4: CONTENCIÓN

Proteger sin ceder, responder sin destruir.
El arte de contener un ataque es la línea entre el caos y el control.


🎯 Objetivo de la Fase

Tras detectar y analizar el incidente, llega el momento de contenerlo: evitar que se propague, minimizar daños adicionales y preparar el terreno para la erradicación.
Es como cerrar una herida antes de extirpar la infección.


🧠 Preguntas estratégicas que guían esta fase:

  • 🔍 ¿Qué daños se han producido ya? ¿Pueden escalar?

  • 🧯 ¿Qué medidas podemos aplicar sin provocar más daño?

  • 🧬 ¿Necesitamos preservar evidencias para análisis forense?

  • 🚨 ¿Qué nivel de notificación interna o externa se requiere?

  • 🧠 ¿Qué no debe saber aún el atacante?


🧭 Tipos de técnicas (2) de contención

🧱 1. Contención basada en aislamiento

Cortar conexiones, detener propagación.

🔌 Desconexión física o lógica del sistema afectado:

  • Retirar el cable de red o desactivar el puerto de switch.

  • Uso de NAC (Network Access Control) para denegar acceso a la red.

🔐 Suspender cuentas comprometidas:

  • Desactivar temporalmente el acceso de usuarios implicados en el ataque.

  • Especialmente eficaz en ataques internos o cuando se detecta credential theft.

🖥️ Cierre de aplicaciones vulnerables:

  • Si una app es el vector, bloquear su ejecución a nivel de GPO o endpoint.

🧲 Ejemplo práctico:

Se detecta actividad lateral desde un equipo infectado.
El analista desactiva el puerto del switch, bloquea el acceso del usuario y aisla el endpoint con EDR.

🌐 2. Contención basada en segmentación

Redirigir, observar, manipular. Ingeniería táctica defensiva.

🔀 Uso de VLANs, subredes o ACLs:

  • Encerrar hosts infectados en una zona de cuarentena.

  • Restringir las comunicaciones a solo tráfico monitoreado.

🪤 Honeynets / Sinkholes:

  • Redirigir al atacante a un entorno ficticio.

  • Obtener inteligencia táctica en tiempo real: qué comandos usa, qué busca, qué técnica sigue.

🎭 Engaño controlado:

  • Se mantiene parte del entorno activo pero manipulado.

  • Útil para APTs, malware polimórfico y ataques persistentes.

🧲 Ejemplo práctico:

Se detecta un malware que intenta exfiltrar datos por DNS.
Se redirige el tráfico DNS del host a un sinkhole interno.
Se monitorea el comportamiento y se identifica el C2 sin alertar al atacante.


🧪 Consideraciones clave en la contención

 🎯 Objetivo – Evitar la expansión del ataque sin alertar al atacante.

🔬 Evidencia – Toda acción debe documentarse. Preserva logs, memoria RAM y archivos modificados.

🔄 Tiempo – ¿Cuánto tiempo tengo antes de que el atacante cause más daño?

🧱 Tecnología – ¿Tengo herramientas de EDR, NAC, firewall dinámico, SOAR, honeypots?

⚖️ Balance Contención vs Operatividad  Evitar sobrereacción que paralice el negocio.


🧠 Buenas Prácticas Purple Team – Contención

🔵 Blue Team

  • Usar herramientas como EDR (CrowdStrike, SentinelOne) para aislar endpoints con un clic.

  • Mantener playbooks de contención predefinidos por tipo de ataque.

  • Configurar firewalls y ACLs para cortar rutas de exfiltración.

  • Contar con un entorno de sandbox y honeypots listos para despliegue inmediato.

🔴 Red Team

  • Simular ataques que prueben si las contenciones son efectivas o pueden evadirse.

  • Verificar si los controles de contención dejan trazas detectables.

  • Intentar saltarse segmentaciones o saltar a subredes críticas tras aislamiento.

🟣 Purple Team

  • Testear periódicamente la capacidad del Blue Team de contener eventos simulados.

  • Hacer ejercicios de contención supervisados → luego analizar respuesta, tiempos y puntos de mejora.

  • Crear una base de conocimiento dinámica que recoja patrones de contención por tipo de amenaza.

✅ Resultados (tras la contención efectiva)

  • El incidente se estabiliza.

  • Se limita el alcance y la propagación lateral.

  • El atacante pierde acceso o cree que no ha sido detectado.

  • Se preserva la evidencia clave para erradicación y análisis forense.

  • El entorno queda listo para pasar a la siguiente fase: erradicación.

CURIOSIDADES Y CLAVES AVANZADAS

Lo que no te enseñan en los manuales sobre contener un incidente sin perder la ventaja.

⚠️ 1. La paradoja del aislamiento total

Cuanto más agresivo sea el aislamiento, más rápido sabrás que lo hiciste demasiado pronto.

Qué significa:
Muchos equipos tienden a "desenchufar todo" al detectar una intrusión. Pero si aíslas sin investigar primero, puedes:

  • Perder acceso a evidencia volátil (RAM, procesos activos, tráfico C2).

  • Alertar al atacante y hacer que desaparezca (o que active una carga destructiva).

  • Cortar sistemas críticos de negocio que no estaban comprometidos.

→ Clave Purple Team: Antes de aislar, recopila todo lo que puedas en caliente con EDR o herramientas forenses.


🕵️‍♀️ 2. Contención invisible = inteligencia gratuita

A veces es más eficaz no contener de inmediato.

Ejemplo: Si identificas un malware que se comunica con un C2 activo, puedes:

  • Monitorizar su tráfico y aprender sobre la infraestructura del atacante.

  • Trazar rutas hacia otros sistemas comprometidos que aún no habías visto.

  • Introducir honeypots y scripts de defensa sin que el atacante lo perciba.

⚔️ Técnica: Lo que parece una red comprometida... puede ser una red señuelo si tienes control del entorno.


🧯 3. Microcontención: una técnica avanzada

Contener sin desconectar, usando reglas específicas y segmentaciones de tráfico.

En lugar de bloquear todo:

  • Restringe solo ciertos puertos, protocolos o direcciones IP.

  • Usa reglas de firewall temporales y reversibles.

  • Limita privilegios de usuario o escalado de permisos sin cerrar sesiones activas.

🧠 Ventaja: Reduce el impacto sobre el negocio y evita que el atacante note la respuesta defensiva.


🧨 4. "Decoys" y data poisoning

¿Y si dejamos que robe... lo que queremos que robe?

Táctica de contrainteligencia digital:
Puedes crear documentos falsos, APIs señuelo o bases de datos con datos creíbles pero sin valor, con etiquetas de rastreo o watermarks.

🧲 Ejemplo:
Dejar un archivo credentials.xlsx en el escritorio con datos ficticios, diseñado para activar una alerta si se accede o exfiltra.

🎯 Objetivo:
Rastrear al atacante, distraerlo del objetivo real, obtener más información sobre su MO (modus operandi).


🔄 5. Automatización con SOAR: contención a velocidad luz

Cuanto más rápido automatices, más tiempo tienes para pensar.

SOAR permite responder a alertas con acciones predefinidas:

  • Bloquear IPs.

  • Aislar endpoints.

  • Enviar alertas al equipo de respuesta.

  • Ejecutar scripts de contención y extracción de evidencias.

💡 Clave: Entrena tu SOAR con playbooks realistas basados en tus simulaciones Red Team → mejora continua.


📡 6. La contención puede ser legalmente sensible

Cuidado con contener endpoints de proveedores o usuarios fuera de tu jurisdicción.

Si tu empresa opera internacionalmente:

  • Aislar sistemas en la nube o en otros países puede requerir autorización legal.

  • Algunas acciones pueden violar acuerdos de servicio (SLAs) o leyes de privacidad/datos.

⚖️ Consejo: Involucra al equipo legal en la definición de escenarios de contención y deja todo documentado con trazabilidad.


🐍 7. Ataques con trampas de contención

Hay APTs que diseñan sus ataques para activarse cuando los intentas contener.

Ejemplo:

  • Ransomware que se activa si detecta que el sistema entra en modo seguro.

  • Malware que borra logs si nota cambios en la tabla ARP o firewall.

🚨 Claves defensivas:

  • Haz sandboxing antes de ejecutar contención.

  • Analiza el comportamiento del sistema con snapshots VM.

  • Verifica si hay contadores de tiempo o detección de aislamiento.


🧰 Herramientas útiles

🧲 EDR – CrowdStrike, SentinelOne, Carbon Black

🔒 NAC – Cisco ISE, FortiNAC

🧪 Sandbox – Cuckoo Sandbox, Joe Sandbox 

📊 SIEM+SOAR – Splunk Phantom, IBM QRadar SOAR, XSOAR

🐝 Honeypots – T-Pot, Cowrie, Honeyd

🎯 Red Team Simulación  Caldera, Atomic Red Team

🧠 FRASE MAESTRA

"El verdadero poder no es eliminar el fuego… sino contenerlo mientras aprendes cómo se encendió."
Manual interno de operaciones Purple Team

CONTENCIÓN AVANZADA: ESTRATEGIA, MENTALIDAD Y TÁCTICAS PURPLE

🧩 1. Contención = Decisión de guerra

Cada decisión de contención es una jugada en el tablero. ¿Te interesa destruir al enemigo… o observarlo?

🔍 Mentalidad Purple:
No todo incidente se contiene igual. Algunos requieren acción inmediata. Otros, vigilancia silenciosa.
Debes evaluar el tipo de atacante:

  • Script kiddie: lo aíslas sin piedad.

  • APT (Advanced Persistent Threat): lo estudias, analizas su MO, y decides si lo dejas actuar para identificar su objetivo real.


🎭 2. Simular que no detectaste nada

El sigilo es una herramienta de defensa avanzada.

Si el atacante cree que no lo viste, baja la guardia. En ese tiempo:

  • Extraes memoria.

  • Tomas imagen del disco.

  • Capturas paquetes.

  • Rastreás C2.

Solo entonces aplicas la contención.

🧠 Ejemplo real: Un Red Team dejó una reverse shell activa en un endpoint. El Blue Team fingió no verla, rastreó su canal y descubrió otras 9 máquinas comprometidas conectadas a ese C2.


🎯 3. Decisiones tácticas en base al tipo de incidente

Tipo de Incidente – Acción Inicial Recomendable

  • Ransomware activo – Aislamiento inmediato. Preserva logs. Apaga red local si es necesario.
  • Malware no destructivo – Segmentación lógica. Analiza comportamiento. No alertes aún.
  • APT avanzado (persistente) – Honeynet + monitoreo. Obtén TTPs. Filtra con contenido falso.
  • Acceso no autorizado de insider – Desactiva cuentas silenciosamente. Observa conexiones.


🔄 4. Contención dinámica en tiempo real

La red ya no es estática. Las respuestas tampoco deberían serlo.

🧬 Usa contención dinámica en sistemas modernos:

  • Microsegmentación SDN (Software Defined Networking): Reconfigura redes sin tocar físicamente el hardware.

  • Zero Trust + NAC: Cambia la política de acceso del endpoint en tiempo real (sin desconectar).

  • EDR Triggered Isolation: Aísla automáticamente si se detecta ejecución de binarios maliciosos.

💡 Ejemplo: CrowdStrike Falcon puede aislar un host desde la consola EDR sin perder visibilidad del mismo.


🕳️ 5. Honeynets + Sinkholes: Contención Activa y Engañosa

🪤 En lugar de aislar por completo, redirige al atacante:

  • A un honeynet controlado con logs, alertas y trampas.

  • A un sinkhole DNS que resuelve dominios maliciosos hacia IPs inofensivas.

  • A un entorno emulado con canarios (ficheros trampa).

🎯 Objetivo:
Convertir la contención en un campo de pruebas para estudiar al atacante, ver hasta dónde llega, y generar inteligencia TTP real.


🧠 6. Errores comunes en contención que cuestan caro

Error 1: Cortar la red sin saber qué se está ejecutando → pierdes evidencia RAM.
✅ Solución: captura memory dump antes de apagar o aislar.

Error 2: Aislar sin desactivar credenciales → el atacante sigue operando desde otros nodos.
✅ Solución: desactiva cuentas primero.

Error 3: No documentar la decisión ni hora de contención → caos legal y forense.
✅ Solución: registra quién, cuándo y por qué se tomó cada acción.


📖 7. Modelo Contención Purple: 4 Pasos Clave

  1. Evaluar impacto vs. oportunidad de aprendizaje
    ¿Es grave? ¿O puedes observar un poco más?

  2. Contener sin perder visibilidad
    ¿Cómo puedes limitar sin apagar?

  3. Desplegar trampas si hay oportunidad
    ¿Puedes dejarle cebos para que se exponga?

  4. Escalar según evidencia y trazabilidad legal
    ¿Tienes justificación para contener como lo hiciste?

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar