ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025

INVESTIGACIÓN

Despliegue de Honeypots para la

detección proactiva de amenazas

cibernéticas

Deployment of honeypots for proactive

detection of cyber threats

Ing. Heidy Rodríguez Malvarez*, Ing. Elizabeth Molina Mena²,

Dra.C. Mónica Peña Casanova

Recibido: 11/2025 | Aceptado: 11/2025 | Publicado: 11/2025

Resumen

En un entorno digital cada vez más amenazado por actores ma-

liciosos, la necesidad de implementar mecanismos proactivos de

seguridad se ha vuelto crítica. Este artículo presenta el diseño, la

configuración y la validación de un sistema de honeypots, con es-

pecial énfasis en la herramienta T-Pot, orientado a la detección

proactiva de amenazas cibernéticas. T-Pot, reconocido por su ar-

quitectura modular y versatilidad, se despliega como el núcleo de

una solución capaz de capturar, analizar y monitorear actividades

malintencionadas en tiempo real. En primer lugar, se aborda el es-

tado de la cuestión de los honeypots y sus aplicaciones en la ciber-

seguridad, destacando su relevancia como técnica de engaño para

observar y analizar el comportamiento de los atacantes. En segundo

lugar, se dene una arquitectura exible y escalable implementada

en un entorno de laboratorio controlado, donde se simulan ataques

Departamento de Infraestructuras Tecnológicas, Facultad Ciberseguridad, Universi-

dad de las Ciencias Informáticas. heidyrm@uci.com

Dirección de Seguridad Informática, Universidad de las Ciencias Informáti-

cas. angelagv@uci.cu

Departamento de Infraestructuras Tecnológicas, Decana Facultad de Cibersegu-

ridad, Universidad de las Ciencias Informáticas. monica@uci.cu

pp. 62 - 71

ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025

diversos para evaluar la ecacia del sistema. Los resultados obtenidos

permiten validar la capacidad del honeypot para identicar inten-

tos de intrusión y comportamientos sospechosos lo que demuestra la

efectividad de T-Pot como herramienta para la detección proactiva

de amenazas.

Palabras clave: amenazas cibernéticas, ciberseguridad, detección

proactiva, honeypot, T-Pot

Abstract

In an increasingly threatened digital environment, the need to im-

plement proactive security mechanisms has become critical. This ar-

ticle presents the design, conguration and validation of a honeypot

system, focusing on the T-Pot tool, aimed at proactive cyber threat de-

tection. T-Pot, recognized for its modular architecture and versatility, is

deployed as the core of a solution capable of capturing, analyzing, and

monitoring malicious activities in real time. The work begins with an

overview of honeypots and their applications in cybersecurity, empha-

sizing their relevance as a deception technique to observe and analyze

attacker behavior. A exible and scalable architecture is dened and

implemented in a controlled laboratory environment where various at-

tacks are simulated to evaluate system eectiveness. The results valida-

te the honeypot’s ability to identify intrusion attempts and suspicious

behavior, demonstrating T-Pot’s eectiveness as a tool for proactive

threat detection.

Keywords: Cyber Threats, Cybersecurity, Proactive Detection,

Honeypot, T-Pot

Introducción

En el panorama contemporáneo de la ciberseguridad, las orga-

nizaciones enfrentan una creciente sosticación y diversicación

de las amenazas cibernéticas (Fadziso et al., 2023). Los actores ma-

liciosos, que abarcan desde individuos aislados hasta grupos orga-

nizados, emplean tácticas cada vez más avanzadas con el objetivo

de comprometer sistemas informáticos, sustraer información con-

dencial o interrumpir servicios esenciales (Cherqi et al., 2023). Esta

Despliegue de Honeypots para la detección proactiva de amenazas cibernéticas

Ing. Heidy Rodríguez Malvarez, Ing. Elizabeth Molina Mena, Dra.C. Mónica Peña Casanova

pp. 62 - 71

ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025

situación ha impulsado la necesidad de adoptar mecanismos proac-

tivos que permitan anticipar los ataques y responder de manera e-

caz antes de que estos causen daños irreversibles.

De forma tradicional, las estrategias de defensa de los centros de

operaciones de seguridad (SOC) se han basado en el uso de herramien-

tas como los sistemas de detección y prevención de intrusiones (IDS/

IPS) y los programas antivirus. Sin embargo, estos métodos presentan

limitaciones ante la evolución de las técnicas de evasión utilizadas por

los atacantes, quienes logran eludir las soluciones que dependen de

rmas o patrones antes conocidos (Skopik et al., 2016). De ahí que

resulte imperativo implementar soluciones que trasciendan la detec-

ción reactiva y que permitan observar y analizar el comportamiento

real de los atacantes en un entorno controlado.

En este contexto, los honeypots emergen como una tecnología e-

caz para la localización y el estudio de actividades maliciosas. Estos

sistemas, diseñados para parecer vulnerables y atractivos a los atacan-

tes, actúan como señuelos y permiten registrar sus tácticas, técnicas y

procedimientos sin poner en riesgo los activos reales de la organización

(Lorusso Montiel & Uc Ríos, 2022). La información obtenida mediante

honeypots resulta invaluable para fortalecer las defensas de la infraes-

tructura tecnológica y para anticiparse a futuras amenazas.

El presente trabajo tiene como objetivo evaluar el despliegue de

honeypots como medida proactiva para la detección temprana de

amenazas cibernéticas en entornos organizacionales, con especial

énfasis en el uso de la herramienta T-Pot reconocida por su arqui-

tectura modular, capacidad de integración y soporte para múltiples

servicios de emulación.

Para alcanzar este propósito, se implementó una solución basada

en un entorno de laboratorio controlado que simula diferentes tipos

de ataques y analizar la efectividad de la herramienta en la captura, el

monitoreo y la correlación de datos relacionados con incidentes de

seguridad. Este enfoque contribuye no solo a la validación experimen-

tal del honeypot, sino también al fortalecimiento de las estrategias de

defensa cibernética de las organizaciones.

pp. 62 - 71

Despliegue de Honeypots para la detección proactiva de amenazas cibernéticas

Ing. Heidy Rodríguez Malvarez, Ing. Elizabeth Molina Mena, Dra.C. Mónica Peña Casanova

ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025

Materiales y métodos

El desarrollo de esta investigación se sustentó en un enfoque me-

todológico mixto. Se combinaron métodos teóricos y empíricos para

diseñar, implementar y validar una arquitectura de honeypots orien-

tada a la detección proactiva de amenazas cibernéticas en entornos

organizacionales.

Diseño general de la investigación

La investigación se estructuró en tres fases fundamentales: diseño,

implementación y validación del honeypot T-Pot.

En la primera fase se realizó una revisión bibliográca sobre los

mecanismos de detección proactiva de amenazas y los diferentes ti-

pos de honeypots, esto posibilitó la selección de la herramienta más

adecuada para los requerimientos de la Empresa de Tecnologías de la

Información (ETI) de BioCubaFarma.

En la segunda fase se diseñó una arquitectura experimental basa-

da en el despliegue de T-Pot en un entorno controlado de laboratorio,

donde se simularon ataques de red y web, para reproducir condicio-

nes similares a las que enfrenta un centro de operaciones de seguri-

dad (COS).

En la tercera fase se realizó la validación empírica del sistema, a

través el uso de las métricas de detección, correlación de eventos y

análisis de alertas. Esta estructura metodológica demostró la ecacia

de T-Pot como mecanismo complementario a las soluciones tradicio-

nales de seguridad (IDS/IPS y antivirus) utilizadas por la ETI (Empresa

de Tecnologías de la Información, 2024).

Entorno y herramientas tecnológicas utilizadas

El entorno experimental se desplegó en una infraestructura virtual

compuesta por:

• Servidor principal (Ubuntu Server 22.04 LTS): se implementó la

plataforma T-Pot, una solución de honeypot de código abierto

desarrollada por Deutsche Telekom.

• Máquinas virtuales de ataque: se utilizaron para simular amena-

zas con herramientas como Nmap y OWASP ZAP, desde un siste-

ma operativo Kali Linux.

pp. 62 - 71

Despliegue de Honeypots para la detección proactiva de amenazas cibernéticas

Ing. Heidy Rodríguez Malvarez, Ing. Elizabeth Molina Mena, Dra.C. Mónica Peña Casanova

ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025

• Red virtual controlada (VirtualBox): se congura para aislar los

experimentos del entorno productivo y garantizar la seguridad

del laboratorio.

En la Figura 1 se muestra el entorno explicado anteriormente:

Figura 1. Entorno de laboratorio controlado

El honeypot T-Pot integra diversos módulos de emulación de ser-

vicios, entre que destacan Cowrie (SSH/Telnet), Dionaea (malware

catcher), Elasticpot (Elasticsearch honeypot), Heralding (servidor de

autenticación) y Mailoney (SMTP falso). Esta arquitectura modular fa-

cilita la recolección y clasicación de eventos de acuerdo con el vec-

tor de ataque y el servicio objetivo (Telekom Security, 2024).

Para el monitoreo y análisis de datos se emplearon herramientas

complementarias como:

• Kibana: permite la visualización de métricas e indicadores de

ataque.

• Elasticsearch: funciona como motor central de almacenamiento

y análisis.

• Suricata: se emplea para la detección y correlación de tráco

malicioso.

• Spiderfoot y Elasticvue: se utiliza para el reconocimiento auto-

matizado de hosts y consultas a los índices de datos capturados.

Métodos cientícos

Se aplicaron los siguientes métodos teóricos y empíricos:

• Histórico-lógico: aplicado para analizar la evolución de las ame-

nazas cibernéticas y la progresión de las estrategias de defensa

digital.

pp. 62 - 71

Despliegue de Honeypots para la detección proactiva de amenazas cibernéticas

Ing. Heidy Rodríguez Malvarez, Ing. Elizabeth Molina Mena, Dra.C. Mónica Peña Casanova

ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025

• Analítico-sintético: para estudiar las tecnologías de honeypots

existentes, identicar sus ventajas y desventajas, y fundamentar

la elección de T-Pot como solución experimental.

• Modelación: para diseñar el entorno de red simulado que replicó

la infraestructura tecnológica de la ETI, con el n de evaluar la

efectividad de la herramienta bajo condiciones reales de ataque.

• Medición: utilizada para valorar el desempeño del honeypot en

función de la cantidad y tipo de eventos detectados, frecuencia

de alertas generadas y efectividad en la correlación de datos.

Estas herramientas y métodos permitieron establecer un marco ex-

perimental sólido, caracterizado por una conguración controlada del

honeypot que garantizó la reproducibilidad del estudio y la validez de

los resultados obtenidos.

Resultados y discusión

Durante la fase de validación, el honeypot T-Pot demostró su ca-

pacidad para capturar y analizar una amplia gama de actividades ma-

liciosas en tiempo real. El sistema registró eventos relacionados con

escaneos de red, intentos de autenticación no autorizada, ataques de

denegación de servicio y explotación de vulnerabilidades en servicios

simulados.

En la Figura 2 muestra un entorno muy activo en términos de cibe-

ramenazas, con un total de 34,818 ataques hacia múltiples honeypots.

De este total de ataques se puede establecer que el Honeytrap fue el

honeypots que más ataques detectó con un total de 32,507 ataques, lo

que indica la prevalencia de escaneos automatizados y conexiones no

solicitadas dirigidas a servicios frecuentes.

Figura 2. Ataques detectados por el T-Pot

En las pruebas realizadas, se observó que los servicios más ata-

cados fueron SSH (puerto 22), HTTP (puerto 80) y SMB (puerto

445), lo que evidencia la prevalencia de tácticas automatizadas de

pp. 62 - 71

Despliegue de Honeypots para la detección proactiva de amenazas cibernéticas

Ing. Heidy Rodríguez Malvarez, Ing. Elizabeth Molina Mena, Dra.C. Mónica Peña Casanova

ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025

reconocimiento y explotación. Estas actividades fueron visuali-

zadas mediante paneles de Kibana, donde se generaron histogra-

mas, gráficos de densidad y mapas geográficos que representaron

la procedencia y volumen de los ataques.

El motor Suricata generó múltiples alertas clasicadas según la se-

veridad y tipo de incidente como se presenta en la Figura 3. La categoría

predominante es Generic Protocol Command Decode, representada en

color rojo, que muestra un volumen muy alto de actividad sospechosa

relacionada con comandos genéricos de protocolos, asociados a inten-

tos de reconocimiento o escaneo masivo. En menor proporción, se

registran otras categorías como Potentially Bad Trac (color verde),

que incluye tráco con características anómalas; Web Application

Attack (color azul), que representa intentos de ataques dirigidos a

aplicaciones web; y A Network Trojan was Detected (color morado),

relacionada con patrones de troyanos. Además, se identicó tráco

marcado como Not Suspicious Trac (color rosado claro), el cual,

aunque no presentó de forma clara comportamientos maliciosos,

fue registrado para análisis.

Figura 3. Alertas generadas por Suricata

Uno de los hallazgos más relevantes fue la identificación de pa-

trones repetitivos en las tácticas de ataque. La Figura 4 presenta

nubes de palabras (tag clouds) que visualizan información relacio-

nada con los intentos de autenticación en el tráfico capturado por

el honeypot. En la nube de nombres de usuario se observan varias

pp. 62 - 71

Despliegue de Honeypots para la detección proactiva de amenazas cibernéticas

Ing. Heidy Rodríguez Malvarez, Ing. Elizabeth Molina Mena, Dra.C. Mónica Peña Casanova

ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025

entradas de texto relacionadas con los nombres de usuario utiliza-

dos en las solicitudes. La palabra «anonymous» es la más destaca-

da, lo que indica que muchos intentos de acceso se realizaron con

un nombre de usuario anónimo o no identificado. Otras entradas,

como «sip» o «From: sip:nm@nm», podrían sugerir intentos de ac-

ceso a servicios relacionados con el protocolo SIP (Session Ini-

tiation Protocol), es muy común su utilización en comunicaciones

VoIP. Otros términos como «Max-Forwards: 70» y «Call-ID: 50000»

refuerzan la hipótesis de un ataque o escaneo dirigido a servicios

VoIP. Por su parte, la nube de contraseñas resalta los intentos de

contraseñas observados durante los ataques. Algunas de las contra-

señas más comunes fueron «anonymous», «(empty)», «IEUser@», y

«lolo», lo que indica que los atacantes intentaron acceder utilizando

credenciales débiles o fácilmente adivinables. El término «(empty)»

implica que se intentaron iniciar sesiones sin contraseña, mientras

que «anonymous» refuerza el uso de accesos no autenticados.

Figura 4. Nube de palabras

Los resultados obtenidos demuestran que el despliegue de T-Pot

no solo es útil para la detección temprana de amenazas, sino que tam-

bién contribuye a la inteligencia de amenazas cibernéticas (CTI), lo

que permite a las organizaciones observar el ciclo completo de ata-

que, desde la fase de exploración hasta la ejecución.

Además, el uso de herramientas integradas como Elasticvue facilitó

las consultas precisas sobre los datos recolectados, esto optimizó el

análisis forense y la clasicación de incidentes. Esta integración pone

de maniesto la fortaleza de T-Pot como plataforma escalable y adap-

table, capaz de incorporarse en infraestructuras corporativas o acadé-

micas para nes de monitoreo, formación y análisis de amenazas.

pp. 62 - 71

Despliegue de Honeypots para la detección proactiva de amenazas cibernéticas

Ing. Heidy Rodríguez Malvarez, Ing. Elizabeth Molina Mena, Dra.C. Mónica Peña Casanova

ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025

Conclusiones

El despliegue del sistema T-Pot como honeypot avanzado en un

entorno de laboratorio controlado validó su efectividad como meca-

nismo proactivo de detección de amenazas cibernéticas. Los resulta-

dos conrman que esta herramienta es capaz de identicar intentos

de intrusión, escaneos de red y patrones de comportamiento malicio-

so, ofreciendo una visión integral del panorama de amenazas.

La arquitectura modular de T-Pot, junto con su integración nativa

con herramientas de análisis como Kibana, Elasticsearch y Suricata,

proporciona un entorno eciente para la recopilación, la visualización

y la correlación de eventos en tiempo real. Esta capacidad constituye

una ventaja signicativa frente a los mecanismos tradicionales, al per-

mitir una respuesta anticipada ante amenazas emergentes.

Además, el estudio evidencia que la adopción de honeypots puede

contribuir a fortalecer las estrategias defensivas del centro de opera-

ciones de seguridad de la ETI, al servir como fuente de información

para la inteligencia de amenazas, la capacitación del personal técnico

y la investigación de nuevas tendencias de ataque. Como líneas fu-

turas, se propone integrar T-Pot con sistemas SIEM (como OSSIM o

ELK), para mejorar la correlación automática de eventos y explorar el

despliegue de honeypots distribuidos que posibiliten ampliar el es-

pectro de detección y aumentar la cobertura de la red.

En síntesis, el trabajo realizado demuestra que la implementación

de honeypots constituye una alternativa viable, escalable y de bajo

costo para el fortalecimiento de la ciberseguridad en infraestructuras

críticas y entornos empresariales cubanos.

Referencias bibliográcas

Cherqi, O., El Omri, A., & Achahbar, A. (2023). Cyber Threat Intelligence

approaches for proactive security. Journal of Cyber Defense Studies,

9(2), 45–59.

Empresa de Tecnologías de la Información. (2024). Centro de Opera-

ciones de Seguridad de BioCubaFarma. La Habana, Cuba.

pp. 62 - 71

Despliegue de Honeypots para la detección proactiva de amenazas cibernéticas

Ing. Heidy Rodríguez Malvarez, Ing. Elizabeth Molina Mena, Dra.C. Mónica Peña Casanova

ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025

Fadziso, F., Moyo, T., & Zhou, M. (2023). The evolution of cyber threats

and defense mechanisms. International Journal of Information Secu-

rity, 22(3), 214–229.

Lorusso Montiel, J., & Uc Ríos, A. (2022). Honeypots como estrategia de

defensa cibernética. Revista de Seguridad Informática, 18(2), 45–53.

Skopik, F., Settanni, G., & Fiedler, R. (2016). A survey on threat intelli-

gence sharing platforms. Computers & Security, 61, 1–16.

Telekom Security. (2024). T-Pot Documentation: Multi-Honeypot Pla-

tform. Deutsche Telekom AG. Recuperado de

https://github.com/te-

lekom-security/tpotce

pp. 62 - 71

Despliegue de Honeypots para la detección proactiva de amenazas cibernéticas

Ing. Heidy Rodríguez Malvarez, Ing. Elizabeth Molina Mena, Dra.C. Mónica Peña Casanova