Heimdall Community
El honeypot que convierte a los atacantes en tus mejores profesores.
ᚺ Por qué se llama Heimdall
Heimdall es el guardián de los dioses. Hijo de nueve madres – las olas del mar que lo parieron en el borde del mundo – fue colocado por los Aesir en el extremo del Bifrost, el puente arcoíris que conecta Asgard con los otros mundos. Desde ahí vigila sin descanso.
No necesita dormir. Ve cien leguas en todas direcciones, de día y de noche, sin que nada escape a su mirada. Escucha crecer la hierba en el campo y la lana en el lomo de las ovejas. Sabe cuando algo se mueve antes de que ese algo se dé cuenta de que está siendo observado.
Cuando los atacantes se acercan convencidos de que nadie los ve, Heimdall ya los vio venir. Cada paso que dan dentro de la red que creemos falsa queda registrado, analizado, convertido en conocimiento.
“Heimdall tiene como señal la necesidad de poco sueño. Ve igualmente bien de noche que de día.”
– Edda Prosaica, Snorri Sturluson
Los atacantes siempre vuelven. La pregunta es si estás mirando.
Inteligencia sin exponer nada real
Un honeypot bien colocado atrae exactamente a quienes están buscando lo que no deberían encontrar. Cada interacción revela tácticas, técnicas y procedimientos reales – no datos de laboratorio.
Detección temprana
Cualquier conexión a Heimdall es una señal. No hay razón legítima para que alguien acceda a un sistema señuelo. Es una alarma sin falsos positivos.
Dashboard en tiempo real
Mirás en vivo qué está pasando – de dónde vienen los intentos, qué credenciales prueban, qué tipo de ataque es. No logs que revisar al día siguiente: eventos en el momento en que ocurren.
Un honeypot real, con dashboard en tiempo real
No un proyecto de laboratorio – la misma plataforma que AllSafe tiene desplegada en producción capturando intentos de acceso todos los días.
Señuelos intercambiables
Cinco plantillas de señuelo listas para desplegar: portal corporativo genérico, login estilo WordPress, panel cPanel, y réplicas de las propias plataformas AllSafe (Skuld GRC, Gjallarhorn). Cambiá el señuelo sin tocar el backend.
Dashboard en tiempo real
Eventos de seguridad en vivo via WebSocket. IPs atacantes, geolocalizaciones, credenciales probadas, tipo de ataque. El tablero que querés tener abierto en la pantalla secundaria de la sala de operaciones.
Clasificación automática
Cada evento clasificado automáticamente: BRUTE (fuerza bruta), SCAN (reconocimiento), BOT (tráfico automatizado), PORTSCAN, RECON, HUMAN. Sabés de un vistazo con qué tipo de amenaza estás tratando.
Trampas TCP
Puertos señuelo con banners falsos de SSH, FTP, Telnet, SMTP y MySQL. El scanner que recorre tu red encuentra “servicios” activos y los reporta como puntos de entrada – mientras vos registrás exactamente qué están buscando.
Perfil de IP atacante
Cada IP queda documentada: país, ASN, historial de intentos, tipo de ataque más frecuente. Con el tiempo construís un mapa de quién está mirando tu red y con qué intención.
Historial completo
Todos los eventos persistidos en base de datos. Filtrá por fecha, IP, tipo de ataque, severidad. El historial completo de todo lo que intentaron, para siempre.
El honeypot en pantallas
El dashboard y los eventos tal como se ven cuando está capturando intentos en vivo.
Eventos de seguridad en vivo via WebSocket. IPs atacantes, geolocalizaciones y tipos de ataque al instante.
Cada intento clasificado automáticamente: BRUTE, SCAN, BOT, PORTSCAN, RECON o HUMAN. Sin ambigüedad.
País, ASN e historial completo de intentos. Con el tiempo construís un mapa de quién está mirando tu red.
“Desplegamos Heimdall el primer día. En las primeras 48 horas ya teníamos datos de escaneos activos que no habíamos detectado con ninguna otra herramienta. No esperábamos resultados tan rápido.”
– Equipo AllSafe, producción
Nuestro compromiso
Heimdall Community seguirá siendo gratuito y open source para siempre. Lo construimos porque los honeypots que existían tenían interfaces de otra época y no tenían el dashboard en tiempo real que queríamos ver. Si vos también lo querías, acá está. Si tenés ideas para mejorar los señuelos, agregar detecciones o integrar con otras herramientas, los pull requests son bienvenidos.
¿Querés más capacidades de detección?
Heimdall Pro agrega alertas en tiempo real por email y webhook, exportación de eventos a SIEM, integración nativa con Gjallarhorn para correlación automática de IOCs, y soporte dedicado de AllSafe.
