Skip to main content

Documentation Index

Fetch the complete documentation index at: https://mintlify.com/jpm70/IFCT0109-Seguridad-Informatica/llms.txt

Use this file to discover all available pages before exploring further.

La gestión de incidentes de seguridad representa la disciplina reactiva de la ciberseguridad: mientras los módulos anteriores se centran en prevenir los ataques, este módulo enseña a detectarlos, contenerlos, erradicarlos y recuperarse de ellos de forma ordenada y efectiva. El alumno aprenderá a desplegar y operar sistemas de detección y prevención de intrusiones, a identificar y neutralizar código malicioso, a ejecutar planes de respuesta ante incidentes siguiendo metodologías reconocidas internacionalmente, y a realizar análisis forenses que permitan determinar el alcance del incidente y obtener evidencias válidas en un proceso judicial.

Unidades Didácticas

Los sistemas IDS/IPS son la primera línea de detección de actividad maliciosa en una red o en un host. Se estudian sus tipos: HIDS (Host-based IDS, monitoriza eventos en un sistema individual), NIDS (Network-based IDS, analiza el tráfico de red), HIPS (Host-based IPS, puede bloquear actividad maliciosa en el host) y NIPS (Network-based IPS, bloquea tráfico malicioso en la red). Se analizan las arquitecturas de despliegue —modo inline y modo pasivo (tap/span)— y las soluciones de referencia en el sector: Snort y Suricata.
Esta unidad es eminentemente práctica. Se trabaja la instalación y configuración de Snort y Suricata, la creación y gestión de reglas de detección (sintaxis de reglas Snort, conjuntos de reglas de la comunidad y comerciales como Emerging Threats), la configuración de alertas y su integración con un SIEM para la correlación centralizada de eventos. Se aborda también el ajuste fino (tuning) del sistema para reducir la tasa de falsos positivos sin comprometer la capacidad de detección.
El malware es la herramienta más utilizada por los atacantes. Se estudia la taxonomía del código malicioso: virus (se replica insertándose en ficheros legítimos), troyanos (se disfrazan de software legítimo), ransomware (cifra los datos y exige rescate), spyware (recopila información sin consentimiento), rootkits (ocultan su presencia en el sistema) y botnets. Se analizan las tecnologías de defensa: antivirus tradicionales basados en firmas, soluciones EDR (Endpoint Detection and Response) y técnicas de sandboxing para el análisis dinámico de muestras sospechosas.
Una respuesta eficaz a un incidente requiere un plan previamente definido. Se estudia el PRI (Plan de Respuesta a Incidentes) y las fases del marco NIST SP 800-61 (Guía de gestión de incidentes de seguridad informática): preparación, detección y análisis, contención/erradicación/recuperación y actividades post-incidente. Se analiza la estructura y funciones de un CSIRT/CERT (Computer Security Incident Response Team) y los criterios para la clasificación y priorización de incidentes según su severidad e impacto.
Una vez detectada actividad sospechosa, es necesario investigarla con profundidad. Esta unidad cubre el análisis de logs de múltiples fuentes (sistemas operativos, cortafuegos, aplicaciones), las técnicas de correlación de eventos para identificar patrones de ataque complejos, el uso de honeypots y honeynets para atraer y estudiar a los atacantes, y la disciplina del threat hunting (búsqueda proactiva de amenazas latentes en la organización que han eludido los controles automáticos de detección).
El análisis forense permite reconstruir lo que ocurrió durante un incidente y obtener evidencias válidas legalmente. Se estudia la metodología forense (identificación, preservación, adquisición, análisis y presentación de evidencias), la importancia crítica de la cadena de custodia para garantizar la admisibilidad de las evidencias en un proceso judicial, y las técnicas de adquisición forense de discos y memoria RAM. Se trabaja con herramientas especializadas: Autopsy (análisis de sistemas de archivos), Volatility (análisis de memoria), y FTK Imager (adquisición forense).

Ciclo de Respuesta a Incidentes

1

Preparación

Establecimiento de políticas y procedimientos de respuesta a incidentes, constitución y formación del equipo CSIRT, implantación de las herramientas de monitorización y detección necesarias, y realización de ejercicios de simulación (tabletop exercises) para verificar la operatividad del plan antes de que se produzca un incidente real.
2

Detección e identificación

Monitorización continua de los sistemas mediante IDS/IPS, SIEM y herramientas de análisis de logs, recepción y triaje de alertas para distinguir verdaderos positivos de falsos positivos, y determinación del tipo, alcance y vector de ataque del incidente. Esta fase determina si el evento debe escalar a incidente formal.
3

Contención

Aislamiento inmediato del sistema o sistemas afectados para evitar la propagación lateral del ataque, preservando al mismo tiempo las evidencias digitales para su posterior análisis forense. Se distingue entre contención a corto plazo (aislamiento de emergencia) y contención a largo plazo (medidas estables mientras se trabaja en la erradicación).
4

Erradicación

Eliminación de la causa raíz del incidente: desinfección de sistemas comprometidos, cierre de las vulnerabilidades explotadas, eliminación de cuentas comprometidas o backdoors instaladas por el atacante, y revisión exhaustiva de otros sistemas que pudieran haber sido afectados durante el movimiento lateral.
5

Recuperación

Restauración controlada del servicio a partir de copias de seguridad verificadas, validación del correcto funcionamiento de los sistemas antes de devolverlos a producción, monitorización intensificada post-recuperación para detectar posibles reinfecciones, y comunicación a los usuarios y partes interesadas sobre la resolución del incidente.
6

Lecciones aprendidas

Elaboración del informe post-incidente en las 72 horas siguientes a la resolución, análisis de las causas raíz y de los factores que permitieron el incidente, identificación de mejoras en los controles preventivos y en el propio proceso de respuesta, y actualización del Plan de Respuesta a Incidentes con las lecciones extraídas.

Herramientas de Análisis Forense

Autopsy

Plataforma de análisis forense digital de código abierto. Permite analizar discos duros e imágenes forenses, recuperar archivos eliminados, examinar el historial del navegador y extraer artefactos del sistema operativo relevantes para la investigación.

Volatility

Framework de análisis de volcados de memoria RAM (memory forensics). Permite extraer procesos en ejecución, conexiones de red activas, contraseñas en memoria, artefactos de malware y cualquier información que residiera en la memoria volátil del sistema en el momento del incidente.

Wireshark

Captura y análisis de tráfico de red. En contexto forense, permite analizar capturas de tráfico (ficheros PCAP) para reconstruir las comunicaciones que tuvieron lugar durante el incidente, identificar exfiltraciones de datos o comunicaciones con servidores de comando y control (C2).

Snort / Suricata

Sistemas IDS/IPS de red de código abierto. Snort es el estándar de la industria con más de dos décadas de historia; Suricata es su sucesor moderno con soporte multi-hilo, inspección de protocolos de capa 7 y capacidades adicionales de análisis de red.
El análisis forense debe seguir siempre la cadena de custodia para garantizar que las evidencias sean admisibles en un proceso judicial. Esto implica documentar de forma detallada cada acción realizada sobre la evidencia: quién la recopiló, cuándo, mediante qué procedimiento, y cómo ha sido almacenada y transferida. Una cadena de custodia rota puede invalidar la totalidad de las evidencias obtenidas.

Build docs developers (and LLMs) love