Evidencia sellada · Acceso restringido

El expediente
está abierto.

Sistema Online · LabIntegridad OKÚltima captura 18:22:08Z
Desciende para abrir
Evidencias hoy +47Cadena de custodia · válidaHash SHA-256 · 100% integridadEventos · 2847Bloque actual #44721Uptime 99.998%Evidencias hoy +47Cadena de custodia · válidaHash SHA-256 · 100% integridadEventos · 2847Bloque actual #44721Uptime 99.998%
[ 01 / Flujo de evidencia ]
[ Frame 01 / Captura ]

Un atacante
llama a la puerta.

Una petición HTTP llega a un endpoint del honeypot web. La conexión es tan inocente como cualquier otra — salvo que aquí, cada byte queda registrado.

Para el atacante esto es una víctima. Para HoneyVault, la primera línea de un expediente que ya empezó a escribirse.
HTTP HEX DUMP80 → 8080
000045 00 00 3c 1c 46 40 00E..<.F@.000840 06 b1 e6 b9 dc 65 2f@.....e/0010c0 a8 01 0a 00 16 08 ae........00185c 8b 7d 4e 00 00 00 00\.}N....0020a0 02 fa f0 91 7a 00 00.....z..002802 04 05 b4 04 02 08 0a........003047 45 54 20 2f 6c 6f 67GET /log003869 6e 2e 70 68 70 20 2din.php -
SRC = 185.220.101.47 · TOR-EXIT-NODE-DE
[ Frame 02 / Disección ]

Cada byte se
etiqueta y clasifica.

El honeypot deja al atacante interactuar. Lo que sigue — payloads, cabeceras, intentos de inyección — se descompone en artefactos digitales con metadatos normalizados.

El payload no es ruido. Es prueba. Y la prueba necesita estructura.
session-00472/
├─ request.log1.2 KB
├─ payload.binIOC
├─ headers.json684 B
├─ body.raw12.4 KB
├─ metadata.json4.1 KB
└─ chain-of-custody.json512 B
7 ARTIFACTS · 1 IOC MATCHED · CLASIFICADO
[ Frame 03 / Sellado ]

El hash convierte
el dato en verdad.

SHA-256 sobre el bundle de la evidencia. Si un solo bit cambiase, el hash sería otro. Es la diferencia entre tener un log y tener una prueba defendible.

Una evidencia sin hash es una historia. Con hash, es un hecho.
INPUT · session-00472.bundle
4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00
b8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00
47 45 54 20 2f 6c 6f 67 69 6e 2e 70 68 70 20 -
77 67 65 74 20 68 74 74 70 3a 2f 2f 31 39 34 2e
SHA-256
SHA-256 · 64 BYTES
7f2c4a8e1d9b6f3a5c2e8d4b7a1f9c6e3d8b2a4f7c1e9d6b3a8f5c2e4d7b1a9f
Timestamp · labVERIFIED ✓
[ Frame 04 / Custodia ]

Ya no se puede
tocar. Solo leer.

Cada acción sobre la evidencia — abrirla, exportarla, citarla en un caso — queda encadenada en un registro de auditoría con sello temporal.

No es un log de auditoría sin más. Es la historia legible del expediente.
#44719EVIDENCE CREATEDby: ingest-daemon · 14:22:08Z
#44720SHA-256 SEALEDby: evidence-engine · 14:22:09Z
#44721ASSIGNED → CASE-2026-117by: analyst.ivan · 14:23:14Z
#44722OPENED FOR REVIEWby: forensic.mario · just now
[ Frame 05 / Exportación ]

Sale del sistema
como prueba pericial.

Bundle JSON con hashes anidados y un PDF resumen. Un tercero — perito, auditor — puede verificar la integridad recalculando el hash sobre el bundle, sin acceder a HoneyVault.

Lo que entra como ataque, sale como evidencia firmada.
HONEYVAULTEXP-2026-04472

Informe pericial
de evidencia digital

Caso
CASE-2026-117
Evidencia
#00472 · HTTP/80
Captura
2026-05-08 18:22:08Z
Origen
185.220.101.47 · TOR-DE
SHA-256
7f2c4a8e1d9b…
Hash anidado
VERIFIED ✓
Timestamp lab
VERIFIED ✓
PERITO
I. RONCERO
SUPERVISOR
M. RODRÍGUEZ
01 / 05
[ 02b / Telemetría global · Lab ]

Mientras lees, el laboratorio
recibe peticiones.

[ 04 / Telemetría · Lab ]

Datos del despliegue
de laboratorio.

LAB-DEPLOY · UNIR-CIBER · 2026.Q2
Honeypot web · entorno controlado
Sesión activa · datos hardcoded para demo
Ataques · 24h
+12.4%
0
↗ ÚLTIMA HORA · +47
Sparkline · ataques/hora · 48h
RT
Países origen
0
Protocolos
HTTP50%
Hashes hoy
0
Top 7 países · ataques
24H
CN
RU
US
VN
IN
BR
DE
Live attack stream · lab
LIVE
    Vector analysis
    HTTPSSHFTPSMBRDP
    Bytes capturados
    0GB
    Latency · ingest pipeline
    12ms
    UTC clock
    --:--:--2026.05.08
    honeypot-web-03 · live requests
    STREAM
    [ 03 / Manifiesto ]

    No es un dashboard.
    Es un cuaderno
    de logs evidencias.

    /01Los honeypots producen millones de líneas. Lo que falta no es captura — es custodia.

    /02Un log no defiende un caso. Un log con SHA-256 y un registro de auditoría firmado, sí.

    Convertimos el ruido del atacante en el material que tu equipo presenta el lunes.

    /03HoneyVault ingiere los eventos del honeypot web, los normaliza, calcula un hash SHA-256 sobre el bundle y registra cada acción en un log de auditoría.

    /04Cuatro roles previstos: analista, perito, supervisor, auditor. Permisos por evidencia y por caso.

    /05Y al final, un tercero puede verificar la integridad sin acceder a HoneyVault. Bundle + hash. Nada más.

    [ 05 / Acceso ]

    Solicita acceso
    al expediente.

    HONEYVAULT://AUTH● ESTABLISHED
    o explora el catálogo público sin registrarte →