ChacalTokens — Guía de uso🔗 Token URL trampa
El tipo más sencillo. Creas una URL que parece legítima y la colocas donde quieras que actúe como alarma. Cuando alguien la visita, recibes una alerta inmediata.
1
Crea el token
En el panel, pulsa + Nuevo token y selecciona el tipo URL
Nombre del token
Backup credenciales servidor
Descripción
Colocado en carpeta /backup del NAS
Slug personalizado (opcional)
backup-nas-2024
Redirigir a
https://chacalsecurity.com
2
Copia tu URL de tracking
Tras crear el token, pulsa Ver para ver los detalles. Encontrarás tu URL única:
https://t.chacalsecurity.com/backup-nas-2024
💡 Puedes personalizar el slug para que la URL parezca más legítima según el contexto: /verify-access, /shared-docs, /reset-password...
3
Coloca el cebo
Pega la URL donde quieras que actúe como alarma. Algunos ejemplos:
📁 Como acceso directo en una carpeta compartida
📧 En el cuerpo de un email interno de prueba
📝 En un documento como "enlace de descarga"
🖥️ Como favorito del navegador en un equipo sensible
💬 En un chat interno como "documento compartido"
📧 En el cuerpo de un email interno de prueba
📝 En un documento como "enlace de descarga"
🖥️ Como favorito del navegador en un equipo sensible
💬 En un chat interno como "documento compartido"
4
Recibe la alerta
En cuanto alguien visite la URL recibirás (si tienes Telegram configurado):
🪤 ChacalTokens — Token disparado
Token: Backup credenciales servidor
Tipo: URL
IP: 82.145.23.187
País: 🇪🇸 España — Madrid
ISP: Telefónica de España
Navegador: Chrome
SO: Windows 10/11
Tipo: URL
IP: 82.145.23.187
País: 🇪🇸 España — Madrid
ISP: Telefónica de España
Navegador: Chrome
SO: Windows 10/11
El atacante es redirigido a la URL que hayas configurado (por defecto chacalsecurity.com) sin saber que ha sido detectado.
📱 Token QR code
Genera un código QR que apunta a tu URL de tracking. Ideal para activos físicos: impresoras, servidores, armarios de red, documentos impresos.
1
Crea el token QR
Selecciona tipo QR y personaliza los colores si quieres que encaje con tu documentación corporativa.
Color del QR
#000000 (negro)
Color de fondo
#ffffff (blanco)
Nombre del archivo
qr_impresora_planta2
2
Descarga el PNG
Pulsa el botón ↓ Descargar en la lista de tokens. Obtendrás un PNG listo para imprimir o incrustar en documentos.
3
Colócalo estratégicamente
🖨️ Etiqueta en impresoras o fotocopiadoras
🗄️ Pegatina en armarios de servidores o switches
📄 Pie de página de documentos internos impresos
🏷️ Etiqueta de inventario en equipos sensibles
📋 Carteles de "Acceso restringido" con QR de "más info"
🗄️ Pegatina en armarios de servidores o switches
📄 Pie de página de documentos internos impresos
🏷️ Etiqueta de inventario en equipos sensibles
📋 Carteles de "Acceso restringido" con QR de "más info"
💡 Un atacante que accede físicamente al espacio escaneará QRs para obtener información. Ese gesto te alerta de la intrusión física.
📄 Token Word (DOCX)
Genera un documento Word con múltiples métodos de tracking embebidos. Cuando alguien lo abre en Word con conexión a Internet, se activa automáticamente.
1
Elige la plantilla y personaliza
Plantilla
Credenciales de acceso
Nombre del archivo
Credenciales_VPN_2024
Autor en metadatos
IT Department
Título visible
Credenciales de acceso — CONFIDENCIAL
Texto introductorio
Listado actualizado Q4 2024. No distribuir sin autorización de IT.
2
Descarga el DOCX
El documento incluye de forma invisible: imagen remota 1×1px que se carga al abrir, hipervínculo oculto de color blanco tamaño 1pt, y metadatos con información de tracking.
⚠️ El tracking se activa cuando Word carga el documento con conexión a Internet. Si el atacante abre el archivo sin conexión, no se registra el disparo.
3
Colócalo como cebo
📁 En una carpeta compartida con nombre tentador
💾 En un servidor NAS o unidad de red
📧 Adjunto en un email interno de "actualización"
🖥️ En el escritorio de un equipo de prueba
☁️ En una carpeta de Dropbox o SharePoint corporativo
💾 En un servidor NAS o unidad de red
📧 Adjunto en un email interno de "actualización"
🖥️ En el escritorio de un equipo de prueba
☁️ En una carpeta de Dropbox o SharePoint corporativo
💡 Nombres que generan curiosidad: Credenciales_VPN_2024.docx, Salarios_empleados_Q4.docx, Plan_despidos_confidencial.docx
📊 Token Excel (XLSX)
Genera un Excel con fórmulas de tracking en una hoja oculta. Excel ejecuta la fórmula WEBSERVICE al calcular, contactando con tu servidor de tracking.
1
Personaliza el Excel
Plantilla
Tabla salarial
Nombre del archivo
Salarios_2024_confidencial
Título de la hoja
Salarios Q4
Texto del enlace
Ver datos completos en SharePoint →
2
Cómo funciona el tracking
El archivo contiene en una hoja oculta llamada _datos:
A1: =WEBSERVICE("https://t.chacalsecurity.com/tu-slug?src=xlsx")
A2: =IFERROR(WEBSERVICE("https://t.chacalsecurity.com/tu-slug?src=xlsx2"),"ok")
A2: =IFERROR(WEBSERVICE("https://t.chacalsecurity.com/tu-slug?src=xlsx2"),"ok")
Excel ejecuta estas fórmulas al abrir el archivo si tiene conexión a Internet y el usuario permite el contenido externo.
💡 Para maximizar la detección, el archivo también incluye un hipervínculo visible con texto como "Ver datos actualizados en SharePoint" que registra un clic manual.
3
Dónde colocarlo
📊 Carpeta de RRHH con nombre de nóminas
💰 Servidor contable como "presupuesto anual"
📁 Unidad compartida como "datos clientes"
💾 Backup falso de base de datos exportada
💰 Servidor contable como "presupuesto anual"
📁 Unidad compartida como "datos clientes"
💾 Backup falso de base de datos exportada
📋 Token PDF
Genera un PDF con un enlace invisible de tracking y un enlace trampa visible. Se activa cuando el usuario abre el PDF y hace clic en el enlace.
1
Personaliza el PDF
Plantilla
Informe de auditoría
Título
Auditoría de seguridad — Informe ejecutivo
Subtítulo
Uso exclusivo dirección — Clasificado
Texto del enlace trampa
Acceder al informe completo con anexos →
2
Cómo funciona
El PDF contiene dos métodos de detección:
Método 1: Punto invisible (1pt, color blanco) con enlace de tracking en la primera línea. Se activa al abrir en algunos lectores PDF.
Método 2: Enlace azul visible con texto tentador. Se activa cuando el usuario hace clic buscando "más información".
Método 2: Enlace azul visible con texto tentador. Se activa cuando el usuario hace clic buscando "más información".
⚠️ El tracking del PDF depende del lector. Adobe Acrobat y navegadores web tienen mejor tasa de activación que lectores offline.
3
Dónde colocarlo
📋 Carpeta de dirección como "informe confidencial"
⚖️ Documentación legal o contractual sensible
🔒 Archivo de RRHH con expedientes de personal
📨 Adjunto en email como "propuesta comercial exclusiva"
⚖️ Documentación legal o contractual sensible
🔒 Archivo de RRHH con expedientes de personal
📨 Adjunto en email como "propuesta comercial exclusiva"
🌐 Token HTML
El tipo más potente. Genera una página web completa con 4 métodos de tracking simultáneos. Máxima fiabilidad incluso con bloqueadores de anuncios.
1
Elige la plantilla visual
Plantilla
Portal VPN
Título de la página
Acceso VPN Corporativo
Nombre del archivo
vpn_acceso_corporativo
💡 Plantillas disponibles: Login genérico · Portal VPN · Google Drive · Error 403
2
Los 4 métodos de tracking
1. fetch() — Llamada silenciosa al cargar la página
2. img src — Imagen 1x1 invisible cargada automáticamente
3. sendBeacon() — API del navegador para tracking fiable
4. iframe — Frame oculto como respaldo
2. img src — Imagen 1x1 invisible cargada automáticamente
3. sendBeacon() — API del navegador para tracking fiable
4. iframe — Frame oculto como respaldo
Si uno falla por un bloqueador, los otros tres lo compensan. Tasa de detección cercana al 100% en navegadores modernos.
3
Dos formas de usarlo
Opción A — Archivo descargado: Descarga el .html y súbelo a un servidor, NAS o compártelo directamente. Quien lo abra en el navegador activa el tracking.
Opción B — URL directa: Usa directamente la URL de tracking t.chacalsecurity.com/tu-slug. La página se sirve desde nuestro servidor, sin necesidad de alojar nada.
Opción B — URL directa: Usa directamente la URL de tracking t.chacalsecurity.com/tu-slug. La página se sirve desde nuestro servidor, sin necesidad de alojar nada.
📨 Configurar alertas Telegram
Recibe alertas instantáneas en tu móvil cuando un token es disparado. Disponible desde el plan Starter.
1
Habla con el bot de ChacalTokens
Abre Telegram y busca @ProxychacalAlerts_bot o haz clic en el enlace:
https://t.me/ProxychacalAlerts_bot
Pulsa START o escribe /start para iniciar el bot.
2
Obtén tu Chat ID
Tras iniciar el bot, busca en Telegram el bot @userinfobot, escríbele cualquier mensaje y te responderá con tu Chat ID numérico. Ejemplo: 123456789
1
Busca @userinfobot en Telegram
2
Escríbele cualquier mensaje (ej: "hola")
3
Te responde con tu Id: 123456789 — ese es tu Chat ID
3
Configúralo en tu perfil
Ve a Mi perfil en el panel de ChacalTokens, introduce tu Chat ID en el campo de Telegram y pulsa Guardar.
✅A partir de ese momento recibirás alertas instantáneas por cada disparo de cualquiera de tus tokens.
💡 Casos de uso reales
Situaciones donde ChacalTokens te ayuda a detectar intrusiones antes de que el daño sea irreversible.
🔍 Detectar acceso no autorizado a archivos
Coloca un DOCX o XLSX con nombre tentador en una carpeta compartida. Si alguien que no debería acceder lo abre, recibes la alerta de inmediato con su IP.
DOCX XLSX
🏢 Vigilar activos físicos de la oficina
Pega QRs en impresoras, servidores o armarios de red. Si alguien los escanea sin autorización, sabes que ha habido acceso físico no autorizado.
QR
🕵️ Auditoría de empleados con acceso privilegiado
Crea tokens en rutas sensibles a las que solo ciertos empleados tienen acceso. Un disparo indica que alguien con acceso legítimo está revisando archivos fuera de su rol.
URL PDF
🌐 Detectar crawlers y bots maliciosos
Inserta URLs de tracking en el código HTML de tu web en rutas que solo un bot agresivo visitaría. Cada visita te da la IP del bot.
URL HTML
📧 Verificar si tus emails son reenviados
Incluye una URL de tracking en emails confidenciales. Si el enlace se abre desde una IP diferente a la del destinatario, el email fue reenviado sin autorización.
URL
🔐 Trampa para atacantes en red interna
Coloca archivos HTML en servidores internos con nombres como "admin-panel" o "database-backup". Si alguien los abre, hay una intrusión activa en tu red.
HTML DOCX
📧 Token Email
Genera una dirección de email única que actúa como trampa. Cuando alguien envíe un mensaje a esa dirección recibirás una alerta inmediata con el remitente y el asunto. Ideal para detectar si alguien accede a listas de contactos o bases de datos internas.
1
Crea el token Email
En el panel pulsa + Nuevo token y selecciona el tipo Email. Añade una descripción interna para recordar dónde lo has colocado.
Nombre del token
Email CEO en lista de contactos
Descripción interna
Añadido a la libreta de contactos del servidor Exchange
2
Obtén tu dirección trampa
Tras crear el token verás tu dirección única en la lista:
trap-abc123xyz@tokens.chacalsecurity.com
💡 Pulsa Copiar email para copiarla al portapapeles. Esta dirección es permanente — no caduca mientras el token esté activo.
3
Colócala como cebo
Pon la dirección en lugares donde un atacante la encontraría y la usaría:
👤 Como contacto VIP en la libreta de direcciones corporativa
📋 En un documento interno como "email directo del CEO"
🗄️ En una base de datos de clientes como contacto de prueba
📧 Como dirección de recuperación en sistemas internos
💾 En un backup o exportación de contactos
📋 En un documento interno como "email directo del CEO"
🗄️ En una base de datos de clientes como contacto de prueba
📧 Como dirección de recuperación en sistemas internos
💾 En un backup o exportación de contactos
💡 Nombres efectivos: "ceo.personal@tokens...", "backup.admin@tokens...", "soporte.interno@tokens..."
4
Recibe la alerta
En cuanto alguien envíe un email a tu dirección trampa recibirás en Telegram:
📧 ChacalTokens — Token Email disparado
Token: Email CEO en lista de contactos
Remitente: atacante@dominio.com
Asunto: Hola, necesito información urgente
Dirección trampa: trap-abc123xyz@tokens.chacalsecurity.com
Remitente: atacante@dominio.com
Asunto: Hola, necesito información urgente
Dirección trampa: trap-abc123xyz@tokens.chacalsecurity.com
⚠️ El token se activa cuando alguien envía un email a esa dirección, no por tenerla guardada. Un atacante que importa tu libreta de contactos y envía un email masivo activa el token.
💡 Casos de uso específicos
📋 Detectar robo de base de datos de contactos
Inserta la dirección trampa en tu CRM o base de datos de clientes. Si alguien exporta y usa esa lista, recibirás el email del atacante.
🔐 Vigilar acceso a sistemas de email
Añade la dirección como contacto oculto en el servidor de correo. Un atacante que compromete el servidor y envía emails masivos te alerta.
🔍 Token DNS
Genera un subdominio DNS único. Cuando alguien resuelva ese nombre de dominio — con nslookup, ping, curl o cualquier herramienta — recibirás una alerta con la IP del resolver. Es el tipo más silencioso: se activa sin necesidad de hacer clic en ningún enlace.
1
Crea el token DNS
Selecciona tipo DNS y añade una descripción de dónde lo vas a colocar.
Nombre del token
Servidor interno en config VPN
Descripción interna
Hostname trampa en archivo de configuración OpenVPN
2
Obtén tu subdominio trampa
Tras crear el token verás tu subdominio único:
hzr4luoxdl.dns-t.chacalsecurity.com
💡 Pulsa Copiar dominio para copiarlo. Cuando alguien resuelva este nombre, recibirás la IP del servidor DNS que hizo la consulta (el resolver del atacante).
3
Colócalo como cebo
El token DNS brilla en configuraciones técnicas donde hay hostnames. Un atacante que accede a un archivo de configuración e intenta conectarse al servidor resolverá el nombre y te alertará:
🔧 Archivo de configuración VPN como hostname del servidor
📄 Scripts de backup o automatización como servidor destino
🖥️ Archivo hosts o configuración de red interna
⚙️ Configuración de aplicaciones como endpoint de API
📋 Documentación técnica como "servidor de staging"
💾 Archivos .env o de configuración de servidores
📄 Scripts de backup o automatización como servidor destino
🖥️ Archivo hosts o configuración de red interna
⚙️ Configuración de aplicaciones como endpoint de API
📋 Documentación técnica como "servidor de staging"
💾 Archivos .env o de configuración de servidores
4
Recibe la alerta
En cuanto alguien resuelva el subdominio recibirás en Telegram:
🔍 ChacalTokens — Token DNS disparado
Token: Servidor interno en config VPN
Tipo: DNS lookup
IP resolutora: 192.178.93.155
Dominio consultado: hzr4luoxdl.dns-t.chacalsecurity.com
Tipo: DNS lookup
IP resolutora: 192.178.93.155
Dominio consultado: hzr4luoxdl.dns-t.chacalsecurity.com
⚠️ La IP que recibes es la del servidor DNS resolver del atacante (Google, Cloudflare, el DNS corporativo...), no necesariamente la IP directa del atacante. Aun así es información valiosa para correlacionar con otros eventos.
5
Ejemplo de uso en archivo de configuración
# config.ovpn
remote hzr4luoxdl.dns-t.chacalsecurity.com 1194
proto udp
dev tun
# ... resto de configuración legítima
remote hzr4luoxdl.dns-t.chacalsecurity.com 1194
proto udp
dev tun
# ... resto de configuración legítima
Cuando el atacante importe este archivo e intente conectar, su cliente VPN resolverá el hostname y activará el token — incluso antes de que la conexión falle.
💡 Casos de uso específicos
🔧 Detectar robo de archivos de configuración
Inserta el subdominio en archivos .env, configuraciones de servidor o scripts de automatización. Si alguien los roba e intenta usarlos, el DNS lookup te alerta.
🌐 Detectar reconocimiento de red
Coloca el subdominio en documentación interna de red. Herramientas de escaneo como nmap resuelven nombres antes de conectar, activando el token sin que el atacante lo sepa.
⚙️ Vigilar acceso a repositorios de código
Añade el subdominio como variable de entorno o endpoint en el código fuente. Si alguien clona el repositorio y ejecuta el código, el token se dispara.
📋 Trampa en backups y exportaciones
Incluye el subdominio en backups de configuración. Si alguien restaura el backup en otro entorno, el DNS lookup activa la alerta inmediatamente.
🔑 API REST pública
El plan Business incluye acceso completo a la API REST de ChacalTokens. Integra la creación y monitorización de tokens directamente en tus propios sistemas, scripts o aplicaciones.
1
Genera tu API key
Ve a Mi perfil → API Keys y pulsa + Nueva key. Ponle un nombre descriptivo (ej: "Servidor producción", "Script backup"). La key se muestra una sola vez — guárdala en un lugar seguro.
Tu API key
ctk_3121eb86368529dc5c8c4a787da962ab7aba0...
⚠ Guarda esta key ahora — no se mostrará de nuevo
2
Autenticación
Incluye tu API key en el header
X-API-Key en todas las peticiones:
curl -H "X-API-Key: ctk_tu_key" \
https://tokens.chacalsecurity.com/tokens-api/v1/stats
https://tokens.chacalsecurity.com/tokens-api/v1/stats
3
Endpoints disponibles
GET /tokens-api/v1/stats
→ Stats globales: tokens activos, disparos totales, disparos hoy
GET /tokens-api/v1/tokens
→ Lista todos tus tokens activos
POST /tokens-api/v1/tokens
→ Crea un nuevo token (body JSON: nombre, tipo, descripcion, slug, redirect_url)
GET /tokens-api/v1/tokens/{id}/eventos
→ Disparos registrados de un token específico
DELETE /tokens-api/v1/tokens/{id}
→ Elimina un token
→ Stats globales: tokens activos, disparos totales, disparos hoy
GET /tokens-api/v1/tokens
→ Lista todos tus tokens activos
POST /tokens-api/v1/tokens
→ Crea un nuevo token (body JSON: nombre, tipo, descripcion, slug, redirect_url)
GET /tokens-api/v1/tokens/{id}/eventos
→ Disparos registrados de un token específico
DELETE /tokens-api/v1/tokens/{id}
→ Elimina un token
4
Ejemplo — Crear token URL via API
curl -X POST \
https://tokens.chacalsecurity.com/tokens-api/v1/tokens \
-H "X-API-Key: ctk_tu_key" \
-H "Content-Type: application/json" \
-d '{
"nombre": "Trampa servidor backup",
"tipo": "url",
"descripcion": "En carpeta /backup/credentials",
"redirect_url": "https://google.com"
}'
https://tokens.chacalsecurity.com/tokens-api/v1/tokens \
-H "X-API-Key: ctk_tu_key" \
-H "Content-Type: application/json" \
-d '{
"nombre": "Trampa servidor backup",
"tipo": "url",
"descripcion": "En carpeta /backup/credentials",
"redirect_url": "https://google.com"
}'
Respuesta:
{ "id": 21, "slug": "g8w8tjw7a8", "tipo": "url", ... }
URL de tracking: https://t.chacalsecurity.com/g8w8tjw7a8
{ "id": 21, "slug": "g8w8tjw7a8", "tipo": "url", ... }
URL de tracking: https://t.chacalsecurity.com/g8w8tjw7a8
5
Webhooks — Recibe alertas en tu servidor
Configura una URL en Mi perfil → Webhook para recibir una llamada HTTP cada vez que un token sea disparado. Opcionalmente añade un secret para verificar la firma HMAC.
// Payload que recibirás en tu servidor:
{
"evento": "token.disparado",
"token": { "nombre": "...", "tipo": "url", "slug": "..." },
"disparo": {
"ip": "82.145.23.187",
"pais": "España",
"ciudad": "Madrid",
"detectado_en": "2026-05-03T13:18:30"
}
}
{
"evento": "token.disparado",
"token": { "nombre": "...", "tipo": "url", "slug": "..." },
"disparo": {
"ip": "82.145.23.187",
"pais": "España",
"ciudad": "Madrid",
"detectado_en": "2026-05-03T13:18:30"
}
}
💡 Verificar firma HMAC: Si configuras un secret, recibirás el header
X-ChacalTokens-Signature: sha256=.... Verifica que coincide con HMAC-SHA256 del body usando tu secret.
¿Listo para integrar ChacalTokens en tus sistemas?
El plan Business incluye API REST, webhooks y tokens ilimitados.
Ver planes →❓ Preguntas frecuentes
Resuelve tus dudas sobre el funcionamiento de ChacalTokens.
¿El atacante sabe que ha sido detectado? ▾
No. El token redirige al atacante a una URL normal (por defecto chacalsecurity.com) sin mostrar ningún mensaje de alerta. El disparo es completamente invisible.
¿Funciona si el atacante usa VPN? ▾
Sí, pero verás la IP del servidor VPN en lugar de la IP real del atacante. Aun así obtendrás información valiosa: el proveedor VPN, el país del servidor y la hora exacta del acceso.
¿Cuándo NO se activa un token? ▾
Los tokens de documento (DOCX, XLSX) requieren conexión a Internet al abrir el archivo. Si el atacante trabaja offline, el tracking no se activa. Los tokens URL y HTML se activan siempre que haya conexión.
¿Puedo tener varios tokens del mismo tipo? ▾
Sí, puedes crear tantos como permita tu plan. Cada uno tiene su propio slug único, su propio historial de disparos y su propia configuración. Puedes tener 10 DOCX diferentes con distintos nombres y contenidos.
¿Los tokens caducan? ▾
No. Los tokens permanecen activos indefinidamente hasta que los elimines manualmente. Puedes desactivarlos temporalmente sin perder el historial de disparos.
¿Qué pasa si el mismo atacante abre el token varias veces? ▾
Cada apertura genera un nuevo evento en el historial. Sin embargo, para evitar spam en Telegram, existe una protección anti-disparo duplicado de 10 segundos: si la misma IP abre el token varias veces en menos de 10 segundos (como ocurre con los 4 métodos del HTML), solo genera una alerta.
¿Es legal usar ChacalTokens? ▾
Sí. ChacalTokens es una herramienta de seguridad defensiva. Los tokens se colocan en tus propios sistemas para detectar accesos no autorizados. Es equivalente a instalar una cámara de seguridad o un sistema de alarma en tu propiedad. No almacenamos datos personales del atacante más allá de la IP, que es información técnica de red.
¿Listo para poner tus primeros cebos?
Empieza gratis con 3 tokens. Sin tarjeta de crédito.
Ir al panel →