"Timeline Analysis": Reconstruyendo las Acciones de un Atacante Paso a Paso

• Alex De los Llanos Dueñas
• Septiembre 2025

La primera hora dentro de una empresa que acaba de ser reventada es un manicomio. Te lo aseguro. El teléfono del director de IT echa humo, los jefes de departamento gritan en una sala de reuniones, y la gente corre por los pasillos sin saber muy bien qué hacer. La reacción primaria, casi animal, es siempre la misma: "¡Apagad los servidores! ¡Desenchufad los ordenadores de la red! ¡Que no se lleven nada más!". Y mi primer trabajo al llegar es, casi siempre, gritar más fuerte que ellos y decir: "¡QUIETOS! ¡NO TOQUÉIS ABSOLUTAMENTE NADA!".

El pánico es el mejor amigo del atacante. Porque el pánico te empuja a destruir la escena del crimen. Y un sistema informático comprometido es exactamente eso. Cada segundo que pasa, cada reinicio, cada intento de "limpiar un virus", es un pisotón sobre una huella dactilar, una prueba que se evapora para siempre. Mi trabajo no es ser el técnico que viene a arreglar el ordenador. Mi trabajo es ser el forense que llega a la escena del crimen para reconstruir la película del asesinato. Y a ese proceso, a esa autopsia digital, la llamamos Análisis de la Línea de Tiempo. Y es lo único que de verdad te va a salvar de que te vuelvan a matar la semana que viene.

La Escena del Crimen Digital: Más Allá del "¿Quién ha sido?"

La obsesión de todo directivo en ese momento es "¿qué se han llevado?" y "¿podemos volver a trabajar ya?". Son las preguntas equivocadas. La única pregunta que importa en las primeras horas es: "¿cómo han entrado y siguen dentro?". Porque sí, lo más probable es que sigan dentro. Si no averiguas la ruta exacta que siguieron, desde el primer clic hasta el último servidor que tocaron, volver a enchufarlo todo es como dejar que un asesino se esconda en el armario y luego seguir durmiendo en la misma habitación.

Por eso, mi trabajo es ser el tipo impopular. El cabrón que te dice que no, que la producción va a seguir parada unas horas más. Que me da igual que el de ventas no pueda acceder al CRM. Porque más dinero vas a perder si levantas los sistemas y el atacante, que sigue agazapado en un rincón de tu red, lanza la segunda fase de su ataque. El análisis de la línea de tiempo no es un lujo, es el triaje de urgencias que te estabiliza antes de que te desangres del todo.

Las Migas de Pan Digitales: ¿Dónde Buscamos las Pistas?

Un ataque nunca es un solo evento. Es una cadena de eventos. Y el atacante, por muy bueno que sea, siempre deja migas de pan. El problema es encontrarlas en medio del caos. Y ahí empieza el drama de verdad.

Empiezas pidiendo los logs, los diarios de a bordo de los aparatos. Y te encuentras la cruda realidad de la mayoría de las empresas: el firewall solo guarda registros de las últimas 24 horas, el servidor de archivos importante tenía el logging de seguridad desactivado "porque consumía mucho rendimiento", y el portátil del "paciente cero" —el primer infectado— se lo acaba de llevar el chico de RRHH para formatearlo y dárselo a un nuevo empleado. Es un puto desastre. Buscas testigos y te das cuenta de que la mitad son ciegos y la otra mitad sufren de amnesia selectiva.

Luego te pones a mirar el tráfico de la red. Es como intentar encontrar a un sospechoso revisando las grabaciones de todas las cámaras de la M-30 en hora punta. Un ruido infernal. Pero buscas anomalías, cosas que chirrían. ¿Una conexión masiva de datos a las 3 de la mañana desde el servidor de contabilidad a una dirección IP en Moldavia? Vaya, vaya. Parece que tenemos un hilo del que tirar.

Y al final, cuando ya no queda más remedio, te toca bajar al barro de la ciencia forense. Clonar el disco duro de las máquinas críticas. Es un trabajo de mierda, lento y asqueroso. Es como rebuscar, con guantes de látex, en el contenedor de basura del sospechoso. Pero es ahí, entre los archivos borrados y los restos de programas, donde sueles encontrar el arma del crimen.

El Puzle del Tiempo: Construyendo la Historia del Ataque

Ahora viene lo "divertido": juntar todas esas piezas de mierda en un puzle coherente. Y el puzle viene con las piezas del revés y sin foto en la caja, porque el reloj de cada sistema va a su puta bola. El servidor de correo va dos minutos adelantado, el del firewall lleva la hora de Greenwich y el portátil del usuario tiene la hora de hace un mes. Te puedes pasar un día entero solo poniendo todos los relojes en la misma hora para poder empezar a hablar.

Pero poco a poco, con café y paciencia, la historia empieza a salir del ruido. Y casi siempre es la misma película de terror:

• Ves el email de phishing que entró a las 10:03, ese que el usuario juró y perjuró que no había abierto.
• Ves su ordenador, dos minutos después, haciendo una conexión extraña a una página rusa.
• Ves cómo, desde esa máquina, un programa empieza a escanear la red interna, como un ladrón probando los pomos de todas las puertas de un pasillo.
• Ves el salto. El momento en que usa una contraseña robada para entrar en un servidor.
• Y al final, de madrugada, cuando nadie mira, ves la hemorragia: gigabytes de datos empaquetados y saliendo por la puerta de atrás hacia una dirección anónima.

Y ya está. Ya tienes la película completa del desastre. Lo que era pánico y caos ahora es una narrativa. Una dolorosa, pero útil, narrativa. La ciberseguridad siempre fue imperativa.

Conclusión

Esta autopsia digital no es para encontrar un nombre y un apellido. En la mayoría de los casos, nunca sabrás quién fue. Es para entender sus métodos. Es para aprender de la paliza que te han dado. Te dice qué controles te fallaron, qué puertas tenías abiertas y qué tienes que hacer para que, la próxima vez, el ladrón se rompa los dientes contra tu muro.

La próxima vez que tengas una crisis (y la tendrás), tu primera llamada no debería ser al técnico para que lo reinicie todo. Debería ser al forense. Si quieres tener un plan para cuando llegue ese día, y no correr como un pollo sin cabeza, contacta con nosotros.