Las 5 señales más comunes de una red comprometida (y cómo actuar)

1) Picos de tráfico saliente y conexiones inusuales

La exfiltración de datos suele reflejarse en spikes de tráfico saliente o conexiones periódicas (beaconing) a destinos poco habituales (C2, VPS, servicios cloud anónimos).

• Revisa NetFlow/UDM: destinos por país, ASN y puertos no estándar.
• Contrasta con la operativa normal (horarios, apps de negocio, backups).
• Aplica reglas temporales de bloqueo en firewall gestionado.

2) Endpoints con procesos y persistencias sospechosas

RATs, loaders y token stealers suelen ocultarse como servicios o tareas programadas. Un EDR moderno detecta su comportamiento más que su firma.

• Inventario de tareas programadas, claves Run/RunOnce, servicios nuevos.
• Monitoriza conexiones salientes del proceso y descendientes.
• Refuerza política de EDR/XDR con reglas de bloqueo.

3) Cuentas privilegiadas nuevas o cambios en grupos

La creación de usuarios con privilegios o la inclusión en grupos de admins, RDP o VPN fuera de cambio planificado es una bandera roja.

• Audita altas recientes y membresías en AD/AzureAD, VPN, NAS y SaaS críticos.
• Activa alertas de impossible travel y acceso condicional.
• Revisa claves API y tokens de servicio en CI/CD y backups.

4) Alteración, rotación o silencio anormal de logs

Cuando el atacante intenta cubrir huellas, los registros aparecen incompletos, excesivamente limpios o rotados fuera de ciclo.

• Centraliza en SIEM o, al menos, exporta a almacenamiento inmutable.
• Valida retenciones y correlaciones básicas (login, cambios, red, EDR).

5) Alertas EDR/AV desactivadas o con exclusiones extrañas

Exclusiones recién añadidas o el agente apagado sugieren intento de evasión.

• Audita estado del agente y coberturas por equipo y OU.
• Revisa cambios de política y quién los aprobó.

Pasos inmediatos (15–60 minutos)

1. Contención silenciosa: aísla hosts desde EDR; bloquea IOC/dominios/ASNs en UDM.
2. Preserva evidencias: exporta logs, imágenes de disco/memoria (si procede), y cronología.
3. Rotación de credenciales privilegiadas y revisión de MFA.
4. Comunicación interna por canal seguro (no el comprometido).
5. Activa consultoría de seguridad o forense si hay indicios sólidos.

Prevención y hardening

Arquitectura

• Segmentación (VLAN por función, invitado, IoT) y deny by default.
• Monitorización con alertas útiles y playbooks.
• Backups inmutables y pruebas de restauración periódicas.

Endpoints y acceso

• EDR/XDR con respuesta y reglas de comportamiento.
• MFA obligatorio; mínimo privilegio; acceso condicional.
• Parches y baseline CIS aplicados.

Personas y procesos

• Formación y simulaciones de phishing.
• Runbooks de respuesta y simulacros trimestrales.

Caso práctico (resumen)

Situación: comercio minorista detecta picos nocturnos de tráfico a un VPS extranjero y dos equipos con EDR en estado “sin reportar”.

Acciones: aislamiento desde EDR, bloqueo IOC en UDM, exporte de logs; forense encuentra loader con persistencia por tarea y recolección de cookies. Se rotan credenciales y se refuerza segmentación.

Resultado: sin fuga confirmada; se implanta monitorización continua, EDR/XDR gestionado y revisión de políticas de acceso.

Preguntas frecuentes (FAQ)

¿Cómo confirmo si el tráfico es malicioso?

Correlaciona NetFlow/UDM, EDR y DNS con destinos y horarios. Busca patrones repetitivos y procesos origen.

¿Formateo el equipo afectado?

No de inicio. Preserva evidencias (disco/memoria/logs) o perderás trazabilidad y posibles acciones legales.

¿Basta con cambiar contraseñas?

No. Aísla hosts, corta conexiones, retira persistencias y audita accesos privilegiados. Luego sí, rota credenciales y aplica MFA.

¿Qué herramienta es prioritaria: firewall o EDR?

Ambas son complementarias: perímetro + endpoint. Añade revisión perimetral y gobierno.