{"id":15634,"date":"2026-01-01T23:20:52","date_gmt":"2026-01-01T22:20:52","guid":{"rendered":"https:\/\/www.palentino.es\/blog\/?p=15634"},"modified":"2026-01-01T23:21:42","modified_gmt":"2026-01-01T22:21:42","slug":"%f0%9f%90%9d-archivos-senuelo-como-actuan-paso-a-paso-y-por-que-son-una-de-las-defensas-mas-inteligentes","status":"publish","type":"post","link":"https:\/\/www.palentino.es\/blog\/%f0%9f%90%9d-archivos-senuelo-como-actuan-paso-a-paso-y-por-que-son-una-de-las-defensas-mas-inteligentes\/","title":{"rendered":"&#x1f41d; Archivos se\u00f1uelo: c\u00f3mo act\u00faan paso a paso y por qu\u00e9 son una de las defensas m\u00e1s inteligentes"},"content":{"rendered":"<p data-start=\"142\" data-end=\"448\">Durante mucho tiempo la seguridad se ha basado casi exclusivamente en <strong data-start=\"212\" data-end=\"223\">impedir<\/strong>: contrase\u00f1as m\u00e1s fuertes, permisos m\u00e1s restrictivos, firewalls m\u00e1s estrictos. Todo eso sigue siendo necesario, pero la experiencia ha demostrado algo clave: <strong data-start=\"381\" data-end=\"447\">muchos incidentes no empiezan rompiendo nada, empiezan mirando<\/strong>.<\/p>\n<p data-start=\"450\" data-end=\"504\">Ah\u00ed es donde entran en juego los <strong data-start=\"483\" data-end=\"503\">archivos se\u00f1uelo<\/strong>.<\/p>\n<p data-start=\"506\" data-end=\"619\">No son una barrera. Son un sensor.<br data-start=\"540\" data-end=\"543\" \/>No bloquean. <strong data-start=\"556\" data-end=\"566\">Avisan<\/strong>.<br data-start=\"567\" data-end=\"570\" \/>Y cuando est\u00e1n bien dise\u00f1ados, avisan muy pronto.<\/p>\n<p data-start=\"506\" data-end=\"619\"><a href=\"https:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2026\/01\/archivo-senuelo.gif\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-15636\" src=\"https:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2026\/01\/archivo-senuelo.gif\" alt=\"\" width=\"1045\" height=\"1312\" \/><\/a><\/p>\n<hr data-start=\"621\" data-end=\"624\" \/>\n<h3 data-start=\"626\" data-end=\"668\">&#x1f50d; Qu\u00e9 es realmente un archivo se\u00f1uelo<\/h3>\n<p data-start=\"670\" data-end=\"930\">Un archivo se\u00f1uelo (o <em data-start=\"692\" data-end=\"707\">file honeypot<\/em>) es un documento <strong data-start=\"725\" data-end=\"747\">falso pero cre\u00edble<\/strong>, colocado de forma deliberada en un sistema. No contiene informaci\u00f3n real ni se usa en ning\u00fan proceso leg\u00edtimo. Su \u00fanica funci\u00f3n es una: <strong data-start=\"885\" data-end=\"929\">detectar accesos que no deber\u00edan ocurrir<\/strong>.<\/p>\n<p data-start=\"932\" data-end=\"1071\">Si alguien lo abre, lo copia, lo cifra o simplemente lo inspecciona, el sistema lo registra. Y eso, en seguridad, es una se\u00f1al muy valiosa.<\/p>\n<p data-start=\"932\" data-end=\"1071\"><!--more--><\/p>\n<hr data-start=\"1073\" data-end=\"1076\" \/>\n<h3 data-start=\"1078\" data-end=\"1132\">&#x1f9e0; C\u00f3mo act\u00faan paso a paso (el recorrido completo)<\/h3>\n<p data-start=\"1134\" data-end=\"1164\">Imagina un escenario realista.<\/p>\n<p data-start=\"1166\" data-end=\"1376\">Un usuario malintencionado, una cuenta comprometida o un malware consigue acceso a un equipo o a un recurso compartido. No sabe qu\u00e9 hay dentro, as\u00ed que empieza con lo m\u00e1s b\u00e1sico: <strong data-start=\"1345\" data-end=\"1375\">listar carpetas y archivos<\/strong>.<\/p>\n<p data-start=\"1378\" data-end=\"1497\">Busca patrones conocidos: finanzas, RRHH, backups, contratos, n\u00f3minas.<br data-start=\"1448\" data-end=\"1451\" \/>En esa exploraci\u00f3n aparece el archivo se\u00f1uelo.<\/p>\n<p data-start=\"1499\" data-end=\"1588\">El nombre parece leg\u00edtimo. La ubicaci\u00f3n tiene sentido. El formato es com\u00fan. Nada chirr\u00eda.<\/p>\n<p data-start=\"1590\" data-end=\"1641\">El atacante hace lo siguiente (basta con uno solo):<\/p>\n<ul>\n<li data-start=\"1644\" data-end=\"1653\">lo abre<\/li>\n<li data-start=\"1656\" data-end=\"1666\">lo copia<\/li>\n<li data-start=\"1669\" data-end=\"1679\">lo mueve<\/li>\n<li data-start=\"1682\" data-end=\"1704\">lo intenta modificar<\/li>\n<li data-start=\"1707\" data-end=\"1762\">o, en el caso de ransomware, lo cifra autom\u00e1ticamente<\/li>\n<\/ul>\n<p data-start=\"1764\" data-end=\"1906\">En ese mismo instante ocurre lo importante: <strong data-start=\"1808\" data-end=\"1831\">se genera un evento<\/strong>.<br data-start=\"1832\" data-end=\"1835\" \/>Un evento de lectura, apertura o modificaci\u00f3n que queda registrado con:<\/p>\n<ul>\n<li data-start=\"1909\" data-end=\"1918\">usuario<\/li>\n<li data-start=\"1921\" data-end=\"1929\">equipo<\/li>\n<li data-start=\"1932\" data-end=\"1946\">fecha y hora<\/li>\n<li data-start=\"1949\" data-end=\"1962\">ruta exacta<\/li>\n<li data-start=\"1965\" data-end=\"1981\">tipo de acceso<\/li>\n<\/ul>\n<p data-start=\"1983\" data-end=\"2088\">T\u00fa no ves nada extra\u00f1o en pantalla.<br data-start=\"2018\" data-end=\"2021\" \/>Pero el sistema ya sabe que alguien ha cruzado una l\u00ednea invisible.<\/p>\n<p data-start=\"2090\" data-end=\"2170\">Ese aviso permite actuar <strong data-start=\"2115\" data-end=\"2124\">antes<\/strong> de que el atacante avance hacia datos reales.<\/p>\n<hr data-start=\"2172\" data-end=\"2175\" \/>\n<h3 data-start=\"2177\" data-end=\"2210\">&#x1f3af; Por qu\u00e9 funcionan tan bien<\/h3>\n<p data-start=\"2212\" data-end=\"2304\">Los archivos se\u00f1uelo funcionan porque no atacan la tecnolog\u00eda, atacan el <strong data-start=\"2285\" data-end=\"2303\">comportamiento<\/strong>.<\/p>\n<p data-start=\"2306\" data-end=\"2444\">Un usuario leg\u00edtimo rara vez abre un archivo que no conoce.<br data-start=\"2365\" data-end=\"2368\" \/>Un proceso autom\u00e1tico malicioso, en cambio, toca todo lo que parece valioso.<\/p>\n<p data-start=\"2446\" data-end=\"2576\">Adem\u00e1s, no generan falsos positivos habituales:<br data-start=\"2493\" data-end=\"2496\" \/>si alguien accede a un se\u00f1uelo, casi siempre <strong data-start=\"2541\" data-end=\"2575\">hay un motivo para preocuparse<\/strong>.<\/p>\n<hr data-start=\"2578\" data-end=\"2581\" \/>\n<h3 data-start=\"2583\" data-end=\"2634\">&#x1f6e0;&#xfe0f; C\u00f3mo crear un archivo se\u00f1uelo correctamente<\/h3>\n<p data-start=\"2636\" data-end=\"2869\">Empieza por el <strong data-start=\"2651\" data-end=\"2661\">nombre<\/strong>. Debe ser atractivo, realista y coherente con el entorno. Nombres con fechas, departamentos o palabras sensibles funcionan muy bien. No deben coincidir con documentos reales ni reutilizar nombres existentes.<\/p>\n<p data-start=\"2871\" data-end=\"3113\">El <strong data-start=\"2874\" data-end=\"2885\">formato<\/strong> debe ser com\u00fan y anodino: Word, Excel o PDF. No necesitan l\u00f3gica interna ni macros. De hecho, cuanto m\u00e1s simples, mejor. El contenido debe ser falso, pero veros\u00edmil: tablas vac\u00edas, texto gen\u00e9rico, notas internas sin valor real.<\/p>\n<p data-start=\"3115\" data-end=\"3150\">Nunca incluyas datos reales. Nunca.<\/p>\n<p data-start=\"3152\" data-end=\"3376\">La <strong data-start=\"3155\" data-end=\"3168\">ubicaci\u00f3n<\/strong> es cr\u00edtica. Un buen se\u00f1uelo no se esconde. Se coloca donde alguien mirar\u00eda de forma natural: la ra\u00edz de un recurso compartido, una carpeta \u201cFinanzas\u201d, un directorio \u201cBackups\u201d o junto a documentos aut\u00e9nticos.<\/p>\n<hr data-start=\"3378\" data-end=\"3381\" \/>\n<h3 data-start=\"3383\" data-end=\"3438\">&#x1f441;&#xfe0f; La parte clave: escuchar cuando alguien lo toca<\/h3>\n<p data-start=\"3440\" data-end=\"3499\">Un archivo se\u00f1uelo sin detecci\u00f3n es solo un archivo in\u00fatil.<\/p>\n<p data-start=\"3501\" data-end=\"3719\">En sistemas Windows, se activa la <strong data-start=\"3535\" data-end=\"3568\">auditor\u00eda de acceso a objetos<\/strong> y se configura el archivo para registrar eventos de lectura y apertura. Cada intento queda reflejado en el visor de eventos con informaci\u00f3n detallada.<\/p>\n<p data-start=\"3721\" data-end=\"3879\">A partir de ah\u00ed, se puede ir m\u00e1s lejos:<br data-start=\"3760\" data-end=\"3763\" \/>un script que escriba en un log, un aviso por correo, una alerta centralizada o la integraci\u00f3n con un SIEM o un EDR.<\/p>\n<p data-start=\"3881\" data-end=\"3946\">La idea no es asustar al usuario, sino <strong data-start=\"3920\" data-end=\"3945\">saber que ha ocurrido<\/strong>.<\/p>\n<hr data-start=\"3948\" data-end=\"3951\" \/>\n<h3 data-start=\"3953\" data-end=\"4009\">&#x1f680; Variante moderna: archivos con alerta incorporada<\/h3>\n<p data-start=\"4011\" data-end=\"4229\">Existen se\u00f1uelos que, al abrirse, generan una se\u00f1al autom\u00e1tica controlada (por ejemplo, un aviso externo). Son muy \u00fatiles como detecci\u00f3n temprana, especialmente frente a ransomware o accesos no autorizados silenciosos.<\/p>\n<p data-start=\"4231\" data-end=\"4295\">No sustituyen la auditor\u00eda local, pero la complementan muy bien.<\/p>\n<hr data-start=\"4297\" data-end=\"4300\" \/>\n<h3 data-start=\"4302\" data-end=\"4340\">&#x26a0;&#xfe0f; Lo que un archivo se\u00f1uelo no es<\/h3>\n<p data-start=\"4342\" data-end=\"4426\">No es un antivirus.<br data-start=\"4361\" data-end=\"4364\" \/>No es un sistema de prevenci\u00f3n.<br data-start=\"4395\" data-end=\"4398\" \/>No protege informaci\u00f3n real.<\/p>\n<p data-start=\"4428\" data-end=\"4540\">Un archivo se\u00f1uelo <strong data-start=\"4447\" data-end=\"4458\">detecta<\/strong>.<br data-start=\"4459\" data-end=\"4462\" \/>Y detectar a tiempo es una de las capacidades m\u00e1s infravaloradas en seguridad.<\/p>\n<hr data-start=\"4542\" data-end=\"4545\" \/>\n<h3 data-start=\"4547\" data-end=\"4582\">&#x1f9e0; Una idea final para llevarse<\/h3>\n<p data-start=\"4584\" data-end=\"4697\">La seguridad madura no conf\u00eda solo en cerraduras cada vez m\u00e1s complejas.<br data-start=\"4656\" data-end=\"4659\" \/>Conf\u00eda en <strong data-start=\"4669\" data-end=\"4696\">sensores bien colocados<\/strong>.<\/p>\n<p data-start=\"4699\" data-end=\"4835\">Un archivo se\u00f1uelo no molesta, no consume recursos y no interfiere en el trabajo diario.<br data-start=\"4787\" data-end=\"4790\" \/>Simplemente est\u00e1 ah\u00ed, en silencio, esperando.<\/p>\n<p data-start=\"4837\" data-end=\"4897\" data-is-last-node=\"\" data-is-only-node=\"\">Y cuando alguien hace lo que no deber\u00eda\u2026<br data-start=\"4877\" data-end=\"4880\" \/><strong data-start=\"4880\" data-end=\"4896\">te lo cuenta<\/strong>.<\/p>\n<p data-start=\"4837\" data-end=\"4897\" data-is-last-node=\"\" data-is-only-node=\"\">\n<p data-start=\"4837\" data-end=\"4897\" data-is-last-node=\"\" data-is-only-node=\"\"><a href=\"https:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2025\/05\/Contacto-oscar.gif\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-14716\" src=\"https:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2025\/05\/Contacto-oscar.gif\" alt=\"\" width=\"556\" height=\"160\" \/><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Durante mucho tiempo la seguridad se ha basado casi exclusivamente en impedir: contrase\u00f1as m\u00e1s fuertes, permisos m\u00e1s restrictivos, firewalls m\u00e1s estrictos. Todo eso sigue siendo necesario, pero la experiencia ha demostrado algo clave: muchos incidentes no empiezan rompiendo nada, empiezan mirando. Ah\u00ed es donde entran en juego los archivos se\u00f1uelo. No son una barrera. Son un sensor.No bloquean. Avisan.Y cuando est\u00e1n bien dise\u00f1ados, avisan muy pronto. &#x1f50d; Qu\u00e9 es realmente un archivo se\u00f1uelo Un archivo se\u00f1uelo (o file honeypot) es un documento falso pero cre\u00edble, colocado de forma deliberada en un sistema. No contiene informaci\u00f3n real ni se usa en ning\u00fan proceso leg\u00edtimo. Su \u00fanica funci\u00f3n es una: detectar accesos que no deber\u00edan ocurrir. Si alguien lo abre, lo copia, lo cifra o simplemente lo inspecciona, el sistema lo registra. Y eso, en seguridad, es una se\u00f1al muy valiosa.<\/p>\n","protected":false},"author":1,"featured_media":5050,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1415],"tags":[],"class_list":["post-15634","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sin-categoria-es"],"_links":{"self":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/15634","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/comments?post=15634"}],"version-history":[{"count":2,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/15634\/revisions"}],"predecessor-version":[{"id":15637,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/15634\/revisions\/15637"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/media\/5050"}],"wp:attachment":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/media?parent=15634"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/categories?post=15634"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/tags?post=15634"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}