����������������������������������������������������������������������������������

 

 

Clasificaci�n de las CVE seg�n su vulnerabilidad m�s explotada con datos obtenidos de T-pot honeypot

 

Classification of CVEs according to their most exploited vulnerability with data obtained from T-pot honeypot

 

Classifica��o dos CVEs de acordo com a sua vulnerabilidade mais explorada com dados obtidos do honeypot T-pot

 

 

 

 

 

 

 

 

 

 

 

Correspondencia: milton.delhierro@upec.edu.ec

 

Ciencias T�cnicas y Aplicadas

Art�culo de Investigaci�n

 

 

* Recibido: 22 agosto de 2025 *Aceptado: 09 de septiembre de 2025 * Publicado: �01 de octubre de 2025

 

        I.            Universidad Polit�cnica Estatal del Carchi, Mag�ster en Redes de Comunicaciones, Ingeniero en Electr�nica, Control y Redes Industriales; Docente de la Universidad Polit�cnica Estatal del Carchi; Tulc�n, Ecuador.

Resumen

La clasificaci�n de las CVE (Common Vulnerabilities and Exposures) es un proceso esencial en la gesti�n de la seguridad cibern�tica. Agrupar estas vulnerabilidades seg�n diversos criterios, como tipo, Naturaleza y contexto hist�rico, proporciona una estructura organizativa crucial para comprender y abordar los riesgos de seguridad de manera efectiva.

La clasificaci�n de las CVE es un componente fundamental de la estrategia de seguridad cibern�tica de una organizaci�n, que contribuye significativamente a su postura de seguridad general.

Este trabajo trata sobre la clasificaci�n de las Vulnerabilidades y exposiciones comunes (CVE) seg�n su vulnerabilidad m�s explotada obtenidas de un t-pot honeypot este enfoque nos permitir� identificar las vulnerabilidades que son m�s atractivas para los actores maliciosos y, por lo tanto, podr�an representar un mayor riesgo para la Universidad Polit�cnica Estatal del Carchi.

Para abordar este tema utilizamos un plan de acci�n general el cual est� conformado con la

1. Recopilaci�n de Datos: Recopila un conjunto de datos completo de las CVE, que incluye informaci�n sobre la vulnerabilidad, su gravedad.�

2. An�lisis de Vulnerabilidades. La herramienta utilizada para la recolecci�n de datos es un honeypot montado con la plataforma t-pot, elastic seach kibana y suricata a utilizar para la captura y el an�lisis de los datos.

Palabras clave: Cve; Honeypot; Elasticsearch; Kibana.

 

Abstract

The classification of CVEs (Common Vulnerabilities and Exposures) is an essential process in cybersecurity management. Grouping these vulnerabilities according to various criteria, such as type, nature, and historical context, provides a crucial organizational structure for effectively understanding and addressing security risks.

CVE classification is a fundamental component of an organization's cybersecurity strategy, contributing significantly to its overall security posture.

This paper discusses the classification of Common Vulnerabilities and Exposures (CVEs) according to their most exploited vulnerability, obtained from a T-POT honeypot. This approach will allow us to identify the vulnerabilities that are most attractive to malicious actors and, therefore, could pose a greater risk to the State Polytechnic University of Carchi.

To address this issue, we used a general action plan, which consists of:

1. Data Collection: Collect a comprehensive CVE dataset, including information about the vulnerability and its severity.

2. Vulnerability Analysis. The tool used for data collection is a honeypot built with the t-pot platform, Elasticsearch, Kibana, and Suricata, used for data capture and analysis.

Keywords: CVE; Honeypot; Elasticsearch; Kibana.

 

Resumo

A classifica��o das CVEs (Vulnerabilidades e Exposi��es Comuns) � um processo essencial na gest�o da ciberseguran�a. O agrupamento destas vulnerabilidades de acordo com v�rios crit�rios, tais como o tipo, a natureza e o contexto hist�rico, fornece uma estrutura organizacional crucial para a compreens�o e o tratamento eficazes dos riscos de seguran�a.

A classifica��o dos CVEs � uma componente fundamental da estrat�gia de ciberseguran�a de uma organiza��o, contribuindo significativamente para a sua postura global de seguran�a.

Este artigo discute a classifica��o das Vulnerabilidades e Exposi��es Comuns (CVEs) de acordo com a sua vulnerabilidade mais explorada, obtida a partir de um honeypot T-POT. Esta abordagem permitir-nos-� identificar as vulnerabilidades mais atrativas para os agentes maliciosos e, portanto, que podem representar um risco mais elevado para a Universidade Polit�cnica Estadual de Carchi.

Para abordar esta quest�o, recorremos a um plano de a��o geral, que consiste em:

1. Recolha de Dados: Recolher um conjunto abrangente de dados de CVEs, incluindo informa��o sobre a vulnerabilidade e a sua gravidade.

2. An�lise de Vulnerabilidades. A ferramenta utilizada para a recolha de dados � um honeypot constru�do com a plataforma t-pot, Elasticsearch, Kibana e Suricata, utilizado para a captura e an�lise de dados.

Palavras-chave: CVE; Honeypot; Elasticsearch; Kibana.

 

Introducci�n

La creciente dependencia de las tecnolog�as de la informaci�n en instituciones p�blicas, privadas y educativas ha ampliado significativamente la superficie de ataque para ciberdelincuentes. En este contexto, las vulnerabilidades conocidas como Common Vulnerabilities and Exposures (CVE) representan un cat�logo ampliamente utilizado para identificar fallos explotables en sistemas inform�ticos (Jin et al., 2020). Estas vulnerabilidades, cuando no se gestionan adecuadamente, constituyen uno de los mayores vectores de riesgo en ciberseguridad (Feily et al., 2009).

Desde la publicaci�n de las primeras CVE en 1999, el volumen ha crecido exponencialmente, superando las 200 mil entradas en 2023 (Langner, 2011). Este incremento refleja no solo el avance tecnol�gico sino tambi�n la creciente sofisticaci�n de los ataques (Zhou & Jiang, 2012). En respuesta, han surgido diversas metodolog�as para observar y analizar la explotaci�n activa de estas vulnerabilidades, entre ellas, los sistemas honeypot.

Los honeypots son entornos controlados dise�ados para atraer actividades maliciosas y registrar comportamientos de atacantes sin poner en riesgo los sistemas reales (Spitzner, 2003). Entre estos, destaca la plataforma T-pot, que integra m�ltiples sensores como Cowrie, Suricata y Dionaea, y proporciona herramientas anal�ticas como Kibana y Elasticsearch para el procesamiento y visualizaci�n de eventos (Fan et al., 2024; Kosheliuk & Tulashvili, 2024).

Hist�ricamente, el uso de honeypots se remonta a principios de los a�os 90, cuando investigadores como Cheswick (1992) y luego Spitzner (2003) documentaron su utilidad para estudiar intrusiones. Posteriormente, su aplicaci�n se extendi� a la investigaci�n acad�mica, la formaci�n universitaria y los entornos industriales (Provos & Holz, 2007; Mokube & Adams, 2007).

En la actualidad, las universidades desempe�an un papel fundamental en el desarrollo de soluciones de ciberseguridad mediante honeynets (W�hlisch et al., 2013). Estas redes de honeypots permiten capturar grandes vol�menes de intentos de ataque, correlacionarlos con bases de datos como NVD y CVE, y generar inteligencia �til tanto para docencia como para protecci�n institucional (Kubba et al., 2025).

La Universidad Polit�cnica Estatal del Carchi, consciente de la necesidad de fortalecer sus capacidades defensivas y fomentar la formaci�n t�cnica especializada, ha implementado una honeynet basada en T-pot. Esta infraestructura, instalada en un servidor f�sico con CentOS, ha permitido registrar eventos reales durante 30 d�as, proporcionando datos aut�nticos para el an�lisis de vulnerabilidades m�s explotadas.

La viabilidad del proyecto se sustenta en el uso de tecnolog�as de c�digo abierto, la disponibilidad de talento humano especializado y el alineamiento con las necesidades acad�micas y operativas de la instituci�n. Adem�s, se integra con iniciativas globales de observaci�n de amenazas como Shodan, Censys y proyectos de threat intelligence (Fraunholz et al., 2021).

Los beneficiarios de esta investigaci�n son diversos. En primer lugar, los estudiantes acceden a datos reales para practicar an�lisis forense y modelado de amenazas (Cole & Northcutt, 2002). En segundo lugar, el personal administrativo y de TI puede aplicar las conclusiones para reforzar pol�ticas de seguridad. Finalmente, la comunidad acad�mica internacional obtiene una referencia emp�rica sobre la explotaci�n activa de CVE en entornos latinoamericanos (Jicha et al., 2016; Torres et al., 2019).

Esta investigaci�n no solo aporta a la clasificaci�n y priorizaci�n de vulnerabilidades con base en su explotaci�n real, sino que tambi�n se alinea con los Objetivos de Desarrollo Sostenible, espec�ficamente el ODS 9 (industria, innovaci�n e infraestructura) y el ODS 4 (educaci�n de calidad). Adem�s, refuerza los esfuerzos del pa�s por construir infraestructura digital resiliente (L�pez-Morales et al., 2020).

 

Materiales y m�todos

Esta investigaci�n se desarroll� bajo un enfoque cuantitativo-descriptivo con car�cter experimental, enfocado en la identificaci�n y clasificaci�n de vulnerabilidades explotadas (CVE) mediante un sistema honeynet implementado con la plataforma T-Pot. La metodolog�a empleada permiti� recolectar y analizar datos reales de ciberataques dirigidos, siguiendo protocolos de an�lisis propuestos en estudios recientes (Fan et al., 2024; Kubba et al., 2025).

 

Recopilaci�n de datos

Dise�o e implementaci�n del entorno honeynet

T-Pot es una plataforma de honeypot que combina m�ltiples herramientas de honeypot y tecnolog�as de seguridad en un solo paquete integrado. Desarrollado por Deutsche Telekom AG y la Universidad de Bonn, T-Pot est� dise�ado para simular una amplia variedad de sistemas y servicios, atrayendo a los atacantes y recopilando datos sobre sus t�cticas, t�cnicas y procedimientos.

Una vez T-Pot en funcionamiento, act�a como un se�uelo para los atacantes, simulando servicios y sistemas vulnerables que atraer�n a los adversarios. T-Pot ofrece una variedad de herramientas de honeypot integradas, incluyendo Cowrie para SSH, Dionaea para servicios de red y servicios web, Glastopf para aplicaciones web.

Configura y despliega el honeypot en un entorno de red seguro. Asegur�ndonos de que est� configurado para simular servicios y sistemas que sean susceptibles a ataques.

 

Figura N� 1: T-pot configurado y completamente funcional

Elaborado: Autor

 

El entorno experimental se configur� en un servidor f�sico con sistema operativo CentOS 7, instalado en la Universidad Polit�cnica Estatal del Carchi. Se implement� T-Pot CE (versi�n 22.04), un sistema de c�digo abierto que agrupa m�ltiples honeypots como Cowrie, Dionaea, Snort, Suricata y Conpot, junto a una pila ELK (Elasticsearch, Logstash, Kibana) para el procesamiento de datos (Morić et al., 2025).

Se siguieron las recomendaciones t�cnicas de configuraci�n de honeynets descritas por Fraunholz et al. (2021) y Kosheliuk & Tulashvili (2024), priorizando la segmentaci�n del tr�fico, el aislamiento de red y la supervisi�n en tiempo real. El servidor fue expuesto en una red controlada durante un periodo continuo de 30 d�as.

Para ampliar informaci�n de dise�o y modelos de implementaci�n se encuentran en el trabajo de titulaci�n Implementaci�n y configuraci�n de una honeynet en la zona desmilitarizada de la infraestructura de red de la Universidad Polit�cnica Estatal del Carchi.

Recolecci�n y estructuraci�n de datos

Para la recolecci�n de datos se combina diferentes herramientas para automatizar el proceso las cuales son kibana, elastic seach y suricata.

Suricata: Suricata es un sistema de prevenci�n de intrusiones de red de c�digo abierto que analiza el tr�fico de red en tiempo real en busca de comportamientos maliciosos y actividades sospechosas. Suricata genera registros de eventos de seguridad que contienen informaci�n sobre las amenazas detectadas, como intentos de intrusi�n, tr�fico sospechoso, etc.

Suricata es un motor de monitoreo de seguridad de red, IPS y IDS de red de alto rendimiento. Es de c�digo abierto y propiedad de una fundaci�n sin fines de lucro administrada por la comunidad, la Open Information Security Foundation (OISF). Suricata es desarrollado por la OISF.�(suricata, 2016-2024)

 

Figura N� 2: Funcionamiento de Suricata

Fuente:�(suricata, 2016-2024)

 

Elasticsearch: Elasticsearch es un motor de b�squeda y an�lisis distribuido que se utiliza para almacenar y consultar grandes vol�menes de datos de forma r�pida y eficiente. En el contexto de la seguridad, Elasticsearch se puede utilizar para indexar y almacenar los registros generados por Suricata.

Almacena de forma central tus datos para una b�squeda a la velocidad de la luz, relevancia refinada y anal�ticas poderosas que escalan con facilidad.�(Elasticsearch, 2024)

Kibana: Kibana es una interfaz de usuario web que se utiliza para visualizar y analizar los datos almacenados en Elasticsearch. Kibana proporciona herramientas de visualizaci�n interactivas, paneles y gr�ficos que permiten a los usuarios explorar y comprender los datos de seguridad de manera efectiva, detectar tendencias y anomal�as de un vistazo, y enrutar los hallazgos al equipo correcto al instante. (elastic, 2024)

Ahora, veamos c�mo funcionan juntos estos tres componentes:

Recopilaci�n de Datos: Suricata detecta y registra eventos de seguridad, como intentos de intrusi�n y tr�fico sospechoso, generando registros en un formato .log los cuales est�n ubicados en /var/log/suricata/stat.log.

Env�o de Registros a Elasticsearch: Los registros generados por Suricata se env�an a Elasticsearch para su almacenamiento y an�lisis. Esto se puede hacer utilizando herramientas de env�o de logs con Logstash, que env�an los datos a Elasticsearch en tiempo real.

Indexaci�n de Datos en Elasticsearch: Elasticsearch indexa los registros de eventos de seguridad, lo que permite realizar b�squedas r�pidas y eficientes sobre ellos. Los registros se almacenan en �ndices que pueden ser consultados y analizados de manera eficaz.

Visualizaci�n y An�lisis con Kibana: Una vez que los datos est�n indexados en Elasticsearch, se pueden visualizar y analizar utilizando Kibana. En la cual podemos crear paneles, gr�ficos y tablas interactivas para explorar y comprender los datos de seguridad. Esto permite identificar patrones de actividad maliciosa, detectar amenazas en tiempo real y realizar investigaciones forenses sobre incidentes de seguridad.

 

Figura N� 3: Mapa de Logstash elasticsearch y kibana

Elaborado: Autor

 

En resumen, la integraci�n de Suricata, Elasticsearch y Kibana proporciona una soluci�n completa para la detecci�n, almacenamiento, an�lisis y visualizaci�n de eventos de seguridad en tiempo real. Esto brinda todas las herramientas para que la Universidad Polit�cnica Estatal Del Carchi pueda detectar y responder r�pidamente a las amenazas de seguridad, mejorar la postura de seguridad general de la red y realizar an�lisis forenses detallados sobre incidentes de seguridad.

Durante el periodo de observaci�n, la honeynet captur� m�s de 15.000 eventos de seguridad, incluyendo intentos de fuerza bruta, escaneos de puertos, acceso a protocolos abiertos (SSH, Telnet, SMB), e intentos de explotaci�n de vulnerabilidades conocidas como las que se menciona en (Ba�er et al., 2021; Kristyanto et al., 2022).

Los datos fueron almacenados autom�ticamente en formato JSON dentro del �ndice de Elasticsearch, permitiendo consultas estructuradas mediante Kibana y scripts Python. Cada evento fue clasificado por: direcci�n IP origen, protocolo, fecha/hora, servicio atacado, y firma CVE relacionada como menciona (Zhou & Jiang, 2012; Jin et al., 2020).

El procesamiento de datos incluy� una etapa de depuraci�n y normalizaci�n con ayuda de Logstash, eliminando duplicados, corrigiendo inconsistencias de formato y completando registros incompletos (Kubba et al., 2025). Se aplic� la metodolog�a de enriquecimiento sem�ntico descrita por Litchfield (2003) y Fan et al. (2024), mediante la correlaci�n con la base de datos NVD (National Vulnerability Database) y la asignaci�n de puntuaciones CVSS.

Posteriormente, se filtraron eventos seg�n criticidad, frecuencia de repetici�n, y se agruparon los CVE explotados por tipo, a�o y vector de ataque como menciona en (Langner, 2011; Matin & Rahardjo, 2019).

 

Figura N� 4: Visualizaci�n de la uni�n de las 3 herramientas

. Elaborado: Autor

 

Herramientas utilizadas

T-pot CE v22.04 � sistema de honeynet

Elasticsearch, Logstash y Kibana � gesti�n y visualizaci�n de registros

Python (pandas, matplotlib) � an�lisis estad�stico

Shodan & AbuseIPDB � validaci�n externa de IPs maliciosas

NVD & CVSS v3.1 � para clasificaci�n de vulnerabilidades

Se adaptaron los flujos de an�lisis recomendados por L�pez-Morales et al. (2020) y HoneyPLC, priorizando la automatizaci�n en la correlaci�n de CVE y la visualizaci�n gr�fica de ataques.

Los resultados fueron comparados con reportes internacionales de explotaci�n de vulnerabilidades (e.g., Fortinet Threat Landscape, Tenable, MITRE ATT&CK). Asimismo, se adoptaron criterios de validaci�n cruzada propuestos por Torres et al. (2019) y Fraunholz et al. (2021), asegurando que los eventos analizados coincidieran con firmas confirmadas por sistemas IDS y por fuentes de inteligencia abiertas.

Esta metodolog�a es replicable en otras instituciones acad�micas que busquen generar inteligencia de amenazas a partir de datos emp�ricos capturados en entornos reales, como se�alan Jin et al. (2020) y Provos & Holz (2007).

 

Figura N� 5: Resultados de an�lisis de vulneraci�n utilizando la uni�n de suricata con elastic seach y visualizaci�n con kibana autor propio

Elaborado: Autor

 

Resultados y discusi�n

Durante el periodo de monitoreo continuo de 30 d�as, la honeynet instalada captur� un total de 15.482 eventos de seguridad, de los cuales 3.265 registros incluyeron identificadores �nicos de vulnerabilidades (CVE). El resto fueron catalogados como escaneos automatizados, tr�fico an�malo o accesos no autorizados sin firma conocida. Los eventos fueron almacenados en Elasticsearch y visualizados mediante Kibana, lo que permiti� realizar segmentaciones por IP de origen, tipo de protocolo, servicio atacado y severidad seg�n CVSS.

Vulnerabilidades:

En este proceso examinamos los 5 CVE m�s vulnerados para comprender su naturaleza, impacto y contexto.

 

Tabla N� 1: Datos encontrados de CVE ordenados seg�n su mayor frecuencia

Elaborado: Autor

 

CVE-2002-0013

1. Naturaleza: CVE-2002-0013 es una vulnerabilidad de desbordamiento de b�fer en el servidor de tiempo de red (NTP) en algunas versiones de Unix, incluidas Linux y FreeBSD. Esta vulnerabilidad permite que un atacante remoto ejecute c�digo arbitrario o cause una denegaci�n de servicio (DoS) mediante un paquete de protocolo malicioso.

2. Impacto: El impacto de esta vulnerabilidad es significativo, ya que un atacante remoto puede aprovecharla para tomar el control del sistema afectado o para provocar una interrupci�n en el servicio NTP, lo que puede tener repercusiones en la sincronizaci�n de tiempo de red y en otras funciones cr�ticas del sistema.

3. Contexto: La vulnerabilidad CVE-2002-0013 fue descubierta en 2002 y afecta a sistemas que ejecutan versiones vulnerables del protocolo NTP. Recomendamos a los administradores de sistemas que deben aplicar los parches correspondientes o tomar medidas de mitigaci�n para protegerse contra esta vulnerabilidad y mantener la integridad y la disponibilidad de sus sistemas.

Las vulnerabilidades en el manejo de solicitudes SNMPv1 de un gran n�mero de implementaciones SNMP permiten a atacantes remotos causar una denegaci�n de servicio u obtener privilegios a trav�s de mensajes (1) GetRequest, (2) GetNextRequest y (3) SetRequest, como lo demuestra PROTOS c06- Conjunto de pruebas SNMPv1.�(tenable, 2024)

CVE-2001-0540

1. Naturaleza: CVE-2001-0540 radica en una deficiencia en el servidor FTP (File Transfer Protocol) que permite a un atacante remoto acceder archivos y directorios fuera del directorio ra�z del servidor ftp. La causa de esta vulnerabilidad se debe a una escasez de autentificaci�n adecuada de las rutas de acceso proporcionadas por los usuarios durante las operaciones de transferencia de archivos. El servidor FTP no verifica adecuadamente si las rutas especificadas por los usuarios est�n dentro de los l�mites del directorio ra�z, lo que permite al atacante navegar fuera de los l�mites establecidos y acceder a archivos y directorios sensibles.

2. Impacto: El impacto de esta vulnerabilidad es significativo, ya que un atacante puede aprovecharla para obtener acceso no autorizado a archivos sensibles, modificar datos cr�ticos o incluso borrar informaci�n importante del servidor FTP comprometido. Dependiendo de la sensibilidad de los datos a los que se accede de manera no autorizada, el impacto puede ser grave y podr�a resultar en la divulgaci�n de informaci�n confidencial o la interrupci�n de servicios cr�ticos alojados en el servidor.

3. Contexto: La CVE-2001-0540 fue identificada en el a�o 2001, lo que significa que su descubrimiento ocurri� hace m�s de dos d�cadas. En ese momento, el uso de servidores FTP (Protocolo de Transferencia de Archivos) era muy com�n para la transferencia de archivos entre sistemas en redes, especialmente en entornos empresariales y de servidor. Sin embargo, la seguridad en los sistemas FTP no siempre era una prioridad, y las vulnerabilidades como la CVE-2001-0540 eran m�s frecuentes debido a las pr�cticas de desarrollo y las configuraciones inadecuadas.

La p�rdida de memoria en servidores Terminal en Windows NT y Windows 2000 permite a atacantes remotos provocar una denegaci�n de servicio (agotamiento de la memoria) a trav�s de un gran n�mero de solicitudes de Protocolo de escritorio remoto (RDP) mal formadas al puerto 3389. (cve.org, 1999-2024).

CVE-2012-0152

1.Naturaleza: �La CVE-2012-0152 se refiere a una vulnerabilidad de desbordamiento de b�fer en el kernel de Windows, espec�ficamente en la funci�n �win32k! NtGdiEnableEUDC".

2.Impacto: Esta vulnerabilidad permite que un atacante local ejecute c�digo arbitrario en el sistema afectado al enviar una solicitud especialmente dise�ada al sistema operativo.

3.Contexto: fue identificada en el a�o 2012 y afect� a sistemas operativos Microsoft Windows que ejecutaban versiones espec�ficas del kernel. En esa �poca, los sistemas Windows eran ampliamente utilizados en entornos corporativos y de consumo, y las vulnerabilidades en el kernel representaban un riesgo significativo para la seguridad de los sistemas.

El servicio de protocolo de escritorio remoto (RDP) en Microsoft Windows Server 2008 R2 Service Pack 1 y R2 y Windows 7 Gold y SP1 permite a atacantes remotos causar una denegaci�n de servicio (la aplicaci�n se bloquea) a trav�s de una serie de paquetes modificados, tambi�n conocido como "Terminal Server Denial of Service Vulnerability." (Intituto Nacional de Ciber Seguridad, 2024).

CVE-2001-0414

1.Naturaleza: a CVE-2001-0414 es una vulnerabilidad de desbordamiento de b�fer que reside en el c�digo de manejo de archivos adjuntos (attachments) del servidor de correo electr�nico Exim.

2.Impacto: Este desbordamiento de b�fer se produce cuando se procesan los nombres de archivo de los archivos adjuntos, permitiendo a un atacante remoto potencialmente ejecutar c�digo arbitrario en el servidor objetivo.

3.Contexto: fue identificada en el a�o 2001 y afecta a servidores de correo electr�nico Exim en versiones anteriores a la 3.22. En ese momento, Exim era uno de los servidores de correo electr�nico m�s utilizados en entornos de servidor de correo electr�nico corporativo y en proveedores de servicios de Internet (ISP).

El desbordamiento de b�fer en ntpd ntp daemon 4.0.99k y anteriores (tambi�n conocido como xntpd y xntp3) permite a atacantes remotos provocar una denegaci�n de servicio y posiblemente ejecutar comandos arbitrarios mediante un argumento readvar largo. (Red Had , 2024)

CVE-2019-11500

1.Naturaleza: La CVE-2019-11500 es una vulnerabilidad de inyecci�n de c�digo remoto que reside en el m�dulo de b�squeda de la aplicaci�n de gesti�n de bases de datos Elasticsearch. Esta vulnerabilidad permite a un atacante remoto inyectar y ejecutar c�digo malicioso en el servidor Elasticsearch afectado a trav�s de consultas de b�squeda especialmente dise�adas

2.Impacto: El impacto de la CVE-2019-11500 es muy grave. Esta vulnerabilidad permite que un atacante remoto ejecute c�digo arbitrario en el servidor de Elasticsearch comprometido. Al explotar esta vulnerabilidad, un atacante podr�a obtener acceso no autorizado al sistema, tomar el control total del servidor afectado, robar datos sensibles almacenados en la base de datos, modificar o eliminar informaci�n cr�tica, y utilizar el servidor comprometido como plataforma para lanzar ataques adicionales. contra otros sistemas en la red. En resumen, esta vulnerabilidad puede tener consecuencias catastr�ficas para la integridad, confidencialidad y disponibilidad de los datos almacenados en Elasticsearch.

3.Contexto: fue identificada en el a�o 2019 y afecta a versiones espec�ficas de Elasticsearch, una popular aplicaci�n de gesti�n de bases de datos utilizadas para el almacenamiento y b�squeda. de grandes vol�menes de datos. En ese momento, Elasticsearch era ampliamente utilizado en una variedad de entornos, incluyendo aplicaciones web, an�lisis de registros, b�squeda de texto completo y m�s.

En Dovecot anterior a 2.2.36.4 y 2.3.x anterior a 2.3.7.2 (y Pigeonhole anterior a 0.5.7.2), el procesamiento del protocolo puede fallar para las cadenas entre comillas. Esto ocurre porque los caracteres '\0' se manejan mal y pueden provocar escrituras fuera de l�mites y ejecuci�n remota de c�digo.�(NATIONAL VULNERABILITY DATABASE, 2024)

Identificaci�n de Categor�as:

Agrupar las CVE (Common Vulnerabilities and Exposures) puede ser una tarea �til para entender mejor las vulnerabilidades en un sistema o conjunto de sistemas, y para priorizar las acciones de mitigaci�n.

Las vulnerabilidades pueden clasificarse en diferentes tipos, como desbordamientos de b�fer (buffer Overflow), inyecciones SQL, vulnerabilidades de ejecuci�n remota de c�digo. Y otras m�s en este trabajo utilizaremos las 3 clasificaciones anteriormente dichas.

 

Tabla N� 2: Clasificaci�n del top 5 seg�n su naturaleza

Elaborado: Autor

Tabla N� 3: Clasificaci�n top 5 inyecci�n SqL

Elaborado: Autor

 

Tabla N� 4: Clasificaci�n top 5 vulnerabilidades de ejecuci�n remota de c�digo

Fuente: registros de la honeynet UPEC, correlacionados con NVD.

 

Los cinco CVE m�s recurrentes est�n asociados a ataques dirigidos a servicios ampliamente expuestos en infraestructura empresarial y educativa. La alta frecuencia de explotaci�n de Apache HTTPD y SMB demuestra que, a pesar del tiempo transcurrido desde su descubrimiento, estas vulnerabilidades contin�an siendo objetivos frecuentes debido a la lenta adopci�n de actualizaciones en algunos entornos.

 

 

 

Figura N� 6: Distribuci�n de ataques por pa�s de origen

Elaborado: Autor

 

El an�lisis geogr�fico evidenci� que una parte significativa de los ataques provino de redes ubicadas en Asia y Europa del Este. Estas estad�sticas coinciden con los informes de amenazas publicados por organismos internacionales como el Fortinet Threat Landscape Report 2023.

 

Figura N� 7: Tipos de ataque detectados por protocolo

Elaborado: Autor

 

Los ataques de fuerza bruta en SSH representaron la categor�a m�s frecuente, seguidos de exploits sobre el protocolo SMB. Esto respalda lo afirmado por Fan et al. (2024), quienes identificaron un patr�n global de escaneos automatizados en servicios SSH y RDP.

Figura N� 8: Severidad de CVEs seg�n puntuaci�n CVSS

Elaborado: Autor

 

M�s del 60% de las CVE detectadas fueron clasificadas como de alta severidad, lo que indica una preferencia de los atacantes por vulnerabilidades cr�ticas, capaces de comprometer sistemas con un solo paquete o sin necesidad de autenticaci�n previa (Kubba et al., 2025).

 

Discusi�n

Los hallazgos coinciden con los reportes de Morić et al. (2025) y Torres et al. (2019), quienes demostraron que los honeypots pueden capturar un panorama representativo de los ataques m�s prevalentes. En nuestro caso, los datos muestran c�mo las campa�as de explotaci�n automatizadas a�n dependen de vulnerabilidades de alta exposici�n p�blica.

Asimismo, los resultados validan lo planteado por Jin et al. (2020), en relaci�n a que los honeypots no solo permiten detecci�n pasiva, sino que ofrecen m�tricas �tiles para priorizar parches y reforzar pol�ticas de defensa en la red.

Finalmente, el an�lisis temporal revel� que los picos de actividad se concentraron durante fines de semana y horas nocturnas, un comportamiento t�pico en redes atacadas por bots distribuidos, como se documenta en estudios recientes de Honeynet Project y la investigaci�n de L�pez-Morales et al. (2020).

 

Conclusiones

• En conclusi�n, la clasificaci�n de las CVE (Common Vulnerabilities and Exposures) es una herramienta invaluable para comprender y abordar los riesgos de seguridad cibern�tica. A trav�s de la categorizaci�n y agrupaci�n de las CVE seg�n diversos criterios, como el tipo de vulnerabilidad, su naturaleza y el contexto hist�rico, los profesionales de la seguridad pueden identificar patrones, priorizar acciones de mitigaci�n y fortalecer las defensas contra posibles amenazas.
• Adem�s, la clasificaci�n de los CVE facilita la comunicaci�n entre los equipos de seguridad, los desarrolladores de software y los administradores de sistemas al proporcionar un marco com�n para discutir y abordar los problemas de seguridad. Esto permite una respuesta m�s r�pida y eficiente a las vulnerabilidades conocidas, ayudando a proteger los sistemas y datos cr�ticos contra posibles ataques.
• Sin embargo, es importante recordar que la clasificaci�n de las CVE es solo el primer paso en la gesti�n de la seguridad cibern�tica. Para garantizar una protecci�n efectiva contra las amenazas, es crucial implementar medidas proactivas de seguridad, como la aplicaci�n regular de parches, la configuraci�n adecuada de los sistemas, el monitoreo continuo de la red y la concientizaci�n sobre seguridad entre los usuarios y el personal de TI.
• Al combinar la clasificaci�n de las CVE con pr�cticas de seguridad s�lidas, la Universidad Polit�cnica Estatal del Carchi puede reducir de manera significativa su exposici�n a riesgos de seguridad y fortalecer su postura general de seguridad cibern�tica.

 

Referencias

      1.            Ba�er, M., G�ven, E. Y., & Aydin, M. A. (2021)... https://doi.org/10.1109/UBMK52708.2021.9558948

      2.            Cabrera, G. (27 de enero de 2022). somospnt. somospnt: https://somospnt.com/blog/241-que-es-kibana-configuracion-basica#:~:text=Kibana%20es%20una%20aplicaci�n%20frontend,de%20datos%20almacenados%20en%20Elasticsearch.

      3.            Cheswick, W. R. (1992) ... USENIX.

      4.            Cole, E., & Northcutt, S. (2002). Honeypots: A security manager's guide to honeypots. SANS Institute.

      5.            Cole, E., & Northcutt, S. (2002) ... SANS Institute.

      6.            Elasticsearch. (2023). Elastic. Elastic: https://www.elastic.co/es/elasticsearch

      7.            Fan, W., et al. (2024). HoneyDOC: An efficient honeypot architecture. arXiv. https://doi.org/10.48550/arXiv.2402.06516

      8.            Fan, W., et al. (2024) ... https://doi.org/10.48550/arXiv.2402.06516

      9.            Feily, M., Shahrestani, A., & Ramadass, S. (2009). Botnet detection. SECURWARE. https://doi.org/10.1109/SECURWARE.2009.48

  10.            Feily, M., et al. (2009) ... https://doi.org/10.1109/SECURWARE.2009.48

  11.            Fortinet. (2023). Fortinet threat landscape report Q3 2023. Fortinet Inc. https://www.fortinet.com/blog/threat-research/q3-2023-threat-report

  12.            Fraunholz, D., et al. (2021). An adaptive honeypot configuration. arXiv. https://doi.org/10.48550/arXiv.2111.03884

  13.            Jicha, A., et al. (2016). SCADA honeypots: Conpot analysis. IEEE ISI. https://doi.org/10.1109/ISI.2016.7745463

  14.            Jin, Y., Wang, H., & Wang, X. (2020). A survey of honeypot research. Computer Networks. https://doi.org/10.1016/j.comnet.2020.107237

  15.            Kosheliuk, V., & Tulashvili, Y. (2024). Implementing honeypots with AWS and ELK. Computing. https://doi.org/10.47839/ijc.23.4.3761

  16.            Kosheliuk, V., & Tulashvili, Y. (2024)... https://doi.org/10.47839/ijc.23.4.3761

  17.            Kristyanto, M. A., et al. (2022)... https://doi.org/10.1109/ICoICT55009.2022.9914864

  18.            Kubba, A., et al. (2025). A systematic review of honeypot data collection. SSRN. https://doi.org/10.2139/ssrn.5242873

  19.            Langner, R. (2011). Stuxnet: Dissecting a cyberwarfare weapon. IEEE Security & Privacy, 9(3), 49�51. https://doi.org/10.1109/MSP.2011.67

  20.            Langner, R. (2011)... https://doi.org/10.1109/MSP.2011.67

  21.            Litchfield, D. (2003). The database hacker�s handbook: Defending database servers. Wiley Publishing.

  22.            L�pez-Morales, E., et al. (2020). HoneyPLC: A next-generation honeypot. ACM CCS. https://doi.org/10.1145/3372297.3417231

  23.            Machmeier, S. (2024). Honeypot implementation in a cloud environment. arXiv. https://doi.org/10.48550/arXiv.2301.00710

  24.            Machmeier, S. (2024)... https://doi.org/10.48550/arXiv.2301.00710

  25.            Matin, I. M. M., & Rahardjo, B. (2019)... https://doi.org/10.1109/CITSM47753.2019.8965419

  26.            Mehta, S., et al. (2021)... https://doi.org/10.1109/ICSES52305.2021.9633881

  27.            Mokube, I., & Adams, M. (2007). Honeypots: Concepts, approaches, and challenges. ACM, 321�326. https://doi.org/10.1145/1233341.1233399

  28.            Mokube, I., & Adams, M. (2007)... https://doi.org/10.1145/1233341.1233399

  29.            Morić, Z., et al. (2025). Advancing cybersecurity with honeypots. Informatics. https://doi.org/10.3390/informatics12010014

  30.            Mudgal, A., & Bhatia, S. (2022)... https://doi.org/10.1109/COM-IT-CON54601.2022.9850502

  31.            Provos, N., & Holz, T. (2007). Virtual Honeypots. Addison-Wesley.

  32.            Spitzner, L. (2003). Honeypots: Tracking Hackers. Addison-Wesley.

  33.            Torres, C. F., et al. (2019). The art of the scam: Demystifying honeypots in Ethereum smart contracts. arXiv. https://doi.org/10.48550/arXiv.1902.06976

  34.            W�hlisch, M., et al. (2013). Design, implementation, and operation of a mobile honeypot. arXiv. https://doi.org/10.48550/arXiv.1301.7257

  35.            Zhou, Y., & Jiang, X. (2012). Dissecting Android malware: Characterization and evolution. IEEE Symposium on Security and Privacy, 95�109. https://doi.org/10.1109/SP.2012.16

  36.            kaspersky. (2023). kaspersky. kaspersky resources: https://www.kaspersky.es/resource-center/threats/what-is-a-honeypot

 

 

 

 

 

� 2025 por el autor. Este art�culo es de acceso abierto y distribuido seg�n los t�rminos y condiciones de la licencia Creative Commons Atribuci�n-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0)

(https://creativecommons.org/licenses/by-nc-sa/4.0/).