Insertar la URL en el contenido de un correo o documento con un texto llamativo (“contraseñas” o “secret”) y guardar el mensaje sin leer.

 

Ejemplo 2: token DNS

 

Un token DNS crea un nombre de dominio único. Cualquier resolución de ese dominio envía una alerta. Pasos:

 

  1. Elegir DNS en canarytokens.org.

  2. Introducir correo y memo.

  3. El sistema devuelve un subdominio (por ejemplo abcd.o3n.io). Colocar este dominio en archivos de configuración, comentarios de código o scripts.

  4. Cuando alguien (o algún servicio) intenta resolverlo, se genera una notificación.

 

Los DNS tokens también permiten codificar datos dentro del dominio para transmitir información al dispararse; para ello se codifica en base 32 y se añade el token.

 

Ejemplo 3: token PDF

 

El token Adobe PDF genera un documento PDF que realiza una consulta DNS cuando se abre, notificando así su uso. Pasos:

 

  1. Seleccionar PDF en canarytokens.org y proporcionar correo y memo.

  2. Descargar el PDF tokenizado. Se puede mezclar con otros documentos para que resulte atractivo.

  3. Colocarlo en repositorios o carpetas; al abrirlo con un lector compatible, se enviará la alerta.

 

Otros formatos destacables

 

La plataforma ofrece decenas de tokens adicionales:

 

Tipo de token. Cómo funciona. Casos de uso

 

QR Code. Codifica una URL como un código QR; al escanearlo, se carga la URL y se envía la alerta. Pegarlo en objetos físicos o documentos (bajo la batería del teléfono, en un contenedor, en la mesa).

 

Carpeta de red. Crea un recurso WebDAV con usuario y contraseña; cualquier acceso al recurso (lectura, listado) genera aviso. Simular discos mapeados en Windows o Mac y atraer a los intrusos.

 

Dump MySQL. Inserta comandos SQL en un volcado; al importarse en MySQL, se dispara la alerta. Colocarlo junto a copias de seguridad para detectar filtraciones de bases de datos.

 

Tarjetas de crédito. Genera números de tarjeta que alertan si se procesan transacciones. Usarlo en bases de datos de pagos para detectar filtraciones.

 

QR y WireGuard Los tokens de WireGuard crean configuraciones de VPN que, al conectarse, envían la alerta; útiles para detectar intentos de conexión en dispositivos confiscados.

 

Tokens de infraestructura AWS. Permiten desplegar recursos ficticios (S3, DynamoDB, Secrets Manager) usando Terraform; interactuar con estas “trampas” desencadena avisos.

 

Consejos de despliegue

 

  • Nombres atractivos. Asignar nombres como “Passwords” o “Secret” a los archivos o carpetas señuelo para incitar al atacante.

 

  • Ubicación estratégica. Dispersar tokens en ordenadores de clientes, NAS, servidores web o bases de datos. Un token en el directorio raíz de un servidor web con un nombre sugerente como “Employees” puede delatar a un intruso.

 

  • Entornos colaborativos. Incrustar URLs de tokens en conversaciones de Slack o correos antiguos: cuando un atacante busque palabras como “password” y haga clic, quedará atrapado.

 

  • Otros ámbitos. Generar tokens AWS y mezclarlos con claves reales en repositorios privados, o insertar JavaScript de tokens en sitios para detectar clones maliciosos.

 

Análisis de otras herramientas similares, esto para técnicos

 

Aunque canarytokens.org es uno de los servicios más populares para crear honeytokens, existen herramientas alternativas y complementarias en el mercado. A continuación se analizan algunas de ellas:

 

SpaceSiren

 

  • Descripción. SpaceSiren es un gestor de tokens y sistema de alertas para entornos Amazon Web Services (AWS). Es un proyecto open source y sin servidor que permite crear hasta 10 000 honey tokens por instancia a un coste muy bajo.

 

  • Funcionamiento. Proporciona una API para crear usuarios IAM sin permisos y sus claves de acceso. Estas credenciales se diseminan en el código o en repositorios; si un atacante las usa, se envía una alerta. Los avisos pueden llegar por email, PagerDuty, Slack o Pushover.

 

  • Requisitos y coste. Utiliza Terraform y servicios de AWS como Lambda, DynamoDB y API Gateway, por lo que se necesita un dominio y una cuenta con permisos. El coste estimado es de 1 a 5 USD al mes.

 

GGCanary (GitGuardian Canary Tokens)

 

  • Descripción. GitGuardian ofrece ggcanary, un sistema de tokens que utiliza claves AWS como señuelos. Durante un seminario se mencionó que las credenciales AWS son uno de los secretos más filtrados; al exponer deliberadamente claves falsas, se aumenta la probabilidad de detectar intrusiones.

 

  • Características. ggcanary permite gestionar la infraestructura de tokens mediante Terraform, desplegar hasta 5 000 tokens, registrar todas las acciones en CloudTrail y enviar alertas por email en tiempo real. Está pensado para proteger la cadena de suministro de software (sistemas de control de versiones, pipelines CI/CD, repositorios de artefactos).

 

  • Ventajas. La integración con herramientas de IaC facilita la automatización y escalabilidad; además, GitGuardian dispone de funcionalidades adicionales de escaneo de secretos en repositorios.

 

NeroSwarm HoneyTokens

 

  • Descripción. NeroSwarm es una plataforma de ciber‑decepción que, además de honeypots, ofrece generación de honeytokens con contenido realista. La web indica que NeroSwarm utiliza emulación avanzada para simular cualquier dispositivo o entorno y atraer a los atacantes, proporcionando alertas tempranas.

 

  • Aplicación. El generador permite crear tokens en múltiples formatos (CSV, binarios, PDF, QR, URLs, etc.) y personalizarlos con contenido temático. Ofrece una versión gratuita y otra premium con tokens de mayor interacción.

 

Comparativa

 

Herramienta. Tipo de despliegue. Tipos de tokens. Ventajas. Limitaciones

 

Canarytokens.org. SaaS gratuito o instalación propia. Amplia variedad: web bug, DNS, AWS keys, documentos Office, QR, certificados, etc. Fácil de usar; sin coste; no requiere instalar software; aviso inmediato. Integración y personalización limitadas; nombre de dominio común (los atacantes podrían reconocerlo).

 

SpaceSiren. Open source, serverless en AWS. Credenciales IAM (AWS). Gestión masiva de hasta 10 000 tokens; API para automatización; múltiples canales de alerta. Requiere cuenta AWS, Terraform y administración del dominio; costes operativos (1–5 USD/mes).

 

GGCanary. SaaS/infraestructura gestionada. Claves AWS. Fácil integración con pipelines CI/CD y SCM; despliegue de 5 000 tokens; monitorización con CloudTrail. Centrado solo en AWS; requiere familiaridad con Terraform y claves; no cubre otros formatos de token.

 

NeroSwarm. SaaS (gratuito/premium). Ficheros, URLs, QR, binarios, etc. Tokens con contenido generado por IA; decoys de alta interacción; emula dispositivos para engañar a atacantes. Herramienta comercial; la versión gratuita puede tener límites; menos conocida en la comunidad.

 

Consideraciones finales

 

Los canary tokens permiten transformar el juego: en lugar de ser víctimas pasivas, las organizaciones pueden convertir a los atacantes en sus propios detectores. Al colocar señuelos atractivos en ubicaciones críticas —desktops, servidores, repositorios o comunicaciones internas— se obtiene visibilidad inmediata de accesos indebidos. La variedad de formatos de canarytokens.org (URL, DNS, archivos, claves, QR, etc.) y su simplicidad de uso hacen que cualquier persona pueda desplegarlos en pocos minutos. Además, existen alternativas como SpaceSiren, ggcanary o NeroSwarm que ofrecen tokens especializados e integraciones avanzadas.

 

Para maximizar su eficacia, es recomendable:

 

  • Planificar la respuesta: cuando se recibe una alerta, hay que iniciar un proceso de respuesta a incidentes para investigar y contener la intrusión.

 

  • Actualizar y rotar tokens: crear tokens nuevos periódicamente y retirar los antiguos para evitar que los atacantes los identifiquen.

 

  • Combinar con otras medidas: los honeytokens son un complemento; no sustituyen controles de seguridad tradicionales, pero ofrecen una valiosa detección temprana.

 

En definitiva, las trampas digitales permiten “dar la vuelta” a la situación y descubrir movimientos maliciosos antes de que causen daños mayores. La creatividad en su despliegue y la selección de la herramienta adecuada marcarán la diferencia entre pasar desapercibido y captar al intruso.

 

Linkedin: Aquilio García

Artículos de opinión relacionados

Aquilino García
Aquilino García
Todo lo que querías saber sobre DGT 3.0: Movilidad vigilada
Aquilino García
Aquilino García
Filtraron mi cuenta. ¿Por qué cuando tu cuenta fue filtrada, aumentan las posibilidades de que seas robado en otras?
Con tu cuenta registrada

Escribe tu correo y te enviaremos un enlace para que escribas una nueva contraseña.

Volver a acceder