Introducción
En ciberseguridad, una buena parte del trabajo consiste en detectar comportamientos sospechosos: tráfico extraño en la red, archivos modificados, malware oculto, etc.
Este capítulo reúne las herramientas fundamentales que usan los analistas para investigar estos casos, tanto en redes como en archivos.
Piensa en este capítulo como una caja de herramientas del detective digital: desde capturar tráfico (como escuchar conversaciones en un pasillo) hasta analizar archivos peligrosos en un entorno seguro (como abrir un paquete sospechoso dentro de una habitación blindada).
Ideas principales
Herramientas de análisis de red
- BPF (Berkeley Packet Filter): permite filtrar tráfico antes de capturarlo.
- Wireshark y TShark: analizan paquetes y protocolos.
- tcpdump: captura tráfico desde la terminal, rápido y ligero.
- WHOIS: obtiene información de dominios e IPs.
- AbuseIPDB: reputación de IPs reportadas por actividad maliciosa.
Herramientas de análisis de archivos
- Strings: extrae texto legible de archivos binarios.
- Hashing (MD5, SHA‑256…): crea “huellas digitales” de archivos.
- VirusTotal: analiza archivos y URLs con múltiples motores antivirus.
- Joe Sandbox y Cuckoo Sandbox: analizan malware en entornos controlados.
Explicación de conceptos clave con ejemplos y analogías
1. BPF: El filtro inicial
Idea: Antes de capturar tráfico, decides qué quieres ver.
Analogía: Como ponerle filtros a una cámara de seguridad para grabar solo cuando una persona concreta aparece.
Ejemplo práctico:
— “Captura solo tráfico hacia la IP 192.168.0.1 en puerto 80”.
Esto reduce tamaño de logs, mejora rendimiento y ayuda a centrarse en lo importante.
2. Wireshark y TShark: Detectives de red
Wireshark (con interfaz gráfica) y TShark (por terminal) permiten ver:
- paquetes capturados,
- protocolos utilizados,
- patrones sospechosos,
- incluso desencriptar SSL/TLS si tienes las claves necesarias.
Analogía: Wireshark es como una lupa gigante que te deja ver cada paquete con detalle, como si estuvieras examinando una carta sospechosa letra por letra.
Caso típico:
Identificar un escaneo de puertos comparando conexiones rápidas y secuenciales.
3. tcpdump: El más rápido del oeste
Es muy ligero, ideal para servidores remotos.
Analogía: Un guardia tomando notas rápidas sin distraerse (no necesita pantalla bonita).
Ejemplo:tcpdump icmp → captura solo pings.
También rota archivos de captura automáticamente (útil en monitoreo continuo).
4. WHOIS: ¿Quién es el dueño del dominio?
Sirve para averiguar:
- registrante del dominio,
- fechas de registro,
- proveedor,
- organización asociada.
Analogía: como consultar el "registro de la propiedad" de un dominio de Internet.
Importante: Los datos pueden estar incompletos o privados.
5. AbuseIPDB: reputación de IPs
Te dice si una IP ha sido reportada por:
- DDoS
- phishing
- spam
- intentos de hacking
- ataques a IoT, etc.
Analogía: una “lista negra colaborativa” donde todos reportan comportamientos peligrosos, igual que avisar a vecinos de una matrícula sospechosa.
Herramientas de análisis de archivos
6. Strings: leyendo mensajes ocultos
Extrae texto legible de archivos binarios o ejecutables.
¿Por qué es útil?
Malware deja “pistas”: rutas, URLs, comandos, claves, nombres de servidores C2…
Analogía: como usar un rotulador fluorescente para resaltar frases escondidas dentro de un texto caótico.
7. Hashing: la huella digital de un archivo
Crear un hash es como generar una huella digital única del archivo:
- si cambia un solo bit ➜ el hash cambia completamente.
Permite:
- verificar integridad,
- identificar malware conocido,
- comprobar si ya ha sido analizado.
8. VirusTotal: análisis masivo
Envías un archivo o su hash y VirusTotal lo compara con decenas de motores antivirus.
Incluye:
- Detección
- Detalles del archivo
- Relaciones con otros archivos
- Comportamiento dinámico
- Comentarios de la comunidad
Analogía: Llevar un objeto sospechoso a un laboratorio donde 70 expertos lo analizan al mismo tiempo.
Consejo:
Antes de subir archivos confidenciales ➜ consulta solo su hash para evitar filtrar información.
9. Joe Sandbox y Cuckoo Sandbox: análisis en caja fuerte
Son entornos seguros donde ejecutas malware sin riesgo.
Permiten:
- analizar comportamiento real,
- monitorear red, procesos, registros,
- generar informes detallados,
- automatizar análisis por API.
Analogía: Como abrir un paquete sospechoso dentro de un búnker diseñado para que no salga nada del interior.
Conclusión / Recordatorio para el estudio
Este capítulo te ofrece la base de las herramientas que todo analista CySA+ debe dominar:
- Filtrar tráfico (BPF)
- Capturar y analizar red (tcpdump, Wireshark, TShark)
- Investigar dominios (WHOIS)
- Evaluar reputación (AbuseIPDB)
- Extraer datos de archivos (Strings)
- Verificar integridad (Hashes)
- Analizar malware de forma segura (VirusTotal, Sandboxes)
Consejo de estudio:
Practica cada herramienta al menos una vez. La CySA+ suele incluir preguntas donde se evalúa tu capacidad para reconocer patrones o interpretar salidas reales de estos programas.
Glosario de términos
BPF: Filtro para seleccionar tráfico antes de capturarlo.
Sandbox: Entorno seguro aislado para ejecutar malware.
Hash: Identificador único generado a partir de un archivo.
C2 (Command and Control): Servidor controlado por un atacante que gestiona malware.
IoC (Indicator of Compromise): Prueba o señal de actividad maliciosa.
DDoS: Ataque masivo que satura un servicio.
Phishing: Engaño para robar información.
Packet Capture: Captura de paquetes que circulan por la red.
No hay comentarios:
Publicar un comentario