Saltearse al contenido

Nube — AWS

Plan Pro

A diferencia de los señuelos basados en URL, estos son recursos reales en la nube — credenciales que se pueden usar de verdad, o servicios reales que responden a una conexión real.

aws-keys

Credenciales de AWS reales, de un usuario sin ningún permiso. Cualquier intento de uso — aunque sea solo para comprobar si son válidas — se detecta al instante.

Ventana de terminal
nulldec deploy --type aws-keys

Dónde plantarlo: un .env mal nombrado en un repositorio, variables de entorno de una función, un gestor de contraseñas compartido.

aws-secret

Un secreto real en AWS Secrets Manager, con pinta de credencial de producción.

Ventana de terminal
nulldec deploy --type aws-secret

aws-s3

Un bucket real de S3, con un fichero cebo dentro — se detecta en cuanto alguien lista su contenido o lee el fichero.

Ventana de terminal
nulldec deploy --type aws-s3

aws-dynamodb

Una tabla real de DynamoDB, con una fila cebo — se detecta al consultarla.

Ventana de terminal
nulldec deploy --type aws-dynamodb

aws-lambda

Una función Lambda real, sin ningún permiso — se detecta en cuanto alguien intenta invocarla.

Ventana de terminal
nulldec deploy --type aws-lambda

aws-ecr

Un repositorio de contenedores real — se detecta cuando alguien intenta descargar la imagen. Pensado específicamente para el escenario de cadena de suministro (una dependencia o imagen comprometida que intenta acceder a otros repositorios).

Ventana de terminal
nulldec deploy --type aws-ecr