// Dominio 3 CySA+ (CS0-003) — Incident Response
// Categoría: Security Operations · Incident Response · Forensics
// Estado: Guía de estudio completa — Dominio 3
// Objetivo: Aprobar la sección de Incident Response del examen CySA+
DISCLAIMER
Este análisis y los escenarios descritos tienen finalidad exclusivamente educativa y de práctica profesional en entornos de laboratorio controlados. Su objetivo es la preparación para el examen CompTIA CySA+ (CS0-003). El uso de estas técnicas en sistemas reales sin autorización expresa es ilegal.
0x00 Gobernanza Documental
La respuesta a incidentes se sostiene sobre tres niveles de documentación con funciones distintas:
Policy (Política)
- Documento de más alto nivel. Define autoridad, ámbito y qué constituye un incidente para la organización.
- Lenguaje administrativo, nunca técnico. No incluye herramientas ni pasos tácticos.
- Requiere la firma del CEO o nivel ejecutivo equivalente (Statement of Management Commitment).
- El CSIRT necesita autoridad ejecutiva para tomar decisiones que impactan la continuidad del negocio (ej. apagar un servidor de producción).
Procedures (Procedimientos)
- Instrucciones tácticas obligatorias y genéricas. El cómo de tareas estándar.
- Ejemplos: procedimiento de respaldo de logs, procedimiento de creación de tickets, procedimiento de escalado.
- Son estables y rigen la operación diaria.
Playbooks
- Recetas específicas para amenazas concretas: Playbook de Phishing, Playbook de Ransomware, Playbook de Insider Threat.
- Guían al analista paso a paso durante la crisis.
- Capturan el Tribal Knowledge (conocimiento empírico de analistas veteranos) y lo convierten en activo de la organización.
Trampa del examen: Contenido de la Política
Nunca incluir detalles técnicos ni nombres de herramientas en la Policy. Las políticas requieren firma ejecutiva, un proceso burocrático lento. Si incluyen tecnología específica (ej. "usar Wireshark"), quedan obsoletas a los meses y pierden validez legal.
0x01 CSIRT: Composición y Roles
El CSIRT es multidisciplinar. Un incidente no se resuelve solo con personal técnico.
Miembros Core
- CSIRT Lead: Coordina la respuesta y toma decisiones tácticas.
- Analistas forenses: Ejecutan la respuesta técnica directa.
SME (Subject Matter Experts)
- Expertos técnicos externos al CSIRT que se integran temporalmente.
- Ejemplo: Si un incidente afecta a la base de datos central, el DBA actúa como SME proporcionando contexto sobre qué es normal y qué es anómalo en ese activo.
Apoyo Transversal
| Rol | Función crítica |
|---|---|
| Legal Counsel | Revisar comunicaciones externas para evitar admisión de responsabilidades |
| HR | Medidas disciplinarias, insider threats |
| PR | Control de narrativa pública |
| Management | Autoridad, presupuesto y recursos |
Trampa del examen: Law Enforcement
Involucrar a Law Enforcement debe hacerse bajo asesoría legal. El objetivo policial es la atribución y recolección de evidencia para juicio, lo que puede implicar incautación de servidores. El objetivo de negocio es recuperar el servicio. Estos objetivos chocan frontalmente.
0x02 Clasificación de Incidentes (NIST SP 800-61)
Jerarquía de ocurrencias:
- Event (Evento): Cualquier ocurrencia observable en un sistema o red. Neutro por definición.
- Adverse Event (Evento Adverso): Evento con consecuencias negativas. Una caída de sistema.
- Security Incident (Incidente de Seguridad): Violación confirmada de políticas de seguridad. Un acceso malicioso a datos.
Vectores de ataque NIST:
- Attrition: Fuerza bruta, DDoS
- Web: Vulnerabilidades en sitios
- Email: Phishing
- External/Removable Media: USB infectados
- Improper Usage: Violación de políticas por usuarios autorizados
Los 4 pilares de severidad:
| Pilar | Pregunta clave |
|---|---|
| Functional Impact | ¿Se detuvo la operación? |
| Economic Impact | ¿Cuánto dinero perdemos por hora? |
| Recoverability Effort | ¿Podemos arreglarlo internamente o necesitamos ayuda externa? |
| Information Impact | ¿Qué datos se comprometieron? |
Clasificación de impacto:
| Nivel | Functional Impact | Information Impact |
|---|---|---|
| None | Sin afectación de servicios | Sin compromiso (ej. portátil cifrado perdido) |
| Low | Servicio no crítico interrumpido | Datos no sensibles |
| Medium | Servicio crítico para un subconjunto | Datos confidenciales o integridad alterada |
| High | Servicio crítico caído para toda la empresa | Brecha masiva de PII o datos críticos |
Trampa del examen
Si el CEO pierde su portátil pero tiene FDE (Full Disk Encryption), el impacto a la información es None. Si los datos se publicaron en Internet, el Recoverability Effort es Not Recoverable — no puedes borrar algo de la web global.
0x03 PICERL: Ciclo de Respuesta a Incidentes
Phase 1: Preparation
Sección donde se gana la guerra antes del combate.
Jump Kit — maletín forense preparado para despliegue inmediato:
| Componente | Ejemplos |
|---|---|
| Write Blockers | Tableau T35u, WiebeTech |
| Cables y adaptadores | SATA, IDE, USB, Thunderbolt |
| Portátil forense | Con herramientas preinstaladas |
| Medios de imagen | Discos externos, SSD |
| Formularios | Cadena de custodia, inventario de evidencia |
| Documentación | Playbooks impresos, contactos de escalado |
Tabletop vs Functional vs Full-Scale:
| Tipo | Descripción | Recursos |
|---|---|---|
| Tabletop | Simulación teórica, discusión de escenarios | Bajos — solo tiempo del personal |
| Functional | Simulación práctica de un componente específico | Medios — herramientas de prueba |
| Full-Scale | Simulación completa con múltiples equipos | Altos — toda la organización |
NTP como requisito forense
Sin sincronización NTP, es imposible correlacionar timestamps de diferentes fuentes (firewall, SIEM, base de datos). Una discrepancia de tiempo invalida el análisis forense.
Preparación técnica: Implementar firewalls, IPS, EDR, SIEM — todo esto es Preparation, no Detection.
Phase 2: Detection and Analysis
Determinar si hay intrusión.
IoC (Indicator of Compromise)
— Artefacto estático, sustantivo. Hash MD5/SHA-256, IP maliciosa, dominio C2. Reactivo.
IoA (Indicator of Attack)
— Comportamiento dinámico, verbo. Patrón de Beaconing, movimiento lateral, inyección SQL. Proactivo.
Precursors
— Señales tempranas antes del incidente (ej. post en foro de hackers anunciando ataque para mañana).
Proceso de análisis:
- Correlacionar logs de múltiples fuentes (SIEM)
- Buscar precursors e indicators en Intel feeds
- Evaluar severidad con los 4 pilares
- Clasificar el incidente y documentarlo
- Escalar según el procedimiento definido
Comunicación durante incidentes:
- Need-to-know basis: Solo informar a quienes necesitan saber. El conocimiento amplio de un incidente puede causar pánico o alertar al atacante.
- Escalation paths: Definidos previamente en los procedures. Quién notifica a quién, en qué orden, con qué nivel de detalle.
- Canales seguros: No usar los canales comprometidos. Si el email corporativo está bajo ataque, usar teléfonos o canales alternativos predefinidos.
- Regla de oro: Nunca comunicar detalles internos del incidente en canales públicos o no seguros.
Phase 3: Containment
Regla absoluta: La contención siempre precede a la erradicación
Si intentas eliminar malware antes de aislar el host, el atacante detecta la acción y activa persistencia o propagación lateral.
| Estrategia | Definición | Uso |
|---|---|---|
| Segmentation | Mover el host a una Quarantine VLAN | Permite seguir analizando con tráfico controlado |
| Isolation | Desconectar la red interna, mantener Internet | Observar tráfico hacia C2 para inteligencia |
| Removal | Desconexión física total (sacar el cable) | Detener exfiltración masiva inmediata |
Trampa del examen: Dead Man's Switch
Al aplicar Removal, corres el riesgo de activar un Dead Man's Switch. El malware puede estar programado para borrar el disco si pierde conectividad (ej. falla un ping constante a Google).
Phase 4: Eradication
Solo después de contener. Incluye:
- Eliminar malware, cuentas ocultas y backdoors
- Parchear la vulnerabilidad raíz
- Rotar credenciales comprometidas
- Verificar que no hay persistencia residual
Wipe and Rebuild
Es la única garantía real. Pasar un antivirus no es suficiente — el atacante pudo dejar rootkits o cuentas ocultas.
Phase 5: Recovery
Restaurar sistemas a operación normal:
- Restaurar desde backup verificado (comprobar hash antes de restaurar)
- Reconstruir desde imagen limpia y conocida (reimaging)
- Monitorizar tras la reincorporación — el periodo de observación es crítico
- Reescanear vulnerabilidades para confirmar que el parche cerró la brecha raíz
- Verificar que el logging hacia el SIEM está activo
Diferencia clave
Restaurar (backup) vs. reconstruir (imagen limpia). Si el backup está comprometido, la reconstrucción es la única opción segura.
Phase 6: Lessons Learned
Obligatorio tras cada incidente.
- Facilitador independiente: La reunión la dirige alguien ajeno a la respuesta para garantizar objetividad.
- Enfoque no-blame: El objetivo no es culpar al analista, sino identificar por qué falló el proceso.
- Root Cause Analysis (RCA): Estrictamente técnico — ¿por qué falló el control?
- Actualización de IoCs: Alimentar el SIEM con nuevos hashes e IP para que el mismo ataque no se repita.
0x04 Indicadores de Compromiso (IoC)
IoC de Red
NetFlow y volumen anómalo: Un servidor interno transfiere 9 GB a una IP externa desconocida. Detectar mediante Flow logs con análisis heurístico. Los flujos muestran volumen y destino; el baselining detecta la desviación.
Anomalías DNS:
| Técnica | Indicator | Detección |
|---|---|---|
| DNS Tunneling | Consultas masivas TXT con subdominios en base64 | Análisis de longitud de subdominios y tipo de registro |
| DGA | Inundación de errores NXDOMAIN | Monitorizar ratio NXDOMAIN/resolved |
| Fast-flux DNS | Rotación constante de IP para un dominio | TTL anómalo bajo, IP con mala reputación |
IoC de Host
Windows Event IDs críticos:
| Event ID | Significado | Contexto forense |
|---|---|---|
| 4625 | Fallo de inicio de sesión | Múltiples 4625 + un 4624 = fuerza bruta exitosa |
| 4624 | Inicio de sesión exitoso | Verificar Logon Type |
| 1102 | Log de auditoría borrado | Anti-forensics de máxima prioridad |
Logon Types:
| Type | Descripción | Uso legítimo |
|---|---|---|
| 2 | Interactivo (consola) | Inicio de sesión local |
| 3 | Red | Acceso a recursos compartidos |
| 4 | Batch | Tareas programadas |
| 5 | Servicio | Servicios de Windows |
| 7 | Desbloqueo | Desbloquear pantalla |
| 8 | NetworkCleartext | Autenticación en texto claro |
| 10 | RemoteInteractive | Remote Desktop (RDP) |
Trampa del examen
Una cuenta de servicio (svc_backup) con Logon Type 2 (Interactivo) o 10 (RDP) a las 3:00 AM es un compromiso confirmado.
Resource Hijacking (Cryptojacking): Pico de CPU al 100% sin carga de trabajo visible.
Staging: Antes de la exfiltración, el atacante mueve datos sensibles a una carpeta temporal (ej. C:\Temp\stage) y los comprime en ZIP protegido.
Trampa del examen
Comprimir datos en el host es la táctica Collection de MITRE ATT&CK. La táctica Exfiltration ocurre cuando el archivo sale de la red. Son fases distintas.
0x05 Forense Digital y Cadena de Custodia
Order of Volatility
Recolectar datos de mayor a menor volatilidad antes de que desaparezcan:
| Orden | Fuente | Volatilidad |
|---|---|---|
| 1 | CPU Cache, registros, RAM | Máxima — se pierde al apagar |
| 2 | Procesos en ejecución, conexiones de red | Alta — cambia constantemente |
| 3 | Tablas ARP, routing cache | Alta |
| 4 | Discos HDD/SSD | Baja — persistente |
| 5 | Backups, medios ópticos | Mínima — históricos |
Protocolo de Adquisición:
- Documentar el estado del sistema ANTES de tocar nada (fotografías, timestamps)
- Capturar lo volátil primero (RAM, procesos, conexiones)
- Usar Write Blockers físicos SIEMPRE antes de conectar discos
- Crear imagen bit a bit (RAW) que incluya Slack Space y Unallocated Space
- Generar hash del original y de la imagen — si coinciden, integridad probada
- Documentar cadena de custodia: quién tocó la evidencia, cuándo y con qué propósito
Nota técnica
MD5 y SHA-1 siguen siendo válidos para validación forense de imágenes, aunque SHA-256 es la recomendación moderna.
Evidencia Volátil vs Non-Volatile
| Volatile (se pierde al apagar) | Non-Volatile (persiste) |
|---|---|
| RAM, procesos activos | Discos HDD/SSD |
| Conexiones de red establecidas | Archivos y registros |
| Tablas ARP, DNS cache | Registro de Windows |
| Contenido del portapapeles | Event logs |
Regla
Siempre capturar lo volátil ANTES de apagar. Si apagas primero, pierdes la evidencia más crítica.
0x06 Sanitización (NIST SP 800-88)
| Nivel | Método | Protección contra |
|---|---|---|
| Clear | Sobrescritura lógica | Recuperación simple |
| Purge | Degaussing, cifrado criptográfico | Recuperación en laboratorio |
| Destroy | Trituración, incineración | Toda recuperación |
Regla del examen
Clear es suficiente para reutilizar internamente. Purge para transferir a terceros. Destroy para datos de máxima clasificación o cuando el medio no soporta Purge.
0x07 Frameworks de Análisis de Intrusión
| Framework | Enfoque | Uso principal |
|---|---|---|
| MITRE ATT&CK | Catálogo de TTP | Generar hipótesis de Threat Hunting |
| Cyber Kill Chain | Lineal, 7 fases | Identificar en qué fase está el atacante para romper la cadena |
| Diamond Model | Relacional (Adversary, Capability, Infrastructure, Victim) | Pivoting: de una IP descubrir otras víctimas |
Cyber Kill Chain — 7 fases:
- Reconnaissance
- Weaponization
- Delivery
- Exploitation
- Installation
- Command and Control (C2)
- Actions on Objectives
Diamond Model — Pivoting: Si conozco la IP del atacante (Infrastructure), puedo pivotar para descubrir otras víctimas afectadas por la misma infraestructura.
0x08 Retención de Evidencia y Logs
Retention Policies: Definir cuánto tiempo guardar evidencia y logs:
- Logs de seguridad: Mínimo 1 año (muchos marcos normativos lo requieren)
- Evidencia forense: Hasta que el caso legal se cierre o se determine que no hay acción legal
- Backups de imágenes forenses: Según política organizacional, típicamente 3-5 años para litigación pendiente
- IoC e Intel: Actualizar continuamente; los indicators envejecen rápidamente (ej. IP que se reasignan)
Regla del examen
No eliminar evidencia hasta que Legal Counsel lo autorice por escrito. La destrucción prematura de evidencia puede constituir obstrucción.
0x09 Trampas del Examen — Selección Crítica
Policy vs Procedures vs Playbooks
- Policy = what y who (sin detalles técnicos)
- Procedures = how genérico
- Playbooks = how específico para una amenaza
Contención siempre antes que Erradicación
- Jamás eliminar malware antes de aislar el host
- El atacante detecta la eliminación y activa persistencia
Portátil cifrado perdido
- FDE activo = impacto None en información
- Sin FDE = brecha de datos, incidente confirmado
Datos publicados en Internet
- Recoverability = Not Recoverable
- No se puede eliminar contenido de la web global
Dead Man's Switch
- Al desconectar físicamente (Removal), el malware puede borrar evidencia
- Evaluación de riesgo antes de elegir Removal
Collection vs Exfiltration (MITRE)
- Collection: comprimir datos en el host
- Exfiltration: los datos salen de la red
- Son fases distintas
Cuenta de servicio con logon interactivo
- svc_backup con Type 2 o 10 a las 3:00 AM = compromiso
Banner Grabbing y falsos positivos
- Escaneo sin credenciales = alta tasa de falsos positivos
- Workaround que no cambia versión = el escáner sigue reportando la vulnerabilidad
0x0A Apéndice — Glosario
| Término | Definición |
|---|---|
| CSIRT | Computer Security Incident Response Team |
| IoC | Indicator of Compromise — artefacto estático (hash, IP, dominio) |
| IoA | Indicator of Attack — comportamiento dinámico (beaconing, lateral movement) |
| PICERL | Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned |
| FDE | Full Disk Encryption |
| Write Blocker | Hardware que impide escritura en el disco original durante la adquisición |
| Jump Kit | Maletín forense preparado para despliegue inmediato |
| RCA | Root Cause Analysis — análisis técnico de la causa raíz |
| DGA | Domain Generation Algorithm — malware genera miles de dominios aleatorios |
| Staging | Mover datos a una carpeta temporal antes de exfiltrar |
| Dead Man's Switch | Mecanismo que ejecuta una acción destructiva si se pierde conectividad |
[ EOF ]
Dominio 3 — Incident Response — CySA+ (CS0-003)