El seguimiento oculto de las acciones de usuarios o atacantes es una herramienta poderosa tanto en ciberseguridad como en la práctica de inteligencia de fuentes abiertas (OSINT). Entre las soluciones más populares en este ámbito se encuentran dos herramientas destacadas: CanaryTokens y IP Logger. A pesar de la similitud en sus objetivos, estos servicios difieren en metas, funcionalidad y uso. En este repaso analizaremos cómo funcionan, en qué se diferencian y en qué situaciones cada uno resulta más eficaz.
¿Qué es CanaryTokens?
CanaryTokens es un servicio gratuito de la empresa Thinkst Applied Research, diseñado para la detección discreta de intrusiones y actividad sospechosa. Funciona bajo el principio de "trampas": crea archivos, URL, consultas DNS y otros señuelos cuyo acceso envía una notificación al propietario.
¿Cómo funcionan CanaryTokens?
El usuario elige el tipo de token — por ejemplo, un archivo PDF, EXE, URL o una clave de AWS. Tras generar el token, se integra en el entorno (se envía por correo, se coloca en una carpeta pública, se inserta en el código). Si alguien interactúa con ese token, el propietario recibe una notificación por correo electrónico o mediante un webhook (gancho web).
- Compatibilidad con diversos formatos (documentos, enlaces, DNS, objetos web).
- Posibilidad de personalizar las notificaciones.
- Mínimo de falsos positivos: todo se basa en la interacción deliberada.
CanaryTokens no rastrea direcciones IP directamente, pero registra el origen de la solicitud y los encabezados asociados, lo que permite realizar OSINT básico.
¿Qué es IP Logger?
IP Logger es un servicio web popular que permite crear enlaces cortos y rastrear direcciones IP, sistemas operativos, geolocalización y otros parámetros de los usuarios que han seguido esos enlaces. Se usa con frecuencia en inteligencia de fuentes abiertas (OSINT) y en el monitoreo de actividad sospechosa.
Funciones de IP Logger
El servicio permite:
- Crear enlaces enmascarados e imágenes con seguimiento de IP.
- Obtener datos sobre la IP, el proveedor, el sistema operativo, el navegador y el dispositivo.
- Analizar el comportamiento de los visitantes (visitas repetidas, tiempos).
- Insertar píxeles en correos o páginas web.
IP Logger no envía notificaciones en tiempo real (a menos que se utilice la API, interfaz de programación de aplicaciones), pero ofrece estadísticas detalladas en el panel personal.
Tabla comparativa
| Criterio | CanaryTokens | IP Logger |
|---|---|---|
| Objetivo | Detección de intrusiones | Recopilación de información IP |
| Método | Activación de la trampa (token) | Acceso mediante enlace o descarga de imagen |
| Datos recopilados | Encabezados de la solicitud, IP, hora, agente de usuario | IP, geolocalización, dispositivo, sistema operativo, navegador |
| Notificaciones | Sí (correo electrónico, webhook) | No (solo mediante la interfaz web o la API) |
| Tipo de interacción | Implícita (apertura de archivo o acceso) | Explícita (seguir un enlace) |
| Aplicación | Equipos de defensa, trampas, protección de sistemas | OSINT, vigilancia, monitoreo |
| Anonimato | Alto, no revela las intenciones | Bajo, requiere seguir un enlace sospechoso |
Escenarios de uso
Cuándo elegir CanaryTokens
- Si configura un honeypot o protege la infraestructura contra amenazas internas.
- Cuando necesite detectar interacciones no deseadas con archivos confidenciales.
- Para crear trampas en la red corporativa o en la nube.
Cuándo conviene IP Logger
- Cuando sea necesario recopilar información sobre los visitantes de un sitio o de un correo.
- En el contexto de una investigación (por ejemplo, para determinar la IP real de un atacante).
- Para comprobar VPN, proxies, Tor y el anonimato del usuario.
Seguridad y aspectos éticos
Es importante entender que ambas herramientas pueden emplearse tanto con fines legítimos (seguridad, investigaciones) como para actividades poco éticas o incluso ilícitas. El uso de IP Logger sin el consentimiento del usuario puede violar las leyes de privacidad. Mientras que CanaryTokens están pensados sobre todo para protección y aviso, IP Logger se utiliza con frecuencia en estrategias agresivas de inteligencia de fuentes abiertas (OSINT).
Antes de utilizar cualquiera de estas herramientas, confirme que su uso cumple la legislación de su jurisdicción y respeta los estándares éticos.
Conclusión
CanaryTokens e IP Logger resuelven tareas distintas y son adecuados para diferentes objetivos. El primero funciona como mecanismo de protección para detectar intrusiones; el segundo es una herramienta de análisis y vigilancia. Si necesita rastrear de forma silenciosa y eficaz interacciones no deseadas, elija CanaryTokens. Si la prioridad es recopilar información detallada sobre usuarios o realizar inteligencia técnica, IP Logger será más conveniente.
Ambos servicios son gratuitos y fáciles de usar, lo que los convierte en herramientas valiosas tanto para profesionales como para entusiastas de la seguridad informática.
