domingo, 15 de febrero de 2026

Técnicas básicas para analizar actividad maliciosa (5)

 

Introducción

En este capítulo de la guía CySA+ se explican las técnicas básicas para analizar actividad maliciosa en una organización: cómo capturar tráfico, revisar logs, usar SIEM/SOAR, proteger endpoints, analizar ficheros y correos, y por qué ciertos lenguajes de programación son importantes para el analista.

La idea general es: los sistemas generan muchísimos datos (tráfico, logs, eventos), y tu trabajo como analista es convertir esos datos en señales útiles que te digan cuándo algo raro o peligroso está ocurriendo.

Ideas principales

  • Captura de tráfico de red (pcap, pcapng) y herramientas como Wireshark o tcpdump.

  • Análisis y correlación de logs con SIEM y automatización de respuesta con SOAR.

  • Seguridad en endpoints con soluciones EDR para monitorizar, detectar y responder en equipos finales.

  • Reputación de IPs y dominios para detectar rápidamente direcciones sospechosas.

  • Análisis de ficheros: estático, dinámico, reputación, código.

  • Análisis de comportamiento: usuarios, entidades (servidores), actividad anómala e “impossible travel”.

  • Análisis de correo: cargas maliciosas, SPF, DKIM, DMARC, cabeceras, phishing, reenvío a buzones de análisis, firmas digitales, enlaces y suplantación.

  • Lenguajes clave para el analista: XML, JSON, shell scripting, regex, PowerShell y Python.

Explicación de conceptos clave

Captura de tráfico de red

Capturar paquetes es como grabar con una cámara de seguridad todo lo que pasa por un tramo de la red: luego puedes reproducirlo y ver qué ocurrió. Los datos se guardan en archivos pcap o pcapng, y se analizan con herramientas como Wireshark, tcpdump o TShark.

  • Modo no promiscuo: la tarjeta solo ve tráfico “para ella”, como si solo escucharas cuando alguien te habla directamente.

  • Modo promiscuo: la tarjeta intenta escuchar todo el tráfico del segmento, como si te pusieras a escuchar todas las conversaciones de una sala.

En redes con switches, capturar todo es más difícil y suele requerir un puerto espejo (SPAN).

SIEM y SOAR

Un SIEM es como el “centro de mando” de seguridad: recoge logs de muchos sistemas, los normaliza, los correlaciona y genera alertas cuando ve patrones sospechosos. Puede recibir logs de routers, firewalls, servidores, aplicaciones, bases de datos, etc., y aplicar reglas para detectar incidentes.

Un SOAR es como un “robot de operaciones de seguridad” que se apoya en el SIEM para automatizar tareas: investigar alertas, enriquecer información, abrir tickets, bloquear IPs, deshabilitar usuarios, etc.

Endpoint y EDR

Los endpoints (PCs, portátiles, móviles) son la puerta de entrada más habitual para ataques. Un EDR (Endpoint Detection and Response) va más allá del antivirus clásico: monitoriza procesos, conexiones, cambios de ficheros y actividades de usuario para detectar comportamientos sospechosos y responder (matar procesos, aislar máquinas, etc.).

Piensa en el EDR como un “vigilante dentro de cada PC” que lo ve todo en ese equipo y puede actuar rápido si nota algo raro.

Reputación de IPs y dominios

El análisis de reputación consulta bases de datos con IPs y dominios conocidos como maliciosos. Es como mirar la “lista negra de clientes problemáticos” antes de dejar pasar a alguien a tu local.

Ventajas: rápido, sencillo, poca pericia técnica. Inconvenientes: falsos positivos y que los atacantes cambian fácilmente de IP o dominio, así que no basta con esto a largo plazo.

Análisis de ficheros

Análisis estático: examinas el fichero sin ejecutarlo.

  • Firma/cabecera (magic number): ¿el tipo de archivo cuadra con lo que dice ser?

  • Metadatos: autor, fechas, historial de cambios.

  • Estructura interna: secciones, cabeceras, segmentos de datos.

  • Entropía: mide lo “aleatorio” de los datos; alta entropía puede indicar cifrado o compresión (típico en malware empaquetado).

Análisis dinámico: ejecutas el fichero en un entorno controlado.

  • Sandboxing: ejecutar en una “caja de arena” aislada para observar comportamiento sin dañar el sistema real.

  • Análisis de comportamiento: ver qué ficheros toca, qué conexiones hace, qué llamadas al sistema usa.

Reputación de ficheros: usar servicios como VirusTotal para ver si otros motores lo han marcado como malicioso.

Análisis de código: leer scripts (JavaScript, PowerShell, Python, etc.) para detectar intenciones maliciosas u operaciones peligrosas.

Análisis de comportamiento (UBA, EBA, UEBA)

La idea central: definir lo que es “normal” y buscar desviaciones.

  • UBA (User Behavior Analysis): aprender cómo se comportan normalmente los usuarios (horarios, aplicaciones, volumen de datos, etc.) y detectar cambios sospechosos (muchos fallos de login, picos de descarga, accesos a datos sensibles).

  • EBA (Entity Behavior Analysis): lo mismo, pero para entidades como servidores web, DCs, etc. Por ejemplo, un servidor web que de repente inicia conexiones salientes raras puede estar comprometido.

UEBA une UBA + EBA en una sola solución.

Actividad anómala de cuentas e “impossible travel”

Actividad anómala: cosas que un usuario normalmente no hace, como:

  • Múltiples intentos de login fallidos.

  • Acceso inusual a datos sensibles.

  • Cambios en permisos o configuración de la cuenta.

  • Uso de ejecutables o llamadas API poco comunes.

Se puede usar un “sistema de puntuación”, sumando puntos según la gravedad de las acciones, hasta superar un umbral que dispara una alerta.

Impossible travel: cuando una cuenta se conecta desde dos países o ciudades muy alejadas en un tiempo tan corto que sería físicamente imposible viajar. Hay que tener en cuenta VPNs y accesos remotos, que pueden explicar algunos casos legítimos.

Análisis de correo electrónico

Los correos son uno de los vectores de ataque más usados, sobre todo vía phishing.

Cargas maliciosas

Adjuntos aparentemente normales (DOCX, PDF, ZIP, etc.) pueden contener malware o macros que piden al usuario habilitar contenido. También pueden incluir enlaces a páginas falsas para robo de credenciales.

SPF, DKIM y DMARC

  • SPF: indica qué servidores están autorizados a enviar correo en nombre de un dominio.

  • DKIM: añade una firma digital al correo para verificar que el mensaje no se ha modificado y que viene del dominio esperado.

  • DMARC: dice qué hacer cuando SPF/DKIM fallan (rechazar, poner en cuarentena, solo reportar, etc.) y permite generar informes diarios.

Usados juntos, actúan como un sistema de verificación de identidad del remitente.

Cabeceras de correo

La cabecera muestra el camino que ha seguido el mensaje, los servidores intermedios, resultados de SPF/DKIM y más detalles. Es como mirar los sellos y marcas en un paquete postal para ver por dónde ha pasado.

Phishing, reenvío y suplantación

  • Phishing: correos que intentan engañar a usuarios para que entreguen credenciales o ejecuten acciones contra sus intereses.

  • Reenvío a buzón de análisis: se anima a los usuarios a reenviar correos sospechosos completos (con cabeceras) para afinado de reglas y detección de campañas.

  • Impersonation: correos que se hacen pasar por un directivo o persona de confianza, muchas veces desde cuentas personales, con excusas tipo “estoy de viaje, haz esta transferencia”.

Firmas digitales y cifrado en correo

Una firma digital garantiza quién envió el mensaje, que no se ha modificado, y ofrece no repudio (el remitente no puede negar el envío). Se basa en criptografía de clave pública/privada: el remitente firma con su clave privada; el receptor verifica con la clave pública.

S/MIME y PGP son los estándares más usados para firmar y cifrar correos.

Lenguajes y herramientas clave para el analista

  • XML: formato estructurado, muy usado en intercambio de información de amenazas (por ejemplo, versiones antiguas de STIX).

  • JSON: similar a XML, pero más ligero; muy común en APIs, STIX moderno y plataformas de seguridad.

  • Shell scripting (Bash): automatizar tareas en sistemas Unix/Linux (hardening, análisis de logs, despliegue de herramientas).

  • Expresiones regulares (regex): buscar patrones en texto (IPs, URLs, usuarios, etc.) en logs, tráfico, etc.

  • PowerShell: scripting avanzado en Windows, útil para administración y, por desgracia, muy usado también por atacantes.

  • Python: lenguaje estrella en ciberseguridad para automatizar, analizar datos, hacer pentesting, hablar con APIs de seguridad y mucho más.

Ejemplos y analogías

  • Captura de paquetes: como grabar todas las conversaciones de un pasillo con un micrófono, para luego revisar qué se dijo en cada momento.

  • SIEM: como una sala de control con monitores que muestran cámaras (logs) de todo el edificio; cuando pasa algo raro en varias cámaras a la vez, salta una alarma.

  • SOAR: como un sistema domótico avanzado que, cuando detecta fuego en un sensor, cierra puertas, corta gas, llama a bomberos y envía un mensaje al dueño, todo sin intervención humana.

  • EDR en endpoints: un vigilante interno dentro de cada oficina (PC) que ve quién entra, qué hace, y puede echar a un intruso al instante.

  • Reputación de IPs: la lista negra de un bar donde se apuntan clientes conflictivos; si uno intenta entrar, el portero ya sabe que debe bloquearlo.

  • Análisis estático de ficheros: inspeccionar un paquete sin abrirlo del todo: miras etiquetas, peso, remitente y apariencia para decidir si es sospechoso.

  • Sandboxing: abrir un paquete dudoso en una habitación acolchada y aislada, donde, si explota, no afecta al resto del edificio.

  • UBA/EBA: conocer las rutinas de tus vecinos; si alguien que siempre sale a las 8h de repente entra y sale del portal 20 veces de madrugada, te llama la atención.

  • Impossible travel: hoy fichas en la oficina en Madrid y 30 minutos después aparece un login tuyo en Tokio; obviamente, alguien está usando tus credenciales.

  • SPF/DKIM/DMARC: como comprobar el DNI, la firma y las instrucciones del banco sobre qué hacer con documentos sospechosos antes de aceptar una orden de transferencia.

  • Regex: un filtro inteligente en tu correo que no solo busca una palabra, sino patrones: “cualquier número con formato de tarjeta de crédito” o “cualquier IP”.

  • Python: una navaja suiza de scripts; con las librerías adecuadas puedes hacer desde scraping hasta machine learning de amenazas con el mismo lenguaje.

Conclusión / recordatorio para el estudio

Para el examen CySA+ (y para el trabajo real) es clave que domines estas ideas: capturar tráfico, entender logs y SIEM, saber qué hace un SOAR, tener claro el papel del EDR en endpoints, usar reputación de IPs y ficheros, diferenciar análisis estático/dinámico, reconocer actividad anómala (incluido impossible travel) y entender bien los mecanismos de seguridad en correo (SPF, DKIM, DMARC, firmas digitales).

Además, empezar a manejarte con XML, JSON, shell, regex, PowerShell y Python te dará una base sólida para automatizar tareas y profundizar en análisis más avanzados.

Glosario básico

  • Packet capture (pcap/pcapng): archivo donde se guarda tráfico de red capturado para análisis posterior.

  • SIEM (Security Information and Event Management): plataforma que centraliza, correlaciona y alerta sobre eventos de seguridad a partir de logs.

  • SOAR (Security Orchestration, Automation and Response): herramienta que automatiza flujos de respuesta a incidentes y acciones entre distintas soluciones de seguridad.

  • Endpoint: dispositivo final conectado a la red, como un PC, portátil o móvil.

  • EDR (Endpoint Detection and Response): solución que monitoriza y responde a amenazas en endpoints en tiempo real.

  • Reputación de IP/dominio: valoración (buena/mala) de una dirección basada en bases de datos de actividad previa.

  • Análisis estático: revisión de un archivo sin ejecutarlo, mirando estructura, metadatos y contenido.

  • Análisis dinámico / sandboxing: ejecución controlada de un archivo para observar su comportamiento real.

  • UBA/EBA/UEBA: técnicas y herramientas para analizar el comportamiento de usuarios y entidades y detectar anomalías.

  • Impossible travel: detección de logins de una misma cuenta desde ubicaciones geográficas incompatibles en poco tiempo.

  • SPF: registro DNS que indica qué servidores pueden enviar correo en nombre de un dominio.

  • DKIM: sistema de firma digital de correos para verificar integridad y origen.

  • DMARC: política de un dominio para manejar correos que fallan SPF/DKIM y generar reportes al respecto.

  • Phishing: técnica de ingeniería social que usa correos u otros medios para robar datos o inducir acciones peligrosas.

  • S/MIME / PGP: protocolos para cifrar y firmar correos electrónicos.

  • XML: formato de texto estructurado, extensible, usado para datos y configuración.

  • JSON: formato ligero de intercambio de datos basado en pares clave-valor.

  • Shell scripting (Bash): scripts de comandos para automatizar tareas en sistemas Unix/Linux.

  • Regex (expresiones regulares): lenguaje para describir patrones de texto y realizar búsquedas avanzadas.

  • PowerShell: lenguaje y shell de scripting de Microsoft para administrar sistemas Windows.

  • Python: lenguaje de programación generalista muy usado en automatización, análisis y seguridad.

at
Labels: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Técnicas básicas para analizar actividad maliciosa (5)

  Introducción En este capítulo de la guía CySA+ se explican las técnicas básicas para analizar actividad maliciosa en una org...