Skip to main content

Documentation Index

Fetch the complete documentation index at: https://mintlify.com/jpm70/IFCT0109-Seguridad-Informatica/llms.txt

Use this file to discover all available pages before exploring further.

Windows domina los entornos empresariales. La gran mayoría de las organizaciones utilizan Windows como sistema operativo de sus estaciones de trabajo y, en muchos casos, de sus servidores. Un técnico de seguridad debe ser fluido en la administración de Windows, dominar PowerShell, interpretar los registros de eventos y entender la estructura del Registro, ya que estas habilidades son la base para detectar intrusiones, realizar auditorías y responder a incidentes en entornos corporativos reales.

Comandos CMD Esenciales

La línea de comandos clásica de Windows, aunque más limitada que PowerShell, sigue siendo una herramienta fundamental. En muchos entornos comprometidos o en sistemas heredados, CMD puede ser la única interfaz disponible. Estos comandos cubren las tareas de enumeración y administración más habituales.
:: Información del sistema
systeminfo                  :: Detalles completos del sistema
ipconfig /all               :: Configuración de red
net user                    :: Listar usuarios locales
net localgroup administrators :: Miembros del grupo Administradores

:: Puertos y conexiones
netstat -anob               :: Conexiones con PID y ejecutable
tasklist /svc               :: Procesos y servicios asociados

:: Auditoría y logs
wevtutil qe Security /c:20 /rd:true /f:text  :: Últimos 20 eventos de seguridad

:: Gestión de servicios
sc query                    :: Listar todos los servicios
sc stop NombreServicio
sc start NombreServicio

PowerShell para Seguridad

PowerShell es el lenguaje de scripting y administración moderno de Windows. Su integración profunda con el sistema operativo, el framework .NET y Active Directory lo convierte en una herramienta indispensable para administradores y, por ese mismo motivo, en el vector de ataque preferido de los atacantes avanzados. Dominar PowerShell desde la perspectiva defensiva te permitirá detectar su uso malicioso y responder de forma efectiva.
# Información del sistema
Get-ComputerInfo | Select-Object CsName, OsName, OsVersion
Get-Process | Sort-Object CPU -Descending | Select-Object -First 10

# Usuarios y grupos
Get-LocalUser
Get-LocalGroupMember -Group "Administrators"

# Red
Get-NetTCPConnection | Where-Object State -eq 'Listen'
Get-NetAdapter | Select-Object Name, Status, LinkSpeed

# Eventos de seguridad (fallos de login)
Get-EventLog -LogName Security -InstanceId 4625 -Newest 20

# Archivos modificados recientemente
Get-ChildItem C:\ -Recurse | Where-Object {$_.LastWriteTime -gt (Get-Date).AddDays(-1)}

Visor de Eventos (Event Viewer)

El Visor de Eventos de Windows es la primera fuente de información en cualquier investigación de incidentes. Cada acción relevante del sistema genera un evento con un identificador único (Event ID). Conocer los Event IDs más importantes te permitirá identificar rápidamente actividad sospechosa, intentos de intrusión y comportamientos anómalos sin necesidad de herramientas adicionales.
Event IDDescripciónRelevancia
4624Inicio de sesión exitosoAuditoría de accesos legítimos e ilegítimos
4625Inicio de sesión fallidoDetección de ataques de fuerza bruta
4648Inicio de sesión con credenciales explícitasIndicador de lateral movement
4688Creación de un nuevo procesoDetección de ejecución de malware
4698Creación de tarea programadaTécnica de persistencia de malware
7045Instalación de nuevo servicioPosible instalación de backdoor
Para acceder al Visor de Eventos, ejecuta eventvwr.msc desde el cuadro de diálogo Ejecutar. El canal Security es el más relevante para auditoría, aunque también conviene revisar System y Application. Con PowerShell puedes filtrar y exportar eventos de forma programática, lo que facilita el análisis masivo de logs.

Registro de Windows

El Registro de Windows es una base de datos jerárquica que almacena la configuración del sistema operativo, aplicaciones y usuarios. Es también uno de los mecanismos más utilizados por el malware para establecer persistencia. Un técnico de seguridad debe conocer las claves de registro más relevantes para detectar configuraciones anómalas durante un análisis forense o una auditoría. Las claves de mayor relevancia para seguridad son las siguientes:
:: Entradas de autoarranque del sistema (se ejecutan al inicio para todos los usuarios)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

:: Servicios instalados en el sistema
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

:: Entradas de autoarranque del usuario actual (solo afectan a la sesión actual)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Para inspeccionar el Registro, utiliza el editor gráfico regedit.exe o PowerShell con Get-ItemProperty para acceso programático. Las claves Run y RunOnce bajo HKLM y HKCU son los primeros lugares donde buscar persistencia de malware. Los servicios instalados en HKLM\SYSTEM\CurrentControlSet\Services deben contrastarse con una línea base limpia del sistema para detectar servicios maliciosos. Además de estas claves principales, presta atención a:
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon — permite sustituir procesos del sistema al inicio de sesión
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce — se ejecuta una sola vez y se elimina automáticamente
  • HKCU\SOFTWARE\Classes\ — puede usarse para COM hijacking
PowerShell es la herramienta de administración más poderosa en Windows. Dominar Get-EventLog, Get-Process y Get-NetTCPConnection te permitirá detectar actividad sospechosa de forma efectiva.

Build docs developers (and LLMs) love