Este capítulo explica cómo usar la inteligencia de amenazas y la caza de amenazas (threat hunting) para que la seguridad de una organización sea más efectiva y menos reactiva. La idea central es pasar de “apagar fuegos” continuamente a anticiparse a los ataques, entendiendo mejor a los adversarios y cómo operan.
La inteligencia de amenazas es, básicamente, aprender cómo piensan y actúan los atacantes para poder ir un paso por delante y defender mejor nuestra organización. En lugar de solo instalar herramientas y esperar lo mejor, se trata de recopilar información, entenderla y usarla para tomar decisiones de seguridad más inteligentes.
En ciberseguridad, una buena parte del trabajo consiste en detectar comportamientos sospechosos: tráfico extraño en la red, archivos modificados, malware oculto, etc.
Este capítulo reúne las herramientas fundamentales que usan los analistas para investigar estos casos, tanto en redes como en archivos.
Piensa en este capítulo como una caja de herramientas del detective digital: desde capturar tráfico (como escuchar conversaciones en un pasillo) hasta analizar archivos peligrosos en un entorno seguro (como abrir un paquete sospechoso dentro de una habitación blindada).
En este capítulo de la guía CySA+ se explican las técnicas básicas para analizar actividad maliciosa en una organización: cómo capturar tráfico, revisar logs, usar SIEM/SOAR, proteger endpoints, analizar ficheros y correos, y por qué ciertos lenguajes de programación son importantes para el analista.
La idea general es: los sistemas generan muchísimos datos (tráfico, logs, eventos), y tu trabajo como analista es convertir esos datos en señales útiles que te digan cuándo algo raro o peligroso está ocurriendo.
Captura de tráfico de red (pcap, pcapng) y herramientas como Wireshark o tcpdump.
Análisis y correlación de logs con SIEM y automatización de respuesta con SOAR.
Seguridad en endpoints con soluciones EDR para monitorizar, detectar y responder en equipos finales.
Reputación de IPs y dominios para detectar rápidamente direcciones sospechosas.
Análisis de ficheros: estático, dinámico, reputación, código.
Análisis de comportamiento: usuarios, entidades (servidores), actividad anómala e “impossible travel”.
Análisis de correo: cargas maliciosas, SPF, DKIM, DMARC, cabeceras, phishing, reenvío a buzones de análisis, firmas digitales, enlaces y suplantación.
Lenguajes clave para el analista: XML, JSON, shell scripting, regex, PowerShell y Python.
En este capítulo de CySA+ se explica cómo detectar actividad potencialmente maliciosa analizando tres grandes áreas: red, equipos (hosts) y aplicaciones. El objetivo es aprender a reconocer “señales de alarma” que pueden convertirse en indicadores de compromiso (IoC) y que te ayudan a detectar ataques antes de que hagan daño serio.
La labor del analista es “diagnosticar” incidentes separando el ruido de las señales sospechosas.
Hay indicadores relacionados con la red: consumo de ancho de banda, beaconing, P2P raro, dispositivos “rogue”, escaneos, picos de tráfico y puertos inesperados.
Hay indicadores en los hosts: consumo anómalo de memoria/CPU/disco/red, software no autorizado, procesos maliciosos, contenido de memoria, cambios no autorizados, privilegios indebidos, exfiltración de datos, cambios en el registro y tareas programadas sospechosas.
Hay indicadores en aplicaciones: actividad anómala, nuevas cuentas, salidas inesperadas, comunicaciones salientes raras, interrupciones de servicio, desbordamientos de memoria y lo que muestran los logs.
Además hay indicadores “humanos”: ingeniería social y enlaces ofuscados.Para el examen CySA+ es clave pensar en agregación de evidencias y aplicar “navaja de Occam”: la explicación más sencilla suele ser la correcta.
La gestión de servicios en sistemas Linux es una habilidad esencial para cualquier analista de seguridad o miembro de un SOC. Comprender cómo detectar, controlar y analizar servicios activos puede marcar la diferencia a la hora de identificar actividad sospechosa, asegurar la continuidad operativa o responder rápidamente ante un incidente.
En este artículo exploramos los fundamentos de Service Management, un componente clave en entornos Linux y una parte habitual de los laboratorios introductorios de ciberseguridad.
En las películas, un hacker parece adivinar contraseñas en segundos y entrar en cualquier sistema como por arte de magia. En la realidad, los atacantes siguen pasos y métodos bastante claros y repetibles. Esta forma organizada de atacar es justo lo que aprovechan los analistas de ciberseguridad para defender mejor los sistemas.
En este capítulo vamos a ver varios frameworks de ataque: guiones que describen cómo suele actuar un atacante desde que elige un objetivo hasta que roba datos o causa daños. Entender estos modelos te ayudará a pensar como un atacante, anticiparte a sus movimientos y prepararse mejor para el examen CySA+.
Introducción Este capítulo explica cómo usar la inteligencia de amenazas y la caza de amenazas (threat hunting) para que la seguridad de ...
