Fuentes de Datos - Investigación Forense

FUENTES DE DATOS PARA INVESTIGACIÓN FORENSE Y RESPUESTA A INCIDENTES

🔍 ¿Qué son las fuentes de datos?

Son todos aquellos registros, trazas, logs o flujos que contienen evidencia digital útil para:

Identificar comportamientos anómalos o maliciosos.
Reconstruir la cadena de eventos de un incidente.
Proporcionar indicadores de compromiso (IoC) y de ataque (IoA).
Correlacionar actividades entre múltiples sistemas (host, red, cloud, endpoint, etc.).

🧷 CLASIFICACIÓN DE FUENTES DE DATOS

Las dividiremos en 5 grandes bloques operativos, con ejemplos específicos y casos de uso:

1. 🧠 Fuentes del Endpoint (Host-Based)

Fuente de datos Qué aporta Herramientas

Logs del sistema operativo: Eventos de inicio de sesión, ejecución de procesos, errores del sistema. – Event Viewer (Windows), journalctl (Linux)
EDR (Endpoint Detection & Response): Detección de malware, comportamiento sospechoso, persistencia. – Microsoft Defender for Endpoint, CrowdStrike, SentinelOne
Sysmon (Windows): Actividad detallada de procesos, red, cambios de registro. – Sysmon + SIEM
Registro de Windows: Persistencia, cambios de configuración, malware residente. – RegRipper, FTK
Memoria volátil (RAM): Cargas de malware fileless, claves, sesiones. – Volatility, Rekall
Archivo de hibernación / pagefile.sys: Artefactos residuales de memoria. – Volatility, X-Ways

🧩 Uso típico: Caza de malware, análisis de persistencia, ransomware, rootkits.

2. 🌐 Fuentes de Red (Network-Based)

Fuente de datos Qué aporta Herramientas

PCAP (captura de paquetes) Tráfico crudo para análisis manual o automatizado. – Wireshark, Zeek
Logs de firewall / IDS / IPS Conexiones permitidas/bloqueadas, patrones de ataque. – FortiGate, Suricata, Snort
NetFlow / sFlow Flujo de tráfico: quién, cuándo, cuánto, hacia dónde. – NfSen, SolarWinds
DNS logs Peticiones de resolución, tunneling, C2. – Pi-hole, Zeek DNS logs
DHCP logs Asignación de IPs por MAC. Útil para rastrear dispositivos. – Logs de DHCP server

🧩 Uso típico: Detección de beaconing, C2, exfiltración, lateral movement.

3. 🔐 Fuentes de Aplicación / Cloud

Fuente de datos Qué aporta – Herramientas

Web server logs Rutas accedidas, IPs, agentes. Detectar ataques web (SQLi, XSS). – Apache/Nginx logs
SIEM logs correlados Eventos enriquecidos y correlacionados entre fuentes. – Splunk, QRadar, Sentinel
CloudTrail / CloudWatch (AWS) Cambios en la infraestructura cloud, creación/eliminación de recursos. – AWS Console, Athena
Microsoft 365 Audit Logs
Microsoft 365 Audit Logs Actividad en SharePoint, Exchange, Teams, OneDrive. – Purview Audit Logs
OAuth / SSO logs Autenticación federada, tokens, errores. – Okta, Azure AD Logs

🧩 Uso típico: Análisis de abuso de credenciales, exfiltración vía cloud, accesos indebidos.

4. 📁 Fuentes de Seguridad (Centralizadas y especializadas)

Fuente de datos – Qué aporta – Herramientas

SIEM (Security Information and Event Management) – Correlación de eventos, alertas, detección basada en reglas. – Splunk, AlienVault, LogRhythm

SOAR (Security Orchestration, Automation and Response) – Acciones automáticas y workflows ante incidentes. – TheHive, Cortex XSOAR
TI Feeds (Threat Intelligence Feeds) – IoCs, campañas activas, TTPs de APTs. – MISP, Anomali, OpenCTI
Sandboxes de malware – Comportamiento dinámico de archivos sospechosos. – Cuckoo Sandbox, Any.Run, Joe Sandbox

🧩 Uso típico: Correlación a gran escala, análisis avanzado, respuesta automatizada.

5. 📚 Fuentes Humanas / No estructuradas

Fuente - Qué aporta

Entrevistas a usuarios –
Contexto de incidentes internos, acceso legítimo o sospechoso.
Tickets / correos / chats –
Trazabilidad de decisiones, solicitudes, fallos.
Screenshots / videos –
Pruebas visuales en análisis forense.

🧩 Uso típico: Casos de fraude interno, ingeniería social, uso indebido del sistema.

🧠 USO AVANZADO EN INVESTIGACIÓN

Para que una fuente sea útil en investigación avanzada, debe:

Ser timestamped y sincrónica (idealmente en UTC).
Estar validadamente correlacionada con otras fuentes.
Ser confiable y completa (sin huecos).
Estar protegida contra manipulación (hash, logs inmutables, WORM).

🔗 EJEMPLO DE CORRELACIÓN MULTIFUENTE

Caso: Se sospecha que un empleado filtró información confidencial.

Sysmon: Proceso que ejecuta 7z.exe y accede a archivos confidenciales.
Firewall: Conexión saliente a Dropbox a través de IP no habitual.
M365 Logs: Login externo con token OAuth generado en esa sesión.
DNS Logs: Resolución de dominio sospechoso dropbox[.]com.
Chat interno: "Voy a enviar esto antes de que se den cuenta…"

FUENTES DE DATOS – ANÁLISIS PARA INVESTIGACIÓN FORENSE Y DETECCIÓN DE AMENAZAS

🎯 Objetivo

Aprender a identificar, clasificar y aprovechar de forma eficaz las distintas fuentes de datos generadas en una arquitectura híbrida (on-prem + cloud) para:

Detectar y correlacionar incidentes.
Extraer evidencia forense.
Respaldar decisiones de respuesta.

🧠 CLASIFICACIÓN PRINCIPAL DE FUENTES DE DATOS

# Tipo de fuente Subcategorías ¿Qué aporta?
1 Red (Network)

- Logs de firewall
- IDS/IPS
- NetFlow
- PCAP
- DNS
- DHCP

🔑 Visibilidad del tráfico, patrones de escaneo, movimientos laterales, conexiones salientes sospechosas.

2 Hosts / Endpoints

- Logs del sistema (Windows, Linux)
- Sysmon
- Registro de eventos
- Antivirus / EDR
- Bash history
- LSOF / comandos ejecutados

🔑 Cambios en archivos, procesos maliciosos, persistencia, ejecución de scripts.

3 Aplicaciones - Web server logs (Apache, Nginx, IIS)
- DB logs (MySQL, Mongo, PostgreSQL)
- Access logs / audit trails
- APIs

🔑 Actividades de usuario, consultas inusuales, ataques a aplicaciones (SQLi, XSS, etc.).

4 Servicios en la nube (Cloud) - CloudTrail (AWS), Azure Monitor, GCP Cloud Audit
- API logs
- Auth logs (IAM)
- Logs de buckets / blobs

🔑 Acceso no autorizado, exfiltración de datos, abuso de credenciales.

5 Seguridad / SIEM / SOAR - Alertas correladas
- Dashboards
- Flujos de respuesta automatizados

🔑 Análisis centralizado, correlación entre fuentes, orquestación de respuestas.

6 Identidad y acceso (IAM) - Logs de autenticación (SSO, LDAP, Azure AD)
- Fallos/aciertos de login
- Tokens / sesiones

🔑 Brute force, uso indebido de cuentas, MFA, movimientos sospechosos.

7 Correos electrónicos - Exchange / Google Workspace
- Logs de antispam
- Headers
- Archivos adjuntos

🔑 Phishing, spear phishing, archivos maliciosos, trazabilidad del origen.

8 Dispositivos IoT / OT - PLC logs
- Logs de cámaras, sensores, SCADA
- SNMP traps

🔑 Cambios sospechosos en sistemas industriales, sabotajes, manipulaciones.

9 Fuentes externas (Threat Intel) - IP reputation
- IOC feeds
- CVE reports
- OSINT (VirusTotal, AbuseIPDB)

🔑 Contexto externo, campañas activas, TTPs conocidos, enriquecimiento de alertas.

🔍 EJEMPLOS DE ANÁLISIS TÁCTICO CON FUENTES DE DATOS

Caso: Movimiento lateral en red
- NetFlow + PCAP + Sysmon (event ID 3 y 10) → Detección de RDP lateral entre hosts.
- DNS logs → Resolución de nombres a direcciones IP internas sospechosas.
Caso: Phishing exitoso
- Logs de correo (header + body) → Confirmación del phishing.
- Auth logs → Login desde IP inusual tras el correo.
- CloudTrail o Azure Monitor → Acceso a recursos con esa cuenta comprometida.
Caso: Ataque SQLi
- Web server logs + DB logs → Peticiones malformadas, consultas anómalas.
- Sysmon (event ID 1, 11, 13) → Cambios en archivos o registros relacionados.

🛠️ HERRAMIENTAS ÚTILES PARA ANALIZAR FUENTES DE DATOS

Herramienta: Uso clave
– Wireshark / Zeek Análisis profundo de tráfico de red (PCAP, protocolos).
– Splunk / ELK / Graylog Correlación y búsqueda avanzada en grandes volúmenes de logs.
– Velociraptor / GRR Monitoreo y análisis remoto de endpoints.
– Sysinternals Suite (Windows) Investigación local: procesos, puertos, DLLs, etc.
– Auditd (Linux) Seguimiento detallado de eventos críticos.
– VirusTotal, Shodan, AbuseIPDB OSINT y verificación de amenazas.