Digital Forensics & Incident Response completo
DFIR (Digital Forensics and Incident Response) es la disciplina que conecta el análisis de malware con el mundo real de los incidentes de seguridad. No basta con saber qué hace un binario: hay que preservar la evidencia, reconstruir la línea temporal del ataque, contener el incidente y documentar todo de forma que sea admisible en un proceso judicial o auditoría. Esta serie cubre el ciclo completo desde la primera alerta hasta el informe final.
Bloque 1: Fundamentos forenses (artículos 1-4) Cadena de custodia, adquisición de evidencia (disco, memoria, red, cloud), hash verification, herramientas de imaging y write blockers.
Bloque 2: Análisis forense de sistemas (artículos 5-9) Forense de Windows (registry, event logs, prefetch, amcache), forense Linux (logs, crontab, bash history), forense macOS, análisis de artefactos de navegador y forense de correo electrónico.
Bloque 3: Incident Response (artículos 10-13) Proceso IR (NIST/SANS), detección y contención, erradicación y recuperación, comunicación durante incidentes, y coordinación con CERTs.
Bloque 4: Timeline y reporting (artículos 14-17) Super timeline con Plaso, correlación de eventos multi-fuente, redacción de informes periciales, y lecciones aprendidas con mejora continua.
Intermedio a avanzado. Se asume experiencia básica en administración de sistemas y conocimientos de análisis de malware. Cada artículo incluye ejercicios con herramientas como Autopsy, FTK Imager, Plaso y ELK.
Introduccion completa a DFIR (Digital Forensics and Incident Response). Diferencias entre forense digital y respuesta a incidentes, marco NIST SP 800-61, roles profesionales y como ambas disciplinas se complementan en la practica.
Como mantener la cadena de custodia de evidencia digital. Procedimientos de manejo, hashing criptografico, documentacion, almacenamiento seguro y requisitos legales de admisibilidad en Espana.
Procedimiento completo de adquisicion de imagenes forenses de disco. Herramientas dd, dc3dd y FTK Imager, formatos raw y E01, write blockers hardware y software, verificacion de integridad y buenas practicas.
Guia practica para crear timelines forenses con plaso/log2timeline, analisis de MFT, correlacion de event logs de Windows y tecnicas de normalizacion temporal para reconstruir incidentes de seguridad con precision.
Analisis detallado de los artefactos forenses mas importantes en Windows: Registry hives (SAM, SYSTEM, SOFTWARE, NTUSER.DAT), Prefetch, AmCache, ShimCache, SRUM y su aplicacion practica en investigaciones DFIR.
Guia practica de artefactos forenses en Linux: /var/log, auth.log, wtmp/btmp, .bash_history, crontab, journald y systemd. Tecnicas de extraccion y analisis para investigaciones DFIR en servidores y estaciones Linux.
Tecnicas de analisis forense de navegadores web: historial, cookies, cache, descargas y credenciales almacenadas en Chrome y Firefox. Extraccion de bases de datos SQLite y reconstruccion de actividad del usuario.
Tecnicas de analisis forense de correo electronico: interpretacion de headers SMTP, verificacion de SPF/DKIM/DMARC, analisis de ficheros EML/MSG, deteccion de phishing y preservacion de evidencia de email.
Guia practica de forense de red: captura y analisis de trafico con PCAP, Wireshark y Zeek. Tecnicas de analisis de flujos, deteccion de C2, exfiltracion de datos y reconstruccion de sesiones de red en investigaciones DFIR.
Desafios y tecnicas de forense digital en entornos cloud: AWS CloudTrail, Azure Activity Log, GCP Cloud Audit Logs. Adquisicion de evidencia, analisis de logs y particularidades de investigaciones en infraestructura cloud.
Metodologia completa para la investigacion forense de incidentes de ransomware: identificacion de la familia, analisis criptografico, uso de decryptors, recuperacion de datos y lecciones para la prevencion.
Guia practica para crear un plan de respuesta a incidentes basado en NIST SP 800-61 Rev. 2. Fases de preparacion, deteccion, contencion, erradicacion, recuperacion y actividad post-incidente con plantillas aplicables.
Tecnicas de contencion a nivel de red y de host durante la respuesta a incidentes: aislamiento de sistemas, bloqueo de comunicaciones C2, preservacion de evidencia y criterios de decision para cada estrategia.
Guia completa para la erradicacion de amenazas, recuperacion de sistemas y hardening post-incidente: eliminacion de root cause, reconstruccion segura, reseteo de credenciales y medidas de endurecimiento para prevenir recurrencia.
Como conducir revisiones post-incidente efectivas: metodologia blameless, estructura de la reunion, documentacion de hallazgos, action items y metricas de mejora continua en la respuesta a incidentes.
Catalogo completo de herramientas open source para DFIR: Autopsy, KAPE, Velociraptor, herramientas de Eric Zimmerman, Volatility, plaso y mas. Comparativa, casos de uso y flujos de trabajo practicos.
Guia para la elaboracion de informes forenses periciales en el marco legal espanol: requisitos de la LEC, estructura del dictamen pericial, cadena de custodia, cualificacion del perito y particularidades de la evidencia digital.