Dominio 3 CySA+ — Incident Response: Guía Técnica Completa

Disclaimer

Este análisis y los escenarios descritos tienen finalidad exclusivamente educativa y de práctica profesional en entornos de laboratorio controlados. Su objetivo es la preparación para el examen CompTIA CySA+ (CS0-003). El uso de estas técnicas en sistemas reales sin autorización expresa es ilegal.


0x00 Gobernanza Documental

La respuesta a incidentes se sostiene sobre tres niveles de documentación con funciones distintas:

Policy (Política)

  • Documento de más alto nivel. Define autoridad, ámbito y que constituye un incidente para la organización.
  • Lenguaje administrativo, nunca técnico. No incluye herramientas ni pasos tácticos.
  • Requiere la firma del CEO o nivel ejecutivo equivalente (Statement of Management Commitment).
  • El CSIRT necesita autoridad ejecutiva para tomar decisiones que impactan la continuidad del negocio (ej. apagar un servidor de producción).

Procedures (Procedimientos)

  • Instrucciones tácticas obligatorias y genéricas. El “como” de tareas estándar.
  • Ejemplos: procedimiento de respaldo de logs, procedimiento de creación de tickets, procedimiento de escalamiento.
  • Son estables y rigen la operación diaria.

Playbooks

  • Recetas específicas para amenazas concretas: Playbook de Phishing, Playbook de Ransomware, Playbook de Insider Threat.
  • Guían al analista paso a paso durante la crisis.
  • Capturan el Tribal Knowledge (conocimiento empírico de analistas veteranos) y lo convierten en activo de la organización.

Trampa del examen: Nunca incluir detalles técnicos ni nombres de herramientas en la Policy. Las políticas requieren firma ejecutiva, un proceso burocrático lento. Si incluyen tecnología específica (ej. “usar Wireshark”), quedan obsoletas a los meses y pierden validez legal.


0x01 CSIRT: Composición y Roles

El CSIRT es multidisciplinario. Un incidente no se resuelve solo con personal técnico.

Miembros Core

  • CSIRT Lead: Coordina la respuesta y toma decisiones tácticas.
  • Analistas forenses: Ejecutan la respuesta técnica directa.

SME (Subject Matter Experts)

  • Expertos técnicos externos al CSIRT que se integran temporalmente.
  • Ejemplo: Si un incidente afecta la base de datos central, el DBA actua como SME proporcionando contexto sobre qué es normal y qué es anomalo en ese activo.

Apoyo Transversal

RolFunción crítica
Legal CounselRevisar comunicaciónes externas para evitar admision de responsabilidades
HRMedidas disciplinarias, insider threats
PRControl de narrativa pública
ManagementAutoridad, presupuesto y recursos

Trampa del examen: Involucrar a Law Enforcement debe hacerse bajo asesoria legal. El objetivo policial es la atribución y recolección de evidencia para juicio, lo que puede implicar incautación de servidores. El objetivo de negocio es recuperar el servicio. Estos objetivos chocan frontalmente.


0x02 Clasificación de Incidentes (NIST SP 800-61)

Jerarquía de ocurrencias:

  1. Event (Evento): Cualquier ocurrencia observable en un sistema o red. Neutro por definición.
  2. Adverse Event (Evento Adverso): Evento con consecuencias negativas. Una caida de sistema.
  3. Security Incident (Incidente de Seguridad): Violación confirmada de políticas de seguridad. Un acceso malicioso a datos.

Vectores de ataque NIST:

  • Attrition: Fuerza bruta, DDoS
  • Web: Vulnerabilidades en sitios
  • Email: Phishing
  • External/Removable Media: USBs infectados
  • Improper Usage: Violación de políticas por usuarios autorizados

Los 4 pilares de severidad:

PilarPregunta clave
Functional ImpactSe detuvo la operación?
Economic ImpactCuanto dinero perdemos por hora?
Recoverability EffortPodemos arreglarlo internamente o necesitamos ayuda externa?
Information ImpactQue datos se comprometieron?

Clasificación de impacto:

NivelFunctional ImpactInformation Impact
NoneSin afectación de serviciosSin compromiso (ej. laptop cifrada pérdida)
LowServicio no crítico interrumpidoDatos no sensibles
MediumServicio crítico para un subconjuntoDatos confidenciales o integridad alterada
HighServicio crítico caido para toda la empresaBrecha masiva de PII o datos críticos

Trampa del examen: Si el CEO pierde su laptop pero tiene FDE (Full Disk Encryption), el impacto a la información es None. Si los datos se públicaron en Internet, el Recoverability Effort es Not Recoverable — no puedes borrar algo de la web global.


0x03 PICERL: Ciclo de Respuesta a Incidentes

Preparation

Sección donde se gana la guerra antes del combate.

Jump Kit — Maletin forense preparado para despliegue inmediato:

ComponenteEjemplos
Write BlockersTableau T35u, WiebeTech
Cables y adaptadoresSATA, IDE, USB, Thunderbolt
Laptop forenseCon herramientas preinstaladas
Medios de imagenDiscos externos, SSDs
FormulariosCadena de custodia, inventario de evidencia
DocumentaciónPlaybooks impresos, contactos de escalamiento

Tabletop Exercises vs Functional Exercises vs Full-Scale:

TipoDescripciónRecursos
TabletopSimulación teorica, discusion de escenarios alrededor de una mesaBajos — solo tiempo del personal
FunctionalSimulación práctica de un componente específico (ej. probar el playbooks de phishing)Medios — herramientas de prueba
Full-ScaleSimulación completa con multiples equipos y sistemasAltos — toda la organización

NTP como requisito forense: Sin sincronización NTP, es imposible correlacionar timestamps de diferentes fuentes (firewall, SIEM, base de datos). Una discrepancia de tiempo invalida el análisis forense.

Preparación técnica: Implementar firewalls, IPS, EDR, SIEM — todo esto es Preparación, no Detección.

Detection and Analysis

Determinar si hay intrusión.

IoC (Indicator of Compromise) — Artefacto estático, sustantivo. Hash MD5/SHA-256, IP maliciosa, dominio C2. Reactivo.

IoA (Indicator of Attack) — Comportamiento dinámico, verbo. Patron de Beaconing, movimiento lateral, inyección SQL. Proactivo.

Precursors — Señales tempranas antes del incidente (ej. post en foro de hackers anunciando ataque para manana).

Proceso de análisis:

  1. Correlacionar logs de multiples fuentes (SIEM)
  2. Buscar precursors e indicators en Intel feeds
  3. Evaluar severidad con los 4 pilares
  4. Clasificar el incidente y documentar
  5. Escalar según procedimiento definido

Comunicación durante incidentes:

  • Need-to-know basis: Solo informar a quienes necesitan saber. El conocimiento amplio de un incidente puede causar pánico o alertar al atacante.
  • Escalation paths: Definidos previamente en los procedures. Quien notifica a quien, en que orden, con que nivel de detalle.
  • Canales de comunicación seguros: No usar los canales comprometidos. Si el email corporativo esta bajo ataque, usar телефоны или canales alternativos predefinidos.
  • Regla de oro: Nunca comunicar detalles internos del incidente en canales públicos o no seguros.

Containment

Regla absoluta: La Contención siempre precede a la Erradicación. Si intentas eliminar malware antes de aislar el host, el atacante detecta la acción y activa persistencia o propagación lateral.

Estrategias de contención:

EstrategiaDefiniciónUso
SegmentationMover el host a Quarantine VLANPermite seguir analizando con trafico controlado
IsolationDesconectar red interna, mantener InternetObservar trafico hacia C2 para inteligencia
RemovalDesconexión física total (sacar el cable)Detener exfiltración masiva inmediata

Trampa del examen: Al aplicar Removal, corres el riesgo de activar un Dead Man’s Switch. El malware puede estar programado para borrar el disco si pierde conectividad (ej. falla un ping constante a Google).

Eradication

Solo después de contener. Incluye:

  • Eliminar malware, cuentas ocultas, backdoors
  • Parchear la vulnerabilidad raiz
  • Rotar credenciales comprometidas
  • Verificar que no hay persistencia residual

Wipe and Rebuild es la única garantia real. Pasar antivirus no es suficiente — el atacante pudo dejar rootkits o cuentas ocultas.

Recovery

Restaurar sistemas a operación normal:

  1. Restaurar desde backup verificado (comprobar hash antes de restaurar)
  2. Reconstruir desde imagen limpia y conocida (reimaging)
  3. Monitorizar post-reincorporación — el periodo de observación es crítico
  4. Re-escanear vulnerabilidades para confirmar que el parche cerro la brecha raiz
  5. Verificar que el logging hacia el SIEM esta activo

Diferencia clave: Restaurar (backup) vs Reconstruir (imagen limpia). Si el backup esta comprometido, la reconstrucción es la única opción segura.

Lessons Learned

Obligatorio tras cada incidente.

  • Facilitador independiente: La reunion la dirige alguien ajeno a la respuesta para garantizar objetividad.
  • Enfoque no-blame: El objetivo no es culpar al analista, sino identificar porque fallo el proceso.
  • Root Cause Analysis (RCA): Estrictamente técnico — porque fallo el control?
  • Actualización de IoCs: Alimentar el SIEM con nuevos hashes e IPs para que el mismo ataque no repita.

0x04 Indicadores de Compromiso (IoCs)

IoCs de Red

NetFlow y volumen anomalo: Un servidor interno transfiere 9 GB a una IP externa desconocida. Detectar mediante Flow logs con análisis heuristico. Los flujos muestran volumen y destino; el baselining detecta la desviación.

Anomalías DNS:

TécnicaIndicatorDetección
DNS TunnelingConsultas masivas TXT con subdominios en base64Análisis de longitud de subdominios y tipo de registro
DGAInundación de errores NXDOMAINMonitorizar ratio NXDOMAIN/resolved
Fast-flux DNSRotación constante de IPs para un dominioTTL anomalo bajo, IPs con mala reputación

IoCs de Host

Windows Event IDs críticos:

Event IDSignificadoContexto forense
4625Fallo de inicio de sesionMultiples 4625 + un 4624 = fuerza bruta exitosa
4624Inicio de sesion exitosoVerificar Logon Type
1102Log de auditoría borradoAnti-forensics de máxima prioridad

Logon Types:

TypeDescripciónUso legitimo
2Interactivo (consola)Inicio de sesion local
3RedAcceso a recursos compartidos
4BatchTareas programadas
5ServicioServicios de Windows
7DesbloqueoDesbloquear pantalla
8NetworkCleartextAutenticación en texto claro
10RemoteInteractiveRemote Desktop (RDP)

Trampa del examen: Una cuenta de servicio (svc_backup) con Logon Type 2 (Interactivo) o 10 (RDP) a las 3:00 AM es un compromiso confirmado.

Resource Hijacking (Cryptojacking): Pico de CPU al 100% sin carga de trabajo visible.

Staging: Antes de la exfiltración, el atacante mueve datos sensibles a una carpeta temporal (ej. C:\Temp\stage) y los comprime en ZIP protegido.

Trampa del examen: Comprimir datos en el host es la táctica Collection de MITRE ATT&CK. La táctica Exfiltration ocurre cuando el archivo sale de la red. Son fases distintas.


0x05 Forense Digital y Cadena de Custodia

Order of Volatility

Recolectar datos de mayor a menor volatilidad antes de que desaparezcan:

OrdenFuenteVolatilidad
1CPU Cache, Registros, RAMMáxima — se pierde al apagar
2Procesos en ejecución, conexiónes de redAlta — cambia constantemente
3Tablas ARP, routing cacheAlta
4Discos HDD/SSDBaja — persistente
5Backups, medios ópticosMínima — históricos

Protocolo de Adquisición

  1. Documentar el estado del sistema ANTES de tocar nada (fotografias, timestamps)
  2. Capturar lo volatile primero (RAM, procesos, conexiónes)
  3. Usar Write Blockers físicos SIEMPRE antes de conectar discos
  4. Crear imagen bit-a-bit (RAW) que incluya Slack Space y Unallocated Space
  5. Generar hash del original y de la imagen — si coinciden, integridad probada
  6. Documentar cadena de custodia: quien toco la evidencia, cuando, con que proposito

Nota técnica: MD5 y SHA-1 siguen siendo válidos para validación forense de imágenes, aunque SHA-256 es la recomendación moderna.

Evidencia Volatile vs Non-Volatile

Volatile (se pierde al apagar)Non-Volatile (persiste)
RAM, procesos activosDiscos HDD/SSD
Conexiónes de red establecidasArchivos y registros
Tablas ARP, DNS cacheRegistry de Windows
Clipboard contentsEvent logs

Regla: Siempre capturar lo volatile ANTES de apagar. Si apagas primero, pierdes la evidencia más crítica.


0x06 Sanitización (NIST SP 800-88)

NivelMétodoProtección contra
ClearSobrescritura lógicaRecuperación simple
PurgeDegaussing, cifrado criptograficoRecuperación en laboratorio
DestroyTrituración, incineraciónToda recuperación

Regla del examen: Clear es suficiente para reutilizar internamente. Purge para transferir a terceros. Destroy para datos de máxima clasificación o cuando el medio no soporta Purge.


0x07 Frameworks de Análisis de Intrusión

FrameworkEnfoqueUso principal
MITRE ATT&CKCatalogo de TTPsGenerar hipótesis de Threat Hunting
Cyber Kill ChainLineal, 7 fasesIdentificar en que fase esta el atacante para romper la cadena
Diamond ModelRelacional (Adversary, Capability, Infrastructure, Victim)Pivoting: de una IP descubrir otras victimas

Cyber Kill Chain — 7 fases:

  1. Reconnaissance
  2. Weaponization
  3. Delivery
  4. Exploitation
  5. Installation
  6. Command and Control (C2)
  7. Actions on Objectives

Diamond Model — Pivoting: Si conozco la IP del atacante (Infrastructure), puedo pivotar para descubrir otras victimas afectadas por la misma infraestructura.


0x08 Retención de Evidencia y Logs

Retention Policies: Definir cuanto tiempo guardar evidencia y logs:

  • Logs de seguridad: Mínimo 1 ano (muchos marcos normativos lo requieren)
  • Evidencia forense: Hasta que el caso legal se cierre o se determines que no hay acción legal
  • Backups de imágenes forenses: Según política organizacional, típicamente 3-5 años para litigación pendiente
  • IoCs y Intel: Actualizar continuamente; los indicators envejecen rápidamente (ej. IPs que se reasignan)

Regla del examen: No eliminar evidencia hasta que Legal Counsel lo autorice por escrito. La destrucción prematura de evidencia puede constituir obstrucción.


0x09 Trampas del Examen — Selección Crítica

Policy vs Procedures vs Playbooks

  • Policy = what y who (sin detalles técnicos)
  • Procedures = how genérico
  • Playbooks = how específico para una amenaza

Contención siempre antes que Erradicación

  • Jamais eliminar malware antes de aislar el host
  • El atacante detecta la eliminación y activa persistencia

Laptop cifrada pérdida

  • FDE activo = impacto None en información
  • Sin FDE = brecha de datos, incidente confirmado

Datos públicados en Internet

  • Recoverability = Not Recoverable
  • No se puede eliminar contenido de la web global

Dead Man’s Switch

  • Al desconectar físicamente (Removal), el malware puede borrar evidencia
  • Evaluación de riesgo antes de elegir Removal

Collection vs Exfiltration (MITRE)

  • Collection: comprimir datos en el host
  • Exfiltration: los datos salen de la red
  • Son fases distintas

Cuenta de servicio con logon interactivo

  • svc_backup con Type 2 o 10 a las 3:00 AM = compromiso

Banner Grabbing y falsos positivos

  • Escaneo sin credenciales = alta tasa de falsos positivos
  • Workaround que no cambia versión = el escaner sigue reportando la vulnerabilidad

0x0A Apendice — Glosario

TerminoDefinición
CSIRTComputer Security Incident Response Team
IoCIndicator of Compromise — artefacto estático (hash, IP, dominio)
IoAIndicator of Attack — comportamiento dinámico (beaconing, lateral movement)
PICERLPreparation, Identification, Containment, Eradication, Recovery, Lessons Learned
FDEFull Disk Encryption
Write BlockerHardware que impide escritura en disco original durante adquisición
Jump KitMaletin forense preparado para despliegue inmediato
RCARoot Cause Analysis — análisis técnico de la causa raiz
DGADomain Generation Algorithm — malware genera miles de dominios aleatorios
StagingMover datos a carpeta temporal antes de exfiltrar
Dead Man’s SwitchMecanismo que ejecuta acción destructiva si se pierde conectividad