Cuando una organización sufre una brecha, la diferencia entre un susto y una catástrofe la marcan las primeras horas y quién está al mando. Ese profesional —el que contiene el incidente, encuentra el rastro del atacante en la memoria de una máquina y reconstruye qué pasó exactamente— es un analista DFIR (Digital Forensics and Incident Response). Este curso te forma para serlo.
Es un curso práctico, técnico y progresivo, diseñado para un público exigente. No verás teoría de diapositiva: aprenderás el proceso formal de respuesta a incidentes y lo aplicarás con las mismas herramientas que usan los equipos profesionales, sobre un laboratorio que montarás tú mismo. Al terminar tendrás una base sólida para trabajar en un CSIRT/SOC y para afrontar certificaciones como GCIH, GCFA o eCIR.
¿A quién va dirigido este curso?
- Analistas de SOC que quieren dar el salto de la monitorización reactiva a la investigación y la respuesta.
- Aspirantes a analista de respuesta a incidentes o forense digital que necesitan una ruta técnica y ordenada.
- Profesionales de Blue Team que quieren dominar la detección, el análisis de artefactos y el threat hunting.
- Administradores de sistemas y de red que deben saber qué hacer —y qué NO hacer— cuando un equipo se compromete.
- Quien esté preparando GCIH, GCFA, GNFA o eCIR/eCDFP y quiera reforzar la parte práctica.
¿Qué sabrás hacer al terminar?
- Dirigir un incidente completo siguiendo el ciclo PICERL (Preparación, Identificación, Contención, Erradicación, Recuperación y Lecciones aprendidas), alineado con la guía NIST SP 800-61.
- Adquirir evidencia (memoria RAM y disco) preservando su integridad y la cadena de custodia.
- Analizar los artefactos forenses de Windows (Registro, Prefetch, Amcache, MFT, Event Logs) para reconstruir qué se ejecutó y quién inició sesión.
- Investigar sistemas Linux comprometidos y encontrar los mecanismos de persistencia.
- Analizar la memoria RAM con Volatility 3 para cazar malware fileless e inyección de código.
- Detectar Command & Control y exfiltración en el tráfico de red (Wireshark, Zeek, beaconing, JA3).
- Realizar threat hunting proactivo con hipótesis, MITRE ATT&CK, reglas Sigma y YARA.
- Redactar un informe de incidente profesional y gestionar la notificación legal (RGPD, AEPD, NIS2).
Requisitos previos
El curso está pensado para que puedas seguirlo sin experiencia previa en forense, pero exige una base técnica real:
- Windows y Linux a nivel de usuario avanzado/administrador: moverte por la línea de comandos, entender procesos, servicios, el registro de Windows y el sistema de ficheros.
- Redes TCP/IP: comprender IP, puertos, DNS, HTTP/TLS y saber leer una captura de tráfico básica.
- Nociones de ciberseguridad ofensiva: entender cómo ataca el adversario ayuda enormemente a detectarlo (nuestro Curso de Hacking Web es un buen complemento).
- Equipo con virtualización: idealmente 16 GB de RAM y 100 GB de disco libre para el laboratorio.
El laboratorio que montarás
Todo el curso se practica en un laboratorio aislado en tu propio equipo. En el primer módulo lo montas y lo usas hasta el final:
- Una estación de análisis (Windows o Linux) con el arsenal DFIR: las Eric Zimmerman Tools, Volatility 3, Autopsy, Wireshark, Zeek, KAPE, Sigma y YARA.
- Una o varias máquinas víctima (Windows y Linux) con telemetría (Sysmon, auditoría avanzada) para generar y analizar incidentes.
- Muestras de evidencia de laboratorio: volcados de memoria, imágenes de disco y capturas de red para practicar cada técnica.
- Una red host-only completamente aislada del exterior y el uso disciplinado de snapshots.
Metodología del curso
El curso sigue el hilo de un incidente real, estructurado en las fases del proceso de respuesta. Cada módulo combina la explicación conceptual rigurosa, la demostración paso a paso con comandos reales y reproducibles, y ejercicios prácticos sobre tu laboratorio. Las herramientas son las que usa la industria; los Event IDs, plugins y técnicas MITRE ATT&CK que verás son exactos y verificables. No hay atajos de papel.
Ética, legalidad y cadena de custodia
Aviso obligatorio: las técnicas de adquisición y análisis de este curso deben aplicarse exclusivamente sobre sistemas propios, de laboratorio o para los que tengas autorización expresa. Manipular evidencia digital exige preservar su integridad y documentar la cadena de custodia; de lo contrario, deja de ser válida. El acceso no autorizado a sistemas ajenos es delito en España (art. 197 bis del Código Penal), y el tratamiento de datos personales durante un incidente está sujeto al RGPD.
La respuesta a incidentes profesional no consiste solo en saber usar herramientas: consiste en hacerlo de forma metódica, defendible y legalmente sólida. Este curso te enseña ambas cosas.
¿Por dónde empiezo?
El Módulo 1 es obligatorio aunque tengas experiencia: establece el proceso, el laboratorio y el marco legal sobre el que se construye todo lo demás. A partir de ahí el temario avanza de forma progresiva, de la preparación a la investigación y de esta al cierre del incidente. Empieza ahora: en menos de una hora tendrás tu laboratorio DFIR funcionando.
