Muchas fallas en la respuesta a incidentes no se deben a la falta de herramientas, inteligencia o habilidades técnicas. Resultan de lo que sucede inmediatamente después de la detección, cuando la presión es alta y la información es incompleta.
Hemos visto equipos de IR recuperarse de intrusiones avanzadas con telemetría limitada. También he visto equipos perder el control de las investigaciones que podrían haber realizado. Las diferencias suelen aparecer temprano. No horas más tarde, cuando se elabora un cronograma o se redacta un informe, sino en los primeros momentos después de que los socorristas se dan cuenta de que algo anda mal.
A esos primeros momentos se les suele denominar los primeros 90 segundos. Pero si se toma demasiado literalmente, ese marco pierde el sentido. No se trata de reaccionar o actuar más rápido que el atacante. Es importante establecer una dirección antes de que sus suposiciones se establezcan y se quede sin opciones.
Los socorristas toman rápidamente decisiones silenciosas sobre qué mirar primero, qué salvar y si tratar el problema como un problema de sistema único o el comienzo de un patrón más amplio. Una vez tomadas estas decisiones iniciales, se determina todo lo que sigue. Para comprender por qué estas decisiones son importantes (y cómo tomarlas correctamente), debemos reconsiderar qué representan los «primeros 90 segundos» de una investigación real.
Los primeros 90 segundos son un patrón, no un momento.
Uno de los errores más comunes que veo es tratar las etapas iniciales de una investigación como un único acontecimiento dramático. Se genera una alerta, se pone en marcha un reloj y los socorristas lo gestionan o no. En realidad, los acontecimientos no se desarrollaron así.
Los «primeros 90 segundos» ocurren cada vez que cambia el rango de intrusión.
Se le notificará sobre los sistemas que pueden estar involucrados en la intrusión. accedes a él. Tú decides qué es importante, qué guardar y qué revela este sistema sobre el resto del entorno. La identificación del segundo sistema y luego del tercer sistema abre nuevamente la misma ventana de decisión. Cada uno reinicia el reloj.
Aquí es donde los equipos suelen verse abrumados. Consideran la escala de su entorno y suponen que se enfrentan a cientos o miles de máquinas a la vez. En realidad, se enfrentan a la vez a sistemas mucho más pequeños. La gama se ampliará por etapas. Una máquina lleva a otra, que a su vez lleva a otra, y comienza a surgir un patrón.
Los respondedores fuertes no reinventan su enfoque cada vez que surge un problema. Aplican la misma disciplina desde el principio cada vez que tocan un nuevo sistema. ¿Qué se ejecutó aquí? ¿Cuándo fue ejecutado? ¿Qué pasó a su alrededor? ¿Quién o qué interactuó con él? Esta consistencia le permite ampliar su rango sin perder el control.
Por eso también son tan importantes las decisiones tempranas. Cuando los socorristas inicialmente tratan los sistemas afectados como problemas aislados y se apresuran a «solucionarlos», terminan cerrando tickets en lugar de investigar la intrusión. Si no logramos preservar los artefactos adecuados desde el principio, el resto de la investigación se dedicará a especulaciones. A medida que se amplía el alcance, estos errores pueden empeorar aún más.
¿Cómo se obstaculiza la investigación?
Cuando las investigaciones iniciales salen mal, es tentador culpar a la capacitación, las vacilaciones o la falta de comunicación. Estos problemas aparecen, pero normalmente son síntomas y no la causa raíz. Una falla aún más constante es que los equipos no comprenden completamente su entorno cuando comienza un incidente.
Los encuestados se ven obligados a responder preguntas básicas bajo presión. ¿Por dónde salen los datos de la red? ¿Qué registros existen en los sistemas críticos? ¿Hasta dónde se remontan los datos? ¿Se guardó o se sobrescribió? Estas preguntas ya deberían tener respuestas. De lo contrario, los socorristas aprenderán los componentes críticos del medio ambiente hasta que sea demasiado tarde.
Esta es la razón por la cual el registro que comienza después de la detección es tan dañino. La visibilidad hacia adelante sin contexto hacia atrás limita lo que puede demostrar. Puedes reconstruir partes del ataque, pero la conclusión completa se vuelve más débil. Las brechas se convierten en suposiciones y las suposiciones en errores.
Otro error común es priorizar la evidencia. En las primeras etapas, los equipos saltan entre entregables sin un ancla clara porque todo parece importante. Crea actividad sin progreso. En la mayoría de las investigaciones, la forma más rápida de recuperar la verdad es centrarse en las pruebas de la ejecución. No sucede nada significativo en un sistema donde no se ejecuta nada. Se ejecuta malware. Se ejecutará PowerShell. Se abusa de las herramientas nativas. Todavía quedan vestigios de personas que vivían de la tierra. Comprender qué se hizo y cuándo se hizo le ayuda a comprender la intención, el acceso y el movimiento.
A partir de ahí, el contexto se vuelve importante. Esto podría significar a qué sistemas se accedió durante ese tiempo, quién se conectó a ellos y hacia dónde se dirigió su actividad a continuación. Esas respuestas no existen de forma aislada. Forman una cadena y la cadena apunta hacia el medio ambiente.
El último error es dejar de fumar antes de tiempo. Para ganar tiempo, los equipos suelen cambiar la imagen del sistema, restaurar el servicio y seguir adelante. Sin embargo, si la investigación es incompleta, pequeños accesos pueden pasar desapercibidos. Implante secundario. Credenciales alternativas. Tenacidad tranquila. Es posible que los signos sutiles de compromiso no se reaviven de inmediato, creando la ilusión de éxito. Cuando un incidente resurge, se siente nuevo, aunque en realidad no lo sea. Es el mismo que nunca fue reparado por completo.
Únase a nosotros en SANS DC Metro 2026
Los equipos que pueden capturar el momento adecuado de inicio hacen que las investigaciones difíciles sean más manejables. La respuesta eficaz a incidentes se trata de disciplina en condiciones de incertidumbre y se aplica de la misma manera cada vez que surge una nueva intrusión. Sin embargo, es importante darse gracia. Nadie es bueno en esto desde el principio. Todos los socorristas en quienes usted confía hoy aprendieron cometiendo errores y cómo no repetirlos la próxima vez.
El objetivo no es evitar los incidentes por completo. Eso es irreal. El objetivo es evitar errores repetidos bajo estrés. Esto sólo puede suceder si su equipo está preparado antes de que un incidente cause un problema. Porque una vez que comprenden su entorno, pueden identificar prácticas, preservar evidencia y ampliar intencionalmente el alcance mientras los riesgos aún son bajos.
Cuando una investigación se lleva a cabo con ese nivel de disciplina, los primeros 90 segundos resultan más familiares que frenéticos. Se formulan las mismas preguntas y las mismas prioridades guían el trabajo. Esta coherencia permite que su equipo avance rápidamente más adelante con confianza en lugar de conjeturas.
Para los socorristas que enfrentan estos desafíos en sus propias investigaciones, esta es exactamente la mentalidad y la metodología que se enseñan en la clase SANS FOR508: Respuesta avanzada a incidentes, búsqueda de amenazas y análisis forense digital. Enseñaré FOR508 en SANS DC Metro del 2 al 7 de marzo de 2026 para equipos que practican este campo y desean poner sus conocimientos en acción.
Nota: Este artículo fue escrito y contribuido profesionalmente por Eric Zimmerman, instructor principal del Instituto SANS.
Source link
