Detección y Respuesta a Incidentes

Dirigido a profesionales técnicos con base en seguridad informática que quieren especializarse en operaciones de seguridad —analistas SOC, perfiles blue team y técnicos de infraestructura que gestionan sistemas en producción—, este curso aborda una realidad inevitable: los incidentes de seguridad ocurren, y la capacidad de detectarlos, clasificarlos y contenerlos con rapidez determina la diferencia entre un evento menor y una brecha con impacto real. El participante sigue el ciclo completo de un incidente desde la aparición de los primeros indicadores en los logs hasta el cierre documentado del caso, pasando por la correlación de señales de distintas fuentes, la clasificación por gravedad, la selección de la acción de contención adecuada y el uso de herramientas de terminal Linux para obtener evidencias. Al finalizar, el participante será capaz de gestionar operativamente un incidente de seguridad básico de principio a fin: detectar, priorizar, contener y documentar con trazabilidad suficiente para un análisis posterior.

Al finalizar el curso, el participante será capaz de:

• Interpretar entradas de logs de sistema y red para identificar eventos de seguridad relevantes y detectar indicadores de compromiso básicos en registros de autenticación, sistema y servicio
• Correlacionar eventos procedentes de distintas fuentes de registro para identificar patrones que en conjunto indiquen un incidente y priorizar la revisión según el riesgo combinado de las señales
• Clasificar un incidente de seguridad según su gravedad e impacto potencial y seleccionar las acciones de contención más adecuadas preservando las evidencias para el análisis posterior
• Documentar un incidente de seguridad de forma completa y trazable, incluyendo cronología en UTC, evidencias referenciadas, acciones tomadas con responsable asignado y próximos pasos definidos
• Utilizar herramientas de análisis de logs y tráfico de red para obtener evidencias de seguridad, interpretando sus resultados con criterio propio sin depender ciegamente de su salida

1. Logs y detección de IOCs Tipos de log relevantes para seguridad: auth.log, syslog, logs de aplicación y acceso web; estructura de una entrada de log: timestamp, proceso, mensaje; indicadores de compromiso (IOCs): qué son, cómo se manifiestan en registros y diferencia con eventos normales; patrones de alerta en logs de autenticación: intentos fallidos, acceso en horario inusual, escalada de privilegios; secuencias de compromiso frecuentes observables en logs
2. Correlación de señales de múltiples fuentes Correlación como técnica para reducir falsos positivos y construir contexto; fuentes a correlacionar: firewall, auth.log, proxy corporativo, alertas de endpoint; relación temporal entre eventos de distintas fuentes como clave de detección; priorización por riesgo combinado frente a priorización por volumen de alertas; concepto de SIEM y correlación automatizada
3. Clasificación del incidente y selección de contención Criterios de severidad: crítico, alto, medio, bajo; factores de clasificación: exposición del sistema, tipo de datos afectados, propagación activa; diferencia entre contención y eradicación: cuándo y en qué orden aplicar cada fase; acciones de contención básicas: aislar equipo, deshabilitar cuenta, revocar sesión, bloquear IP; principio de preservación de evidencias como restricción sobre cualquier acción de contención
4. Documentación formal del incidente Campos obligatorios en un registro de incidente: identificador, cronología, sistemas y cuentas afectadas, evidencias, acciones y responsable, estado y próximos pasos; timestamps en UTC y coherencia de formatos; cadena de evidencias y trazabilidad de acciones con autoría; diferencia entre documentación interna del incidente y comunicación al área de negocio
5. Herramientas de análisis Filtrado de logs con grep: patrones para fallos de autenticación, IPs específicas y rangos temporales; análisis de conexiones activas con ss -tunp: identificar procesos y destinos inesperados; captura de tráfico con tcpdump: filtros básicos por IP, puerto y protocolo; logs de servicios systemd con journalctl; límites de las herramientas, falsos negativos y la necesidad de registrar los comandos ejecutados como parte de la cadena de evidencias

• Máquina virtual Linux (Ubuntu 22.04 LTS o equivalente) con acceso a terminal
• Herramientas incluidas por defecto en Ubuntu: grep, ss, journalctl, tail, cat
• tcpdump instalado y acceso con privilegios suficientes para capturar tráfico
• Acceso de lectura sobre /var/log/ para los ejercicios de análisis de logs
• Navegador web actualizado para consulta de recursos de referencia y threat intelligence

→ SEG01 — Iniciación a la Seguridad Informática (Iniciación, 6h)

• Explicar los principios de confidencialidad, integridad y disponibilidad (triada CIA) e identificar violaciones de cada uno en casos concretos
• Identificar las principales amenazas, vulnerabilidades y riesgos de seguridad informática y describir las etapas básicas de un proceso de gestión de riesgos
• Identificar medidas de seguridad básicas en redes, sistemas y servicios
• Reconocer las principales normativas y estándares de seguridad informática
• Identificar los mecanismos de autenticación y control de acceso y explicar el principio de mínimo privilegio
• Reconocer técnicas de ingeniería social e identificar medidas de concienciación

→ Competencia Linux — Nivel Iniciación

• Navegar el sistema de archivos y gestionar permisos básicos desde la terminal
• Utilizar comandos de filtrado y búsqueda de texto: grep, cat, less, tail
• Gestionar procesos y consultar el estado de servicios del sistema