Dominio 3 CySA+ — Incident Response: Guía Técnica Completa
Disclaimer
Este análisis y los escenarios descritos tienen finalidad exclusivamente educativa y de práctica profesional en entornos de laboratorio controlados. Su objetivo es la preparación para el examen CompTIA CySA+ (CS0-003). El uso de estas técnicas en sistemas reales sin autorización expresa es ilegal.
0x00 Gobernanza Documental
La respuesta a incidentes se sostiene sobre tres niveles de documentación con funciones distintas:
Policy (Política)
- Documento de más alto nivel. Define autoridad, ámbito y que constituye un incidente para la organización.
- Lenguaje administrativo, nunca técnico. No incluye herramientas ni pasos tácticos.
- Requiere la firma del CEO o nivel ejecutivo equivalente (Statement of Management Commitment).
- El CSIRT necesita autoridad ejecutiva para tomar decisiones que impactan la continuidad del negocio (ej. apagar un servidor de producción).
Procedures (Procedimientos)
- Instrucciones tácticas obligatorias y genéricas. El “como” de tareas estándar.
- Ejemplos: procedimiento de respaldo de logs, procedimiento de creación de tickets, procedimiento de escalamiento.
- Son estables y rigen la operación diaria.
Playbooks
- Recetas específicas para amenazas concretas: Playbook de Phishing, Playbook de Ransomware, Playbook de Insider Threat.
- Guían al analista paso a paso durante la crisis.
- Capturan el Tribal Knowledge (conocimiento empírico de analistas veteranos) y lo convierten en activo de la organización.
Trampa del examen: Nunca incluir detalles técnicos ni nombres de herramientas en la Policy. Las políticas requieren firma ejecutiva, un proceso burocrático lento. Si incluyen tecnología específica (ej. “usar Wireshark”), quedan obsoletas a los meses y pierden validez legal.
0x01 CSIRT: Composición y Roles
El CSIRT es multidisciplinario. Un incidente no se resuelve solo con personal técnico.
Miembros Core
- CSIRT Lead: Coordina la respuesta y toma decisiones tácticas.
- Analistas forenses: Ejecutan la respuesta técnica directa.
SME (Subject Matter Experts)
- Expertos técnicos externos al CSIRT que se integran temporalmente.
- Ejemplo: Si un incidente afecta la base de datos central, el DBA actua como SME proporcionando contexto sobre qué es normal y qué es anomalo en ese activo.
Apoyo Transversal
| Rol | Función crítica |
|---|---|
| Legal Counsel | Revisar comunicaciónes externas para evitar admision de responsabilidades |
| HR | Medidas disciplinarias, insider threats |
| PR | Control de narrativa pública |
| Management | Autoridad, presupuesto y recursos |
Trampa del examen: Involucrar a Law Enforcement debe hacerse bajo asesoria legal. El objetivo policial es la atribución y recolección de evidencia para juicio, lo que puede implicar incautación de servidores. El objetivo de negocio es recuperar el servicio. Estos objetivos chocan frontalmente.
0x02 Clasificación de Incidentes (NIST SP 800-61)
Jerarquía de ocurrencias:
- Event (Evento): Cualquier ocurrencia observable en un sistema o red. Neutro por definición.
- Adverse Event (Evento Adverso): Evento con consecuencias negativas. Una caida de sistema.
- Security Incident (Incidente de Seguridad): Violación confirmada de políticas de seguridad. Un acceso malicioso a datos.
Vectores de ataque NIST:
- Attrition: Fuerza bruta, DDoS
- Web: Vulnerabilidades en sitios
- Email: Phishing
- External/Removable Media: USBs infectados
- Improper Usage: Violación de políticas por usuarios autorizados
Los 4 pilares de severidad:
| Pilar | Pregunta clave |
|---|---|
| Functional Impact | Se detuvo la operación? |
| Economic Impact | Cuanto dinero perdemos por hora? |
| Recoverability Effort | Podemos arreglarlo internamente o necesitamos ayuda externa? |
| Information Impact | Que datos se comprometieron? |
Clasificación de impacto:
| Nivel | Functional Impact | Information Impact |
|---|---|---|
| None | Sin afectación de servicios | Sin compromiso (ej. laptop cifrada pérdida) |
| Low | Servicio no crítico interrumpido | Datos no sensibles |
| Medium | Servicio crítico para un subconjunto | Datos confidenciales o integridad alterada |
| High | Servicio crítico caido para toda la empresa | Brecha masiva de PII o datos críticos |
Trampa del examen: Si el CEO pierde su laptop pero tiene FDE (Full Disk Encryption), el impacto a la información es None. Si los datos se públicaron en Internet, el Recoverability Effort es Not Recoverable — no puedes borrar algo de la web global.
0x03 PICERL: Ciclo de Respuesta a Incidentes
Preparation
Sección donde se gana la guerra antes del combate.
Jump Kit — Maletin forense preparado para despliegue inmediato:
| Componente | Ejemplos |
|---|---|
| Write Blockers | Tableau T35u, WiebeTech |
| Cables y adaptadores | SATA, IDE, USB, Thunderbolt |
| Laptop forense | Con herramientas preinstaladas |
| Medios de imagen | Discos externos, SSDs |
| Formularios | Cadena de custodia, inventario de evidencia |
| Documentación | Playbooks impresos, contactos de escalamiento |
Tabletop Exercises vs Functional Exercises vs Full-Scale:
| Tipo | Descripción | Recursos |
|---|---|---|
| Tabletop | Simulación teorica, discusion de escenarios alrededor de una mesa | Bajos — solo tiempo del personal |
| Functional | Simulación práctica de un componente específico (ej. probar el playbooks de phishing) | Medios — herramientas de prueba |
| Full-Scale | Simulación completa con multiples equipos y sistemas | Altos — toda la organización |
NTP como requisito forense: Sin sincronización NTP, es imposible correlacionar timestamps de diferentes fuentes (firewall, SIEM, base de datos). Una discrepancia de tiempo invalida el análisis forense.
Preparación técnica: Implementar firewalls, IPS, EDR, SIEM — todo esto es Preparación, no Detección.
Detection and Analysis
Determinar si hay intrusión.
IoC (Indicator of Compromise) — Artefacto estático, sustantivo. Hash MD5/SHA-256, IP maliciosa, dominio C2. Reactivo.
IoA (Indicator of Attack) — Comportamiento dinámico, verbo. Patron de Beaconing, movimiento lateral, inyección SQL. Proactivo.
Precursors — Señales tempranas antes del incidente (ej. post en foro de hackers anunciando ataque para manana).
Proceso de análisis:
- Correlacionar logs de multiples fuentes (SIEM)
- Buscar precursors e indicators en Intel feeds
- Evaluar severidad con los 4 pilares
- Clasificar el incidente y documentar
- Escalar según procedimiento definido
Comunicación durante incidentes:
- Need-to-know basis: Solo informar a quienes necesitan saber. El conocimiento amplio de un incidente puede causar pánico o alertar al atacante.
- Escalation paths: Definidos previamente en los procedures. Quien notifica a quien, en que orden, con que nivel de detalle.
- Canales de comunicación seguros: No usar los canales comprometidos. Si el email corporativo esta bajo ataque, usar телефоны или canales alternativos predefinidos.
- Regla de oro: Nunca comunicar detalles internos del incidente en canales públicos o no seguros.
Containment
Regla absoluta: La Contención siempre precede a la Erradicación. Si intentas eliminar malware antes de aislar el host, el atacante detecta la acción y activa persistencia o propagación lateral.
Estrategias de contención:
| Estrategia | Definición | Uso |
|---|---|---|
| Segmentation | Mover el host a Quarantine VLAN | Permite seguir analizando con trafico controlado |
| Isolation | Desconectar red interna, mantener Internet | Observar trafico hacia C2 para inteligencia |
| Removal | Desconexión física total (sacar el cable) | Detener exfiltración masiva inmediata |
Trampa del examen: Al aplicar Removal, corres el riesgo de activar un Dead Man’s Switch. El malware puede estar programado para borrar el disco si pierde conectividad (ej. falla un ping constante a Google).
Eradication
Solo después de contener. Incluye:
- Eliminar malware, cuentas ocultas, backdoors
- Parchear la vulnerabilidad raiz
- Rotar credenciales comprometidas
- Verificar que no hay persistencia residual
Wipe and Rebuild es la única garantia real. Pasar antivirus no es suficiente — el atacante pudo dejar rootkits o cuentas ocultas.
Recovery
Restaurar sistemas a operación normal:
- Restaurar desde backup verificado (comprobar hash antes de restaurar)
- Reconstruir desde imagen limpia y conocida (reimaging)
- Monitorizar post-reincorporación — el periodo de observación es crítico
- Re-escanear vulnerabilidades para confirmar que el parche cerro la brecha raiz
- Verificar que el logging hacia el SIEM esta activo
Diferencia clave: Restaurar (backup) vs Reconstruir (imagen limpia). Si el backup esta comprometido, la reconstrucción es la única opción segura.
Lessons Learned
Obligatorio tras cada incidente.
- Facilitador independiente: La reunion la dirige alguien ajeno a la respuesta para garantizar objetividad.
- Enfoque no-blame: El objetivo no es culpar al analista, sino identificar porque fallo el proceso.
- Root Cause Analysis (RCA): Estrictamente técnico — porque fallo el control?
- Actualización de IoCs: Alimentar el SIEM con nuevos hashes e IPs para que el mismo ataque no repita.
0x04 Indicadores de Compromiso (IoCs)
IoCs de Red
NetFlow y volumen anomalo: Un servidor interno transfiere 9 GB a una IP externa desconocida. Detectar mediante Flow logs con análisis heuristico. Los flujos muestran volumen y destino; el baselining detecta la desviación.
Anomalías DNS:
| Técnica | Indicator | Detección |
|---|---|---|
| DNS Tunneling | Consultas masivas TXT con subdominios en base64 | Análisis de longitud de subdominios y tipo de registro |
| DGA | Inundación de errores NXDOMAIN | Monitorizar ratio NXDOMAIN/resolved |
| Fast-flux DNS | Rotación constante de IPs para un dominio | TTL anomalo bajo, IPs con mala reputación |
IoCs de Host
Windows Event IDs críticos:
| Event ID | Significado | Contexto forense |
|---|---|---|
| 4625 | Fallo de inicio de sesion | Multiples 4625 + un 4624 = fuerza bruta exitosa |
| 4624 | Inicio de sesion exitoso | Verificar Logon Type |
| 1102 | Log de auditoría borrado | Anti-forensics de máxima prioridad |
Logon Types:
| Type | Descripción | Uso legitimo |
|---|---|---|
| 2 | Interactivo (consola) | Inicio de sesion local |
| 3 | Red | Acceso a recursos compartidos |
| 4 | Batch | Tareas programadas |
| 5 | Servicio | Servicios de Windows |
| 7 | Desbloqueo | Desbloquear pantalla |
| 8 | NetworkCleartext | Autenticación en texto claro |
| 10 | RemoteInteractive | Remote Desktop (RDP) |
Trampa del examen: Una cuenta de servicio (svc_backup) con Logon Type 2 (Interactivo) o 10 (RDP) a las 3:00 AM es un compromiso confirmado.
Resource Hijacking (Cryptojacking): Pico de CPU al 100% sin carga de trabajo visible.
Staging: Antes de la exfiltración, el atacante mueve datos sensibles a una carpeta temporal (ej. C:\Temp\stage) y los comprime en ZIP protegido.
Trampa del examen: Comprimir datos en el host es la táctica Collection de MITRE ATT&CK. La táctica Exfiltration ocurre cuando el archivo sale de la red. Son fases distintas.
0x05 Forense Digital y Cadena de Custodia
Order of Volatility
Recolectar datos de mayor a menor volatilidad antes de que desaparezcan:
| Orden | Fuente | Volatilidad |
|---|---|---|
| 1 | CPU Cache, Registros, RAM | Máxima — se pierde al apagar |
| 2 | Procesos en ejecución, conexiónes de red | Alta — cambia constantemente |
| 3 | Tablas ARP, routing cache | Alta |
| 4 | Discos HDD/SSD | Baja — persistente |
| 5 | Backups, medios ópticos | Mínima — históricos |
Protocolo de Adquisición
- Documentar el estado del sistema ANTES de tocar nada (fotografias, timestamps)
- Capturar lo volatile primero (RAM, procesos, conexiónes)
- Usar Write Blockers físicos SIEMPRE antes de conectar discos
- Crear imagen bit-a-bit (RAW) que incluya Slack Space y Unallocated Space
- Generar hash del original y de la imagen — si coinciden, integridad probada
- Documentar cadena de custodia: quien toco la evidencia, cuando, con que proposito
Nota técnica: MD5 y SHA-1 siguen siendo válidos para validación forense de imágenes, aunque SHA-256 es la recomendación moderna.
Evidencia Volatile vs Non-Volatile
| Volatile (se pierde al apagar) | Non-Volatile (persiste) |
|---|---|
| RAM, procesos activos | Discos HDD/SSD |
| Conexiónes de red establecidas | Archivos y registros |
| Tablas ARP, DNS cache | Registry de Windows |
| Clipboard contents | Event logs |
Regla: Siempre capturar lo volatile ANTES de apagar. Si apagas primero, pierdes la evidencia más crítica.
0x06 Sanitización (NIST SP 800-88)
| Nivel | Método | Protección contra |
|---|---|---|
| Clear | Sobrescritura lógica | Recuperación simple |
| Purge | Degaussing, cifrado criptografico | Recuperación en laboratorio |
| Destroy | Trituración, incineración | Toda recuperación |
Regla del examen: Clear es suficiente para reutilizar internamente. Purge para transferir a terceros. Destroy para datos de máxima clasificación o cuando el medio no soporta Purge.
0x07 Frameworks de Análisis de Intrusión
| Framework | Enfoque | Uso principal |
|---|---|---|
| MITRE ATT&CK | Catalogo de TTPs | Generar hipótesis de Threat Hunting |
| Cyber Kill Chain | Lineal, 7 fases | Identificar en que fase esta el atacante para romper la cadena |
| Diamond Model | Relacional (Adversary, Capability, Infrastructure, Victim) | Pivoting: de una IP descubrir otras victimas |
Cyber Kill Chain — 7 fases:
- Reconnaissance
- Weaponization
- Delivery
- Exploitation
- Installation
- Command and Control (C2)
- Actions on Objectives
Diamond Model — Pivoting: Si conozco la IP del atacante (Infrastructure), puedo pivotar para descubrir otras victimas afectadas por la misma infraestructura.
0x08 Retención de Evidencia y Logs
Retention Policies: Definir cuanto tiempo guardar evidencia y logs:
- Logs de seguridad: Mínimo 1 ano (muchos marcos normativos lo requieren)
- Evidencia forense: Hasta que el caso legal se cierre o se determines que no hay acción legal
- Backups de imágenes forenses: Según política organizacional, típicamente 3-5 años para litigación pendiente
- IoCs y Intel: Actualizar continuamente; los indicators envejecen rápidamente (ej. IPs que se reasignan)
Regla del examen: No eliminar evidencia hasta que Legal Counsel lo autorice por escrito. La destrucción prematura de evidencia puede constituir obstrucción.
0x09 Trampas del Examen — Selección Crítica
Policy vs Procedures vs Playbooks
- Policy = what y who (sin detalles técnicos)
- Procedures = how genérico
- Playbooks = how específico para una amenaza
Contención siempre antes que Erradicación
- Jamais eliminar malware antes de aislar el host
- El atacante detecta la eliminación y activa persistencia
Laptop cifrada pérdida
- FDE activo = impacto None en información
- Sin FDE = brecha de datos, incidente confirmado
Datos públicados en Internet
- Recoverability = Not Recoverable
- No se puede eliminar contenido de la web global
Dead Man’s Switch
- Al desconectar físicamente (Removal), el malware puede borrar evidencia
- Evaluación de riesgo antes de elegir Removal
Collection vs Exfiltration (MITRE)
- Collection: comprimir datos en el host
- Exfiltration: los datos salen de la red
- Son fases distintas
Cuenta de servicio con logon interactivo
- svc_backup con Type 2 o 10 a las 3:00 AM = compromiso
Banner Grabbing y falsos positivos
- Escaneo sin credenciales = alta tasa de falsos positivos
- Workaround que no cambia versión = el escaner sigue reportando la vulnerabilidad
0x0A Apendice — Glosario
| Termino | Definición |
|---|---|
| CSIRT | Computer Security Incident Response Team |
| IoC | Indicator of Compromise — artefacto estático (hash, IP, dominio) |
| IoA | Indicator of Attack — comportamiento dinámico (beaconing, lateral movement) |
| PICERL | Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned |
| FDE | Full Disk Encryption |
| Write Blocker | Hardware que impide escritura en disco original durante adquisición |
| Jump Kit | Maletin forense preparado para despliegue inmediato |
| RCA | Root Cause Analysis — análisis técnico de la causa raiz |
| DGA | Domain Generation Algorithm — malware genera miles de dominios aleatorios |
| Staging | Mover datos a carpeta temporal antes de exfiltrar |
| Dead Man’s Switch | Mecanismo que ejecuta acción destructiva si se pierde conectividad |