Introducción
Un usuario reporta que no puede acceder al servidor Linux. Su contraseña no funciona y nadie la ha cambiado. ¿Qué ha pasado? En este artículo investigamos el incidente paso a paso usando los paneles Threat Hunting y Discover de Wazuh.
Video: Investigación de Incidente
20 minutos - Caso práctico paso a paso
Ver en el Curso WazuhAccede al video completo con el curso de Wazuh
El escenario
Lunes por la mañana. El usuario jperez reporta que no puede acceder al servidor Linux por SSH. La contraseña que siempre ha funcionado ahora es rechazada. Nadie del equipo de sistemas la ha cambiado.
⚠️ Primeras señales de alerta
Al revisar el correo, encontramos 20 alertas de Wazuh desde las 1:43 AM. Todas relacionadas con intentos de acceso SSH al usuario jperez. Esto huele a ataque de fuerza bruta.
Panel Threat Hunting: búsqueda proactiva
El panel Threat Hunting está diseñado para buscar amenazas de forma proactiva. Filtramos por el servidor afectado y los eventos de autenticación:
Hallazgos en Threat Hunting
- 362 fallos de autenticación (reglas nivel 12+)
- 7 autenticaciones exitosas - el atacante consiguió entrar
- Todo concentrado entre las 1:43 AM y las 2:15 AM
La proporción es clara: 362 intentos fallidos seguidos de 7 éxitos. Un ataque de diccionario que tuvo éxito.
Panel Discover: análisis forense
El panel Discover da acceso directo al motor de búsqueda de Wazuh. Es perfecto para análisis forense detallado. Construimos búsquedas específicas:
Búsqueda 1: Intentos fallidos + exitosos
Filtramos por la máquina afectada y los eventos SSH:
agent.name: "servidor-linux" AND rule.groups: "authentication"Resultado: timeline completo del ataque, desde el primer intento fallido hasta los accesos exitosos.
Búsqueda 2: Acceso exitoso del usuario
login ssh jperez successEncontramos exactamente cuándo el atacante consiguió acceso: 2:08 AM.
Búsqueda 3: Cambio de contraseña
passwd jperez¡Bingo! A las 2:10 AM hay un evento de cambio de contraseña para el usuario jperez. El atacante cambió la contraseña para mantener el acceso y bloquear al usuario legítimo.
Búsqueda 4: Afectación a otras máquinas
Filtramos por la IP origen del atacante para ver si intentó acceder a otros sistemas:
srcip: "IP_ATACANTE" AND rule.groups: "authentication"Descubrimos que la misma IP intentó acceso a otros 3 servidores sin éxito.
Línea temporal del ataque
| Hora | Evento |
| 01:43 AM | Inician intentos de fuerza bruta SSH |
| 01:43 - 02:08 | 362 intentos fallidos de autenticación |
| 02:08 AM | Primera autenticación exitosa del atacante |
| 02:10 AM | Cambio de contraseña del usuario jperez |
| 08:30 AM | Usuario legítimo reporta que no puede acceder |
Medidas correctivas
Con el análisis completo, implementamos las siguientes medidas:
1. Fail2ban - Bloqueo automático
Bloquea IPs automáticamente tras X intentos fallidos:
apt install fail2ban
systemctl enable fail2banConfiguración en /etc/fail2ban/jail.local:
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 3600
findtime = 600Resultado: Tras 5 intentos fallidos en 10 minutos, la IP se bloquea durante 1 hora.
2. Autenticación por clave pública
Deshabilitar contraseñas SSH y usar solo claves públicas:
# Generar clave en el cliente
ssh-keygen -t ed25519
# Copiar clave al servidor
ssh-copy-id usuario@servidorEditar /etc/ssh/sshd_config:
PasswordAuthentication no
PubkeyAuthentication yesReiniciar SSH:
systemctl restart sshdResultado: Los ataques de fuerza bruta quedan completamente neutralizados.
Marco normativo
ISO 27001 - Gestión de incidentes
- A.5.24: Planificación y preparación de la gestión de incidentes
- A.5.25: Evaluación y decisión sobre eventos de seguridad
- A.5.26: Respuesta a incidentes de seguridad de la información
- A.5.27: Aprendizaje de los incidentes de seguridad
- A.5.28: Recopilación de evidencias
Este caso práctico demuestra el cumplimiento de todo el ciclo: detección, evaluación, respuesta, aprendizaje y documentación de evidencias.
ENS - Esquema Nacional de Seguridad
- op.exp.7: Gestión de incidentes de seguridad
Wazuh proporciona la capacidad de detección, análisis y documentación que exige el ENS para la gestión de incidentes.
Resumen
| Panel | Uso principal |
| Threat Hunting | Búsqueda proactiva, visión general de amenazas |
| Discover | Análisis forense, búsquedas específicas, correlación de eventos |
Próximos pasos
En el curso de Wazuh profundizamos en más casos prácticos de investigación de incidentes y configuraciones avanzadas de detección. Accede al curso completo.