canary tokens security alert Ciberseguridad

Cómo saber si alguien accede a tus archivos con Canary Tokens

12/11/19 7 min. de lectura

Los ciberataques no solo afectan a grandes empresas. Es verdad que son más sonados pero, ¿qué pasaría si alguien entra en tu ordenador y roba tus datos personales? Podría robarte la identidad y hacerse pasar por ti para entrar a tu cuenta bancaria. También podría coger tus fotos y crear un perfil falso en alguna red social.

👉 Hablando de Redes Sociales, te recomiendo que eches un vistazo a este post: 5 consejos para mejorar la seguridad de tus redes sociales

En este post te voy a enseñar cómo crear una medida de seguridad muy sencilla sin necesidad de ser experto en ciberseguridad. Vamos a configurar nuestros propios Canary Tokens, que podremos usar para conocer cuando hay alguien buscando entre nuestros archivos, cuando alguien envía un email o cuando alguien hace click en un enlace.

Si prefieres ir al grano:

Configurando nuestra propia medida de seguridad: Canary Tokens
Configurando nuestra propia medida de seguridad: Canary Tokens

Posiblemente hayas escuchado hablar anteriormente de los honeypots. Los honeypots son dispositivos que se utilizan a modo de señuelo para ser objetivo de un ataque informático y recabar información tanto del ataque como del atacante. Algo parecido ocurre con los Canary Tokens, los cuales nos pueden dar información valiosa en un determinado momento.

¿Cuál es el origen del término Canary Tokens?

El nombre no está puesto por casualidad. Tiene su origen en un ámbito que no tiene nada que ver con la informática o la ciberseguridad: en las minas.

Como todos sabemos, los mineros se enfrentaban a bastantes riesgos durante el ejercicio de su profesión, sobre todo si la mina es subterránea.

Uno de estos riesgos siempre ha sido la presencia de gases letales como el metano o el CO (monóxido de carbono). Esto se debe a que, llegando a ciertos niveles, la presencia de estos gases en el ambiente puede hacer que las personas perdamos el conocimiento o incluso el fallecimiento.

A día de hoy la tecnología ha permitido mayores y mejores medidas de seguridad mediante detectores de gases o sistemas de ventilación, elementos con los que no contaban en la antigüedad. Sin embargo, años atrás se las idearon para poder detectar la presencia de gases en la mina antes de que éstos llegaran a niveles mortales para los propios mineros. Y es aquí donde aparece la figura del canario.

Origen canary tokens: Canario utilizado en las minas para medir el nivel de CO
Canario utilizado en las minas para medir el nivel de CO

El canario cuenta con una sensibilidad a gases como el metano o CO mayor que los humanos. Esto permite que si se alcanzaba cierto nivel de estos, antes de que fuera perjudicial para los humanos, el canario podía perder el conocimiento. Es por ello que los mineros llevaban consigo un canario a las minas a modo de centinela para alarmar de la posible presencia de estos gases en el ambiente.

Cómo configurar nuestro propio Canary Token en el siglo XXI

La función que buscamos en el ámbito de la ciberseguridad es básicamente la misma: utilizar nuestro propio canario “digital” para que nos alerte en caso de que detecte alguna actividad que sea de nuestro interés. Lo único que tendrás que hacer será configurarlo y colocarlo en algún sitio estratégico.

Vamos a verlo con algunos ejemplos, y para ello vamos a utilizar la web canarytokens.org, la cual nos permite en un par de clicks configurar nuestro propio Canary Token.

Para empezar, entra en la web 🙂

Homepage canarytokens.org
Homepage canarytokens.org

Ejemplo 1: generar un Canary Token en un documento PDF

Una función muy útil es la de crear un archivo PDF vacío, que será el señuelo. En este ejemplo te voy a enseñar como crear este tipo de Canary Token para que te envíe un aviso a tu cuenta de correo si alguien lo abre.

Elige en el desplegable “Select your token” la opción de un documento PDF:

Select your token for generate a new canary token
Configurando nuestro primer Canary Token

Introduce el correo donde quieres que te llegue el aviso y una nota como recordatorio del token que has usado. En mi caso quedó de la siguiente manera:

fill the details to create a canary token
Añadimos los detalles

Una vez hayas creado este nuevo documento PDF cámbiale el nombre y muévelo a la carpeta que  te interese tener supervisada.

guarda el canarytoken en una carpeta
Uno de los archivos PDF es el señuelo que acabamos de crear

En este directorio, uno de los archivos es el PDF que acabo de crear pero en principio pasa desapercibido entre el resto (dejo en el aire cuál de ellos es, aunque no es difícil de adivinar 🙂 ).

Así pues, si alguien entra en esta carpeta y  abre el PDF verá un archivo vacío, pero a nosotros nos llegará un email con el siguiente mensaje:

“A DNS Canarytoken has been triggered by the Source IP XXXXX. Please note that the source IP refers to a DNS server, rather than the host that triggered the token” y algunos detalles básicos.

canarytoken triggered alert
Alerta cuando alguien abre nuestro PDF

Ejemplo 2: generar un Canary Token en una URL

La forma de configurarlo es igual de sencilla. En este caso, te voy a detallar cómo configurarte una URL para que te alerte cuando alguien haga click en el enlace.

web bug url canary token
Creando nuestro Canary Token en una URL
web token is active url details
Esta es la URL que acabamos de crear

De manera que podríamos enviar un email con dicho enlace, y nos llegaría un aviso cuando alguien hiciera click en él:

phishing email with our url canary token
Email que contiene la URL que acabamos de crear (puedes ver el enlace en la esquina inferior izquierda)

De este modo, si el usuario hiciera click en el botón “Abrir”, nos llegaría un email al igual que en el ejemplo del documento PDF.

Los pequeños detalles pueden marcar grandes diferencias

A veces en el ámbito de la Ciberseguridad las grandes diferencias las marcan los pequeños detalles:

  • dar click (o no) a un simple enlace
  • tener un determinado puerto abierto
  • haber configurado una cuenta con admin/admin

Y si bien la configuración de nuestro pequeño “canario” no supone que estemos totalmente protegidos contra un ciberataque, sí que puede darnos un valioso aviso, al igual que ocurría antiguamente en las minas.

PD: También cabe decir que hecha la ley, hecha la trampa, pero eso lo dejamos para otro post 😉

Daniel López

Santander Global Tech

Ingeniero Superior de Telecomunicaciones por la Universidad de Sevilla. Ciberseguridad y tecnología como medio para mejorar nuestras vidas.

 

Otros posts