Debes reconstruir lo que un atacante hizo a lo largo de tres días. ¿Cuál es el enfoque correcto?
Respuesta breve
Una reconstrucción fiable de un incidente surge de correlacionar telemetría independiente en una sola cronología: registros de autenticación, datos de proceso/ejecución del EDR, marcas de tiempo MAC del sistema de archivos, flujos de red y eventos del SIEM, para ordenar las acciones y acotar el alcance. Un solo registro o el evento más reciente por sí solo pierde la cadena y puede inducir a error o estar manipulado. Adivinar a partir de una fuente o preguntar al atacante no son métodos de investigación. La correlación entre fuentes independientes revela la actividad completa del atacante y resiste a un atacante que editó una de ellas.
Reconstruir una intrusión de varios días es, en esencia, un problema de correlación. Ninguna fuente de datos por sí sola cuenta toda la historia: los registros de autenticación muestran quién inició sesión dónde, el EDR muestra qué se ejecutó, las fechas MAC (modificación/acceso/cambio) del sistema de archivos muestran qué archivos se tocaron, los flujos de red muestran adónde fueron los datos, y el SIEM enlaza las alertas entre sí. Cada una es una vista parcial. La verdad emerge cuando las fusionas en una sola cronología ordenada.
Por qué gana una cronología correlacionada
- Establece la secuencia. Puedes ver el acceso inicial, luego la ejecución, luego el movimiento lateral, luego la exfiltración — en orden — de lo que dependen la delimitación del alcance y el análisis de causa raíz.
- Acota el alcance. La correlación entre hosts y cuentas muestra hasta dónde llegó el atacante, no solo dónde miraste primero.
- Resiste la manipulación. Si un atacante borró un registro, las otras fuentes independientes siguen registrando la actividad. Anclarte en la telemetría que el atacante no pudo editar fácilmente (registros centralizados, EDR, red) es lo que hace fiable tu reconstrucción.
Por qué fallan los distractores
- «Adivinar a partir de un solo archivo de registro» ignora todo lo que ese registro no captura y es exactamente lo que un atacante espera que hagas — sobre todo si ese registro es el que manipuló.
- «Preguntar al atacante» no es un método de investigación; los atacantes mienten, y normalmente ni siquiera puedes preguntarles.
- «Solo el evento más reciente» pierde toda la cadena que condujo hasta allí. El último evento es la punta; la cronología es el iceberg.
Qué está evaluando el entrevistador
Si piensas como un investigador forense — ensamblando fuentes independientes en una cronología defendible, teniendo en cuenta el desfase de reloj y la manipulación — en lugar de reaccionar al primer artefacto que tengas delante. A nivel senior esperan que nombres las fuentes y expliques por qué la correlación, no solo que correlacionarías.
Posibles preguntas de seguimiento
- ¿Cómo manejas el desfase de reloj entre fuentes al fusionarlas en una sola cronología?
- ¿Qué fuentes son las más difíciles de manipular para un atacante, y por qué te anclas en ellas?
- ¿En qué ayudan las fechas MAC de los archivos, y dónde inducen a error (por ejemplo, el timestomping)?