Skip to content

Explícame el proceso de análisis forense digital y respuesta a incidentes.

Respuesta breve

El DFIR sigue un proceso disciplinado: identificación (confirmar y delimitar el incidente), adquisición (preservar pruebas siguiendo el orden de volatilidad, con imágenes forenses y hashes), análisis (línea de tiempo, causa raíz, alcance del compromiso) e informe (hallazgos para audiencias técnicas y legales). La cadena de custodia documenta quién manipuló cada artefacto y cuándo, para que la prueba se sostenga si alguna vez llega a un tribunal. Preservar antes de remediar.

El DFIR es donde la disciplina de investigación se encuentra con la presión del tiempo. Los entrevistadores preguntan sobre el proceso para ver si puedes moverte rápido sin destruir las mismas pruebas que necesitarás para entender el ataque — y posiblemente defender en un tribunal.

El proceso

  1. Identificación. Confirmar que un incidente es real (descartar falsos positivos en el triaje) y luego delimitarlo: ¿qué sistemas, cuentas y datos están afectados? No puedes adquirir ni contener lo que no has delimitado.
  2. Adquisición. Preservar las pruebas de forma forensemente sólida. Seguir el orden de volatilidad — capturar primero los datos más efímeros: registros y caché de la CPU, luego RAM y procesos en ejecución, luego estado de red, luego disco, luego soportes de archivo. Tomar imágenes forenses, calcular hashes criptográficos en la recolección y trabajar a partir de copias, nunca del original.
  3. Análisis. Reconstruir lo ocurrido: construir una línea de tiempo, hallar la causa raíz y el acceso inicial, identificar los TTP e IOC del atacante, y determinar el alcance completo del compromiso — qué se accedió o exfiltró. Esto impulsa tanto la erradicación como las decisiones de notificación de brecha.
  4. Informe. Producir hallazgos para dos audiencias: una narrativa técnica para los respondedores y un relato claro y factual para la dirección, el departamento legal y, potencialmente, los reguladores.

Cadena de custodia

Cada pieza de prueba necesita una cadena de custodia documentada — quién la recogió, cuándo, cómo se almacenó y todos los que la tocaron. El hash correspondiente demuestra que la imagen no fue alterada. Rompe la cadena y la prueba puede ser inadmisible.

La tensión central

La respuesta a incidentes quiere contener rápido; la forensia quiere preservar primero. Tirar del cable puede perder la memoria volátil que contiene la única copia de malware en memoria o de claves. Un respondedor hábil secuencia las acciones para capturar pruebas volátiles antes de la contención disruptiva, equilibrando ambos objetivos.

Qué buscan los entrevistadores

Quieren una adquisición guiada por el orden de volatilidad, hashing y cadena de custodia para la defendibilidad, el «preservar antes de remediar» y conciencia de la tensión contención frente a preservación bajo la presión real del tiempo.

Posibles preguntas de seguimiento

  • ¿Qué es el orden de volatilidad y por qué dicta el orden de adquisición?
  • ¿Por qué se calcula el hash de las imágenes de prueba y qué demuestra eso?
  • ¿Cómo entra a veces en conflicto el objetivo de contención de la respuesta a incidentes con la preservación forense?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.