Curso · 12 módulos

Curso de Respuesta a Incidentes y Análisis Forense (DFIR)

Curso de Respuesta a Incidentes y Análisis Forense (DFIR)

Cuando una organización sufre una brecha, la diferencia entre un susto y una catástrofe la marcan las primeras horas y quién está al mando. Ese profesional —el que contiene el incidente, encuentra el rastro del atacante en la memoria de una máquina y reconstruye qué pasó exactamente— es un analista DFIR (Digital Forensics and Incident Response). Este curso te forma para serlo.

Es un curso práctico, técnico y progresivo, diseñado para un público exigente. No verás teoría de diapositiva: aprenderás el proceso formal de respuesta a incidentes y lo aplicarás con las mismas herramientas que usan los equipos profesionales, sobre un laboratorio que montarás tú mismo. Al terminar tendrás una base sólida para trabajar en un CSIRT/SOC y para afrontar certificaciones como GCIH, GCFA o eCIR.

¿A quién va dirigido este curso?

  • Analistas de SOC que quieren dar el salto de la monitorización reactiva a la investigación y la respuesta.
  • Aspirantes a analista de respuesta a incidentes o forense digital que necesitan una ruta técnica y ordenada.
  • Profesionales de Blue Team que quieren dominar la detección, el análisis de artefactos y el threat hunting.
  • Administradores de sistemas y de red que deben saber qué hacer —y qué NO hacer— cuando un equipo se compromete.
  • Quien esté preparando GCIH, GCFA, GNFA o eCIR/eCDFP y quiera reforzar la parte práctica.

¿Qué sabrás hacer al terminar?

  • Dirigir un incidente completo siguiendo el ciclo PICERL (Preparación, Identificación, Contención, Erradicación, Recuperación y Lecciones aprendidas), alineado con la guía NIST SP 800-61.
  • Adquirir evidencia (memoria RAM y disco) preservando su integridad y la cadena de custodia.
  • Analizar los artefactos forenses de Windows (Registro, Prefetch, Amcache, MFT, Event Logs) para reconstruir qué se ejecutó y quién inició sesión.
  • Investigar sistemas Linux comprometidos y encontrar los mecanismos de persistencia.
  • Analizar la memoria RAM con Volatility 3 para cazar malware fileless e inyección de código.
  • Detectar Command & Control y exfiltración en el tráfico de red (Wireshark, Zeek, beaconing, JA3).
  • Realizar threat hunting proactivo con hipótesis, MITRE ATT&CK, reglas Sigma y YARA.
  • Redactar un informe de incidente profesional y gestionar la notificación legal (RGPD, AEPD, NIS2).

Requisitos previos

El curso está pensado para que puedas seguirlo sin experiencia previa en forense, pero exige una base técnica real:

  • Windows y Linux a nivel de usuario avanzado/administrador: moverte por la línea de comandos, entender procesos, servicios, el registro de Windows y el sistema de ficheros.
  • Redes TCP/IP: comprender IP, puertos, DNS, HTTP/TLS y saber leer una captura de tráfico básica.
  • Nociones de ciberseguridad ofensiva: entender cómo ataca el adversario ayuda enormemente a detectarlo (nuestro Curso de Hacking Web es un buen complemento).
  • Equipo con virtualización: idealmente 16 GB de RAM y 100 GB de disco libre para el laboratorio.

El laboratorio que montarás

Todo el curso se practica en un laboratorio aislado en tu propio equipo. En el primer módulo lo montas y lo usas hasta el final:

  • Una estación de análisis (Windows o Linux) con el arsenal DFIR: las Eric Zimmerman Tools, Volatility 3, Autopsy, Wireshark, Zeek, KAPE, Sigma y YARA.
  • Una o varias máquinas víctima (Windows y Linux) con telemetría (Sysmon, auditoría avanzada) para generar y analizar incidentes.
  • Muestras de evidencia de laboratorio: volcados de memoria, imágenes de disco y capturas de red para practicar cada técnica.
  • Una red host-only completamente aislada del exterior y el uso disciplinado de snapshots.

Metodología del curso

El curso sigue el hilo de un incidente real, estructurado en las fases del proceso de respuesta. Cada módulo combina la explicación conceptual rigurosa, la demostración paso a paso con comandos reales y reproducibles, y ejercicios prácticos sobre tu laboratorio. Las herramientas son las que usa la industria; los Event IDs, plugins y técnicas MITRE ATT&CK que verás son exactos y verificables. No hay atajos de papel.

Ética, legalidad y cadena de custodia

Aviso obligatorio: las técnicas de adquisición y análisis de este curso deben aplicarse exclusivamente sobre sistemas propios, de laboratorio o para los que tengas autorización expresa. Manipular evidencia digital exige preservar su integridad y documentar la cadena de custodia; de lo contrario, deja de ser válida. El acceso no autorizado a sistemas ajenos es delito en España (art. 197 bis del Código Penal), y el tratamiento de datos personales durante un incidente está sujeto al RGPD.

La respuesta a incidentes profesional no consiste solo en saber usar herramientas: consiste en hacerlo de forma metódica, defendible y legalmente sólida. Este curso te enseña ambas cosas.

¿Por dónde empiezo?

El Módulo 1 es obligatorio aunque tengas experiencia: establece el proceso, el laboratorio y el marco legal sobre el que se construye todo lo demás. A partir de ahí el temario avanza de forma progresiva, de la preparación a la investigación y de esta al cierre del incidente. Empieza ahora: en menos de una hora tendrás tu laboratorio DFIR funcionando.

Temario del curso

  1. 01 Módulo 1: Fundamentos de la respuesta a incidentes y el proceso PICERLEl proceso formal de respuesta a incidentes (PICERL / NIST SP 800-61), los roles del CSIRT y el montaje de tu laboratorio DFIR.
  2. 02 Módulo 2: Preparación: logging, telemetría y visibilidadLa telemetría que necesitas ANTES del incidente: auditoría de Windows, Event IDs clave, Sysmon, centralización de logs y EDR.
  3. 03 Módulo 3: MITRE ATT&CK y el ciclo de intrusiónLa matriz MITRE ATT&CK, la Cyber Kill Chain, la pirámide del dolor y cómo mapear la actividad del atacante a técnicas.
  4. 04 Módulo 4: Detección, triaje e identificación del incidenteFuentes de detección (SIEM, EDR), IOC vs IOA, triaje y priorización de alertas, timeline inicial y scoping del compromiso.
  5. 05 Módulo 5: Adquisición forense: memoria y discoEl orden de volatilidad, la captura de memoria RAM (WinPMEM, LiME) y la imagen forense de disco preservando la integridad.
  6. 06 Módulo 6: Forense de Windows I — artefactos de ejecuciónRegistro, Prefetch, Amcache, ShimCache, MFT y demás artefactos que revelan qué se ejecutó en un Windows comprometido.
  7. 07 Módulo 7: Forense de Windows II — autenticación y movimiento lateralReconstruir logons y movimiento lateral desde los Event Logs: 4624/4625, logon types, Kerberos, PsExec, WMI, RDP y pass-the-hash.
  8. 08 Módulo 8: Análisis de memoria RAM con Volatility 3Cazar malware fileless e inyección de código en un volcado de RAM con los plugins de Volatility 3 (pslist, malfind, netscan…).
  9. 09 Módulo 9: Forense y respuesta en sistemas LinuxInvestigar un Linux comprometido: logs, historial, /proc, y todos los mecanismos de persistencia (cron, systemd, SUID, authorized_keys).
  10. 10 Módulo 10: Análisis de red y detección de C2Detectar Command & Control y exfiltración en el tráfico: Wireshark, Zeek, beaconing, JA3/JARM y DNS tunneling.
  11. 11 Módulo 11: Threat Hunting proactivoCaza proactiva basada en hipótesis: MITRE ATT&CK, reglas Sigma y YARA, osquery/Velociraptor y el modelo de madurez de hunting.
  12. 12 Módulo 12: Contención, erradicación, recuperación e informeCerrar el incidente: contención, erradicación y recuperación con un caso de ransomware, el informe profesional y la notificación legal (RGPD/AEPD).

Empezar el curso →