Blue Team · Módulo 6 de 6

Forense digital

Cierre del camino Blue Team. El incidente ya se contuvo. Ahora hay que reconstruir, con precisión de investigador, exactamente qué pasó, cómo entraron, y qué tocaron — para que no vuelva a pasar de la misma forma.

Qué es el forense digital

El forense digital es la disciplina de recolectar, preservar y analizar evidencia digital de forma que la reconstrucción de los hechos sea precisa y, si hace falta, sostenible legalmente. Es la etapa final del ciclo de respuesta a incidentes que viste en el módulo anterior — donde ya no se trata de frenar el daño, sino de entender la historia completa.

Analogía

Un investigador forense en la vida real no toca nada de la escena del crimen sin guantes ni fotografiarla antes: cualquier alteración puede invalidar la evidencia. El forense digital sigue exactamente esa misma lógica, pero con discos duros, memoria RAM y logs en vez de huellas dactilares.

La regla de oro: preservar antes de analizar

El primer error que arruina una investigación forense es empezar a "curiosear" directamente en el sistema comprometido — cada acción, incluso abrir un archivo para mirarlo, puede modificar metadatos y contaminar la evidencia. Por eso el primer paso siempre es hacer una copia forense (una imagen bit a bit, idéntica, del disco o la memoria) y trabajar exclusivamente sobre esa copia, nunca sobre el sistema original.

Qué evidencia se recolecta, y en qué orden

Existe un concepto llamado orden de volatilidad: se recolecta primero lo que se pierde más rápido. La memoria RAM se borra al apagar el equipo — se captura primero. Los archivos en disco persisten más tiempo — se copian después. Este orden no es arbitrario: apagar una máquina comprometida antes de capturar su memoria RAM puede destruir para siempre evidencia clave, como procesos maliciosos que solo existían en memoria.

Se pierde primero

Memoria RAM

Procesos activos, conexiones de red abiertas, claves de cifrado en uso — todo desaparece al apagar.

Persiste más

Disco duro

Archivos, registros del sistema, papelera de reciclaje, metadatos de creación y modificación.

Externo

Logs centralizados

Si ya los enviaste a un servidor separado (Logs, módulo 2), sobreviven aunque el sistema original se apague o se altere.

Cadena de custodia

Documentación

Quién tocó qué evidencia, cuándo y por qué — indispensable si el caso termina en un proceso legal.

Reconstruyendo una línea de tiempo

El objetivo final de una investigación forense es armar una línea de tiempo clara: cuándo ocurrió el acceso inicial, qué se hizo, cuándo se escaló privilegios, a qué otros sistemas se movió el atacante. Esto conecta directamente con todo lo que ya sabés: cada fase que estudiaste en el camino Red Team (reconocimiento, escaneo, explotación, post-explotación) deja su propia huella temporal en los logs, y reconstruirla es literalmente leer, al revés, la historia de un ataque completo.

Cómo lo ve el otro lado (Red Team)

Todo lo que viste en Post-explotación sobre minimizar el rastro (anti-forense) existe específicamente porque este módulo existe: un atacante sofisticado sabe que, si es detectado, un analista forense va a intentar reconstruir cada uno de sus pasos. La tensión entre dejar el menor rastro posible (ataque) y preservar cada rastro posible (forense) es una de las más antiguas de toda la ciberseguridad.

LAB GUIADO · reconstruir una intrusión, de punta a punta
1

Esta es la actividad de cierre de todo el curso: elegí uno de tus ataques anteriores en el laboratorio (por ejemplo, la explotación de vsftpd contra Metasploitable).

2

En la máquina Metasploitable, revisá los logs relevantes (/var/log/) y buscá evidencia de la conexión que generaste desde tu Kali durante el ataque.

3

Armá una línea de tiempo simple: hora del primer contacto (reconocimiento/escaneo), hora de la explotación, cualquier acción posterior que hayas hecho en la sesión de Meterpreter.

4

Compará esa línea de tiempo, reconstruida desde el lado defensivo, con lo que vos mismo hiciste como atacante. Si coinciden, acabás de completar tu primer ciclo completo: atacar y luego investigar tu propio ataque.

Ponete a prueba

1. ¿Por qué se trabaja siempre sobre una copia forense y nunca sobre el sistema original?

2. Según el orden de volatilidad, ¿qué se debería recolectar primero?

3. ¿Qué es una línea de tiempo forense?

Fin del camino Blue Team

Con esto cerrás los seis módulos defensivos: de no saber qué era un log, a poder centralizar y leer evidencia, detectar patrones en tiempo real, endurecer sistemas antes de que los prueben, responder ante un incidente real, y reconstruir un ataque completo desde cero. Entre los dos ya tienen el roadmap entero — el resto es práctica.