lunes, 9 de febrero de 2026

Analizando actividad sospechosa(4)

 




Introducción

En este capítulo de CySA+ se explica cómo detectar actividad potencialmente maliciosa analizando tres grandes áreas: red, equipos (hosts) y aplicaciones. El objetivo es aprender a reconocer “señales de alarma” que pueden convertirse en indicadores de compromiso (IoC) y que te ayudan a detectar ataques antes de que hagan daño serio.

Ideas principales

  • La labor del analista es “diagnosticar” incidentes separando el ruido de las señales sospechosas.

  • Hay indicadores relacionados con la red: consumo de ancho de banda, beaconing, P2P raro, dispositivos “rogue”, escaneos, picos de tráfico y puertos inesperados.

  • Hay indicadores en los hosts: consumo anómalo de memoria/CPU/disco/red, software no autorizado, procesos maliciosos, contenido de memoria, cambios no autorizados, privilegios indebidos, exfiltración de datos, cambios en el registro y tareas programadas sospechosas.

  • Hay indicadores en aplicaciones: actividad anómala, nuevas cuentas, salidas inesperadas, comunicaciones salientes raras, interrupciones de servicio, desbordamientos de memoria y lo que muestran los logs.

  • Además hay indicadores “humanos”: ingeniería social y enlaces ofuscados.Para el examen CySA+ es clave pensar en agregación de evidencias y aplicar “navaja de Occam”: la explicación más sencilla suele ser la correcta.

Explicación de conceptos clave con ejemplos y analogías

1. El analista como “médico” de la red

En el capítulo se compara el diagnóstico de incidentes con un diagnóstico médico: hay muchos síntomas posibles, pero solo algunos apuntan a la “enfermedad” real. Igual que un médico no se deja engañar por síntomas superficiales, el analista debe ignorar el ruido y centrarse en las señales relevantes de ataque.

  • Analogía: piensa en un mecánico de coches. El coche hace ruidos, vibra, se encienden luces… El buen mecánico no se asusta por todo, sino que sabe qué ruido indica una avería grave y cuál es normal.

2. Indicadores relacionados con la red

2.1 Consumo de ancho de banda (bandwidth consumption)

El consumo de ancho de banda es la cantidad de datos que se mueven por la red en un tiempo. Si conoces tu “línea base” (lo normal), cualquier pico raro puede ser señal de exfiltración de datos, malware o ataques DDoS.

  • Analogía: imagina tu factura de agua. Normalmente gastas X litros al mes. Si de repente se dispara sin explicación, sospechas de una fuga. El “grifo abierto” en la red puede ser un servidor sacando datos a un sitio sospechoso.

Los flow logs (NetFlow, etc.) funcionan como el contador de agua: no te dicen el contenido, pero sí quién habla con quién, cuánto y por dónde.

2.2 Beaconing

El beaconing es cuando un equipo infectado se comunica periódicamente con un servidor de mando y control (C2). Envía señales tipo “¿sigo aquí?, ¿hay órdenes nuevas?” a intervalos regulares o con algo de variación (jitter).

  • Analogía: es como un espía que manda cada hora un mensaje corto al jefe para decir “todo bien” o recibir instrucciones. Si ves mensajes cortos, regulares, siempre al mismo sitio y sin motivo aparente, te huele a beaconing.

2.3 Comunicación P2P irregular

La comunicación peer‑to‑peer (P2P) es la que se hace directamente entre equipos, sin pasar por un servidor central. Puede ser legítima (compartir ficheros, balanceo, videollamadas), pero si ves patrones raros (muchísimo tráfico entre dos hosts, puertos no estándar, movimientos laterales) puede ser signo de malware moviéndose por la red.

Herramientas que suelen usarse para movimiento lateral: PsExec, SSH, WMI, RDP y ataques de Pass‑the‑Hash.

  • Analogía: en una oficina normal, la mayoría de órdenes pasan por el jefe (servidores). Si de repente dos empleados empiezan a pasarse sobres a escondidas y constantemente, sin pasar por el jefe, algo puede no ser limpio.

2.4 Dispositivos “rogue” en la red

Un rogue device es cualquier dispositivo no autorizado conectado a la red: portátil personal, móvil, AP Wi‑Fi casero, IoT sin control, etc. Pueden servir de puerta de entrada, de punto de exfiltración o de aparato de espionaje.

Para controlarlos se usan NAC, EDR, IAM, ITSM y un CMDB bien mantenido.

  • Analogía: en un edificio seguro solo deberían entrar personas registradas con tarjeta. Un “invitado” que entra por la puerta de atrás sin identificación es un rogue device: puede no ser peligroso… o ser un intruso.

2.5 Escaneos y barridos (scans/sweeps)

Los atacantes suelen escanear redes y puertos para descubrir qué máquinas y servicios hay. También lo hacen herramientas legítimas (escáneres de vulnerabilidades), por lo que hay que distinguir el contexto.

  • Señal típica: muchas consultas ARP y paquetes a rangos enteros de IP (sweeps).

  • Mitigación: segmentar la red para limitar el alcance del escaneo y aislar activos críticos.

  • Analogía: es como un ladrón que va puerta por puerta probando manillas a ver cuál está abierta.

2.6 Picos de tráfico inusuales

Un pico de tráfico es un aumento brusco del volumen de datos sin explicación legítima (por ejemplo, en horas de baja actividad). Puede indicar DDoS, exfiltración de datos o malware moviendo información.Analogía: si vives en un edificio tranquilo y una noche ves que la puerta del garaje no para de abrirse y cerrarse, sabes que algo raro pasa.

2.7 Actividad en puertos inesperados

Cada servicio suele usar puertos “típicos” (HTTP 80, HTTPS 443, etc.). Si ves tráfico en puertos no estándar o protocolos tunelizados por puertos raros (por ejemplo, SSH sobre HTTPS), puede ser un intento de esconderse de los controles.

  • Analogía: imagina que siempre recibes los paquetes por la puerta principal, pero alguien empieza a meter cajas por la ventana de la cocina. No es ilegal por sí mismo, pero es muy sospechoso.

3. Indicadores relacionados con el host

3.1 Consumo de capacidad (CPU, memoria, disco, red)

Los atacantes suelen dejar huella en recursos del sistema: memoria, CPU, disco y tráfico de red local.

Ejemplos de señales:

  • Memoria: uso alto constante sin motivo, picos repentinos, procesos que acceden a zonas de memoria donde no deberían, inyecciones de código.

  • Disco: caída brusca del espacio libre, creación de ficheros raros, crecimiento enorme de logs o bases de datos, muchos ficheros temporales.

  • CPU: uso alto con el equipo “en reposo”, procesos desconocidos consumiendo mucho, patrones de uso erráticos.

  • Red del host: conexiones a dominios maliciosos, volumen de datos raro, uso de puertos inesperados.

  • Analogía: tu ordenador es como una casa. Si siempre tienes la luz, el agua y la calefacción más o menos igual, y de pronto las facturas se disparan, sospechas de que alguien está usando tu casa sin permiso (okupas, fugas, etc.).

3.2 Software no autorizado

El software no autorizado puede ser desde aplicaciones no aprobadas hasta malware. Que exista en un equipo ya es un indicador de riesgo.

Buenas prácticas:

  • Lista de aplicaciones permitidas (allowlist).

  • Inventarios periódicos de software.

  • EDR/antivirus.

  • Formación a usuarios para que no instalen cosas por su cuenta.

  • Analogía: es como dejar que cada empleado lleve la herramienta que quiera a la fábrica. Puede traer un destornillador… o un taladro que rompa la maquinaria.

3.3 Procesos maliciosos

El malware puede esconderse, pero tiene que ejecutarse”: al final siempre hay un proceso corriendo. Los atacantes intentan camuflarlo con nombres legítimos, imitaciones de procesos del sistema o rootkits que ocultan su presencia.

Herramientas típicas: Task Manager/Resource Monitor (Windows), ps/top/netstat/lsof en Linux.

  • Analogía: es como un infiltrado en una empresa que se disfraza con el uniforme oficial y se pone un identificador falso. A simple vista parece un empleado más, pero si miras bien en la lista de personal, no debería estar ahí.

3.4 Contenido de memoria

Parte del malware vive solo en memoria (no deja ficheros en disco), así que a veces hay que hacer análisis de memoria (memory dumps). Se buscan procesos ocultos, inyecciones en procesos legítimos, cadenas decodificadas, direcciones de C2, etc.

Herramientas: Volatility, Rekall, LiME, MacMemoryReader, WinDbg, FTK Imager.

  • Analogía: si solo miras los muebles (disco), puedes no ver nada raro. Pero si “lees la mente” de la casa (memoria), ves lo que realmente está pasando en ese momento.

3.5 Cambios no autorizados

Los cambios no autorizados pueden ser en configuraciones, ficheros, DLL, políticas de seguridad o tareas programadas. Son una vía clásica para persistencia o escalada de privilegios.

Estrategias:

  • Revisión de logs.

  • File Integrity Monitoring (FIM).

  • Buen proceso de gestión de cambios.

  • Auditorías periódicas.

  • Analogía: si alguien cambia el bombín de la puerta de tu casa sin que tú lo sepas, puede que no haya robado nada todavía, pero está preparando el terreno.

3.6 Privilegios no autorizados

Los atacantes buscan elevar privilegios (de usuario normal a admin) o crear cuentas con permisos altos. También pueden usar credenciales robadas de administradores.

Defensas:

  • Revisar cuentas y permisos regularmente.

  • Principio de mínimo privilegio.

  • Monitorizar actividad de cuentas privilegiadas.

  • SIEM, IDS, EDR y buen logging.

  • Analogía: en una empresa, no todos deberían tener llave maestra del edificio. Si de repente muchos empleados la tienen, o aparecen llaves nuevas, es un problema de seguridad claro.

3.7 Exfiltración de datos

La exfiltración es la salida no autorizada de datos sensibles hacia fuera. Suele hacerse con tráfico cifrado, canales encubiertos, compresión de datos, etc.

Indicadores:

  • Grandes transferencias en horas raras.

  • Conexiones a dominios/IP maliciosos.

  • Muchos accesos a ficheros sensibles.

Medidas: DLP, monitorizar tráfico, IDPS, limitar conexiones salientes, concienciación sobre ingeniería social.

  • Analogía: es como si alguien se llevara cajas de archivos de la oficina en maletas siempre de madrugada. Si no hay mudanza… malo.

3.8 Registro de Windows (registry) y tareas programadas

El registro de Windows guarda mucha configuración del sistema. Malware lo usa para persistir, esconderse o debilitar la seguridad (entradas Run/RunOnce, servicios, BHOs, políticas de seguridad, etc.).

También se usan tareas programadas (Task Scheduler en Windows, cron/at/anacron en Linux, LaunchAgents/LaunchDaemons en macOS) para ejecutar malware periódicamente.

  • Analogía: el registro es como el panel eléctrico de tu casa; si alguien reconfigura los interruptores sin avisar, puede encender cosas que no quieres. Las tareas programadas son como temporizadores que encienden luces a horas concretas, pero también podrían encender un horno peligroso cada noche.

4. Indicadores relacionados con aplicaciones

4.1 Actividad anómala en aplicaciones clave

Se presta especial atención a aplicaciones muy usadas: Office, Adobe Reader, navegadores web, PowerShell.

Ejemplos:

  • Office: macros que descargan ficheros o se conectan a sitios raros.

  • Acrobat: PDFs con scripts extraños o que lanzan programas externos.

  • PowerShell: scripts ofuscados, comandos con parámetros raros.

  • Navegadores: extensiones sospechosas, conexiones a dominios maliciosos.

  • Analogía: son como herramientas multiusos en una casa: las usas para todo, así que si las controla un atacante, tiene acceso a casi todo.

4.2 Nuevas cuentas desde aplicaciones

Crear nuevas cuentas, sobre todo con privilegios elevados o de servicio, a través de aplicaciones o procesos automatizados, es un indicador fuerte de compromiso.

  • Analogía: imagina que el software de RR. HH. crea usuarios “fantasma” en Active Directory sin que nadie lo haya pedido. Puede ser un atacante aprovechando la aplicación.

4.3 Salida inesperada (pop‑ups, alertas, errores)

Las salidas inesperadas incluyen pop‑ups, alertas de sistema (UAC en Windows, avisos en macOS), errores extraños, cambios raros en el comportamiento de una app.

  • Analogía: si tu coche empieza a mostrar luces de avería que nunca habías visto, aunque aún funcione, no lo ignoras: te indica que algo serio puede estar pasando bajo el capó.

4.4 Comunicaciones salientes inesperadas

Aplicaciones que empiezan a conectarse hacia fuera a sitios o puertos extraños son una bandera roja: puede ser C2, descarga de payloads o exfiltración.

Herramientas que suelen abusarse: BITSAdmin, CertUtil, PowerShell, mshta.

  • Analogía: si tu frigorífico, que debería “estar quieto”, empezara a hacer llamadas telefónicas internacionales, te preocuparías; con las apps pasa lo mismo.

4.5 Interrupciones de servicio

Una interrupción de servicio (servicio que se cae, se reinicia o se bloquea) puede ser por fallo técnico, pero también por explotación de vulnerabilidades o carga maliciosa.

  • Analogía: si salta el automático cada vez que enchufas un aparato, puede ser que el aparato esté roto… o que alguien lo haya manipulado.

4.6 Desbordamientos de memoria

Los memory overflows se producen cuando una app escribe más datos de los que caben en un buffer y pisa memoria adyacente. Esto puede permitir ejecutar código, elevar privilegios o derribar la aplicación.

Indicadores: cuelgues, errores raros, procesos nuevos, tráfico extraño, consumo elevado de recursos.

Mitigación: buenas prácticas de desarrollo seguro, SAST/DAST, parches, RASP, sandboxes, IDPS y EDR.

4.7 Logs de aplicaciones y del sistema

Los logs de aplicaciones y del sistema operativo son tu caja negra: muestran intentos de login, actividad de usuarios, errores, picos de recursos y tráfico sospechoso. Sirven tanto para detección temprana como para investigación posterior.Analogía: son como el historial de una cuenta bancaria. Viéndolo, puedes detectar pagos raros, horarios extraños o patrones que no cuadran.

5. Otros indicadores: ingeniería social y enlaces ofuscados

5.1 Ingeniería social

La ingeniería social ataca a las personas, no a la tecnología. Mensajes inesperados, sensación de urgencia, peticiones de datos confidenciales o adjuntos y enlaces extraños son señales claras.]

Defensas principales: formación, políticas claras, cultura de reportar cosas sospechosas.

  • Analogía: el típico “llamador” que finge ser del banco y te pide el PIN. El problema no es el teléfono, es la confianza de la víctima.

5.2 Enlaces ofuscados

Los enlaces ofuscados ocultan su destino real: URLs con caracteres raros, dominios que se parecen a los legítimos, enlaces que muestran una cosa y apuntan a otra.

Estrategias: filtrado de URLs, verificación de enlaces, formación de usuarios, antivirus.

  • Analogía: es como un cartel de dirección que dice “Centro ciudad” pero apunta a un callejón sin salida; está diseñado para engañarte.

Conclusión / recordatorio para el estudio

  • Piensa siempre en tres capas: red, host y aplicaciones, más la capa humana (ingeniería social).

  • Aprende qué es “normal” (líneas base) para poder ver lo anormal rápidamente.

  • No te quedes con un solo indicador: busca varias evidencias que apunten en la misma dirección.

  • Recuerda: los atacantes intentan parecer tráfico y actividad normales; tu trabajo es saber reconocer los pequeños detalles que no encajan.

Para el examen CySA+, practica mirando ejemplos de gráficos de uso de recursos, NetFlow, procesos, logs y escenarios de exfiltración, y acostúmbrate a clasificar cada síntoma como indicador de red, host o aplicación.

Glosario básico

  • Indicador de Compromiso (IoC): pista o evidencia técnica que sugiere que un sistema puede estar comprometido.

  • Beaconing: comunicaciones periódicas desde un equipo comprometido hacia un servidor de mando y control.

  • P2P (peer‑to‑peer): comunicación directa entre dos equipos sin servidor central.

  • Rogue device: dispositivo no autorizado conectado a la red.

  • NAC (Network Access Control): sistema que controla qué dispositivos pueden entrar en la red y en qué condiciones.

  • EDR (Endpoint Detection and Response): herramienta que monitoriza y responde a amenazas en equipos finales.

  • DLP (Data Loss Prevention): tecnologías para detectar y bloquear salida no autorizada de datos.]

  • C2 (Command and Control): infraestructura desde la que un atacante controla equipos comprometidos.

  • FIM (File Integrity Monitoring): sistema que detecta cambios en ficheros críticos.

  • Principio de mínimo privilegio: dar a cada usuario o proceso solo los permisos estrictamente necesarios.

  • Desbordamiento de memoria (memory overflow): error al escribir más datos de los que caben en un buffer, pudiendo sobrescribir memoria y permitir ataques.

  • SIEM (Security Information and Event Management): plataforma que centraliza y correlaciona logs y eventos de seguridad.]

  • Ingeniería social: técnicas que engañan a las personas para que revelen información o hagan acciones inseguras.]

  • Enlace ofuscado: enlace cuyo destino real está oculto o disfrazado para engañar al usuario.[

at

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Analizando actividad sospechosa(4)

  Introducción En este capítulo de CySA+ se explica cómo detectar actividad potencialmente maliciosa analizando tres grandes áreas: red , e...