El SOC te entrega un .exe sospechoso extraído de la máquina de un usuario. ¿Cuál es tu PRIMER paso de análisis?
Respuesta breve
Empieza con triaje estático en un entorno aislado: calcula hashes, extrae cadenas, inspecciona las cabeceras PE y los imports, y verifica la reputación, para entender la muestra antes de arriesgarte a ejecutarla. Ejecutarla en tu propia estación puede infectarte a ti y a la red. Subir muestras de clientes con nombres identificables filtra datos sensibles a terceros. Borrarla destruye la evidencia y la posibilidad de crear detecciones.
Cuando el SOC te entrega un binario desconocido, el entrevistador comprueba si buscas información antes que acción. Un analista disciplinado nunca ejecuta primero: aprende todo lo que puede con seguridad mientras la muestra permanece inerte.
Por qué el triaje estático va primero
El triaje estático extrae evidencia sin ejecutar el código. Calculas los hashes criptográficos (para correlacionar con la inteligencia de amenazas y rastrear la muestra exacta), extraes las cadenas (URL, mutex, rutas de registro, comandos embebidos), inspeccionas las cabeceras PE y la tabla de imports (las API que enlaza sugieren capacidades: red, cripto, inyección de procesos) y ejecutas una consulta de reputación. En minutos sueles saber si el archivo es malware conocido, está empaquetado o es algo nuevo, sin exponer ni un solo sistema. Ese conocimiento orienta luego una ejecución dinámica segura.
Por qué las otras opciones son erróneas
- Hacer doble clic en tu estación. Es el error clásico de principiante. Tu equipo de análisis está en la red corporativa; el malware activo puede cifrar archivos, comunicarse al exterior o moverse lateralmente antes de que aprendas nada útil. Te conviertes en el paciente cero.
- Subir a todos los sandbox públicos con el nombre del cliente. Los sandbox públicos comparten las muestras enviadas. Incluir un nombre de cliente revela que fue atacado, qué herramientas usa y potencialmente datos regulados: una verdadera brecha de confidencialidad y contractual. Si envías la muestra, elimina los metadatos identificables y sigue la política de tratamiento de datos.
- Borrarla. Borrarla destruye el único artefacto que necesitas. Sin la muestra no puedes crear IOC, escribir reglas YARA ni determinar el alcance, y dejas al SOC ciego ante una amenaza activa.
Qué buscan los entrevistadores
Una buena respuesta nombra pasos estáticos concretos y el razonamiento de seguridad: aislamiento, hashing, cadenas, PE/imports, reputación — y luego un plan para detonar con seguridad. La marca del buen criterio aquí es la paciencia: tratas el binario como evidencia que preservar y entender, no como una curiosidad para clicar.
Posibles preguntas de seguimiento
- ¿Qué campos de la cabecera PE o qué imports te harían sospechar packing o inyección antes incluso de ejecutar la muestra?
- ¿Por qué subir una muestra de cliente a VirusTotal es a veces una violación del tratamiento de datos, y cómo lo mitigas?
- ¿Cómo alimentan los hashes y las cadenas del triaje estático las detecciones que entregas al SOC?