AI SECURITY logo AI SECURITY
Wazuh Discover Threat Hunting SSH Incidentes Forense

Caso Práctico: Investigar un Ataque SSH con Wazuh Discover y Threat Hunting

Investiga paso a paso un ataque de fuerza bruta SSH real usando los paneles Threat Hunting y Discover de Wazuh. Caso práctico con medidas correctivas.

AI Security
12 min lectura
Background

Para investigar un ataque SSH con Wazuh, usa el panel Threat Hunting para detectar el patrón de fuerza bruta y el panel Discover para rastrear cronológicamente cada evento: intentos fallidos, acceso exitoso del atacante y cambios de contraseña.

¿Cuál es el escenario de este caso práctico?

Un usuario reporta que no puede acceder al servidor Linux. Su contraseña no funciona y nadie la ha cambiado. ¿Qué ha pasado? En este artículo investigamos el incidente paso a paso usando los paneles Threat Hunting y Discover de Wazuh.

Video: Investigación de Incidente SSH
Contenido del curso

Video: Investigación de Incidente

20 minutos - Caso práctico paso a paso

Ver en el Curso Wazuh

Accede al video completo con el curso de Wazuh

¿Cómo se desarrolló el ataque?

Lunes por la mañana. El usuario jperez reporta que no puede acceder al servidor Linux por SSH. La contraseña que siempre ha funcionado ahora es rechazada. Nadie del equipo de sistemas la ha cambiado.

⚠️ Primeras señales de alerta

Al revisar el correo, encontramos 20 alertas de Wazuh desde las 1:43 AM. Todas relacionadas con intentos de acceso SSH al usuario jperez. Esto huele a ataque de fuerza bruta.

¿Cómo usar el panel Threat Hunting para búsqueda proactiva?

El panel Threat Hunting está diseñado para buscar amenazas de forma proactiva. Filtramos por el servidor afectado y los eventos de autenticación:

Hallazgos en Threat Hunting

  • 362 fallos de autenticación (reglas nivel 12+)
  • 7 autenticaciones exitosas - el atacante consiguió entrar
  • Todo concentrado entre las 1:43 AM y las 2:15 AM

La proporción es clara: 362 intentos fallidos seguidos de 7 éxitos. Un ataque de diccionario que tuvo éxito.

¿Cómo usar el panel Discover para análisis forense?

El panel Discover da acceso directo al motor de búsqueda de Wazuh. Es perfecto para análisis forense detallado. Construimos búsquedas específicas:

¿Cómo filtrar intentos fallidos y exitosos simultáneamente?

Filtramos por la máquina afectada y los eventos SSH:

agent.name: "servidor-linux" AND rule.groups: "authentication"

Resultado: timeline completo del ataque, desde el primer intento fallido hasta los accesos exitosos.

¿Cómo localizar el momento exacto del acceso exitoso?

login ssh jperez success

Encontramos exactamente cuándo el atacante consiguió acceso: 2:08 AM.

¿Cómo detectar el cambio de contraseña por el atacante?

passwd jperez

¡Bingo! A las 2:10 AM hay un evento de cambio de contraseña para el usuario jperez. El atacante cambió la contraseña para mantener el acceso y bloquear al usuario legítimo.

¿Cómo comprobar si el atacante afectó a otras máquinas?

Filtramos por la IP origen del atacante para ver si intentó acceder a otros sistemas:

srcip: "IP_ATACANTE" AND rule.groups: "authentication"

Descubrimos que la misma IP intentó acceso a otros 3 servidores sin éxito.

¿Cuál fue la línea temporal del ataque?

Hora Evento
01:43 AM Inician intentos de fuerza bruta SSH
01:43 - 02:08 362 intentos fallidos de autenticación
02:08 AM Primera autenticación exitosa del atacante
02:10 AM Cambio de contraseña del usuario jperez
08:30 AM Usuario legítimo reporta que no puede acceder

¿Qué medidas correctivas aplicar tras el ataque?

Con el análisis completo, implementamos las siguientes medidas:

¿Cómo instalar Fail2ban para bloqueo automático?

Bloquea IPs automáticamente tras X intentos fallidos:

apt install fail2ban
systemctl enable fail2ban

Configuración en /etc/fail2ban/jail.local:

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 3600
findtime = 600

Resultado: Tras 5 intentos fallidos en 10 minutos, la IP se bloquea durante 1 hora.

¿Cómo configurar autenticación por clave pública para SSH?

Deshabilitar contraseñas SSH y usar solo claves públicas:

# Generar clave en el cliente
ssh-keygen -t ed25519

# Copiar clave al servidor
ssh-copy-id usuario@servidor

Editar /etc/ssh/sshd_config:

PasswordAuthentication no
PubkeyAuthentication yes

Reiniciar SSH:

systemctl restart sshd

Resultado: Los ataques de fuerza bruta quedan completamente neutralizados.

¿Qué marcos normativos cubre este caso práctico?

ISO 27001 - Gestión de incidentes

  • A.5.24: Planificación y preparación de la gestión de incidentes
  • A.5.25: Evaluación y decisión sobre eventos de seguridad
  • A.5.26: Respuesta a incidentes de seguridad de la información
  • A.5.27: Aprendizaje de los incidentes de seguridad
  • A.5.28: Recopilación de evidencias

Este caso práctico demuestra el cumplimiento de todo el ciclo: detección, evaluación, respuesta, aprendizaje y documentación de evidencias.

ENS - Esquema Nacional de Seguridad

  • op.exp.7: Gestión de incidentes de seguridad

Wazuh proporciona la capacidad de detección, análisis y documentación que exige el ENS para la gestión de incidentes.

Resumen

Panel Uso principal
Threat Hunting Búsqueda proactiva, visión general de amenazas
Discover Análisis forense, búsquedas específicas, correlación de eventos

Próximos pasos

En el curso de Wazuh profundizamos en más casos prácticos de investigación de incidentes y configuraciones avanzadas de detección. Accede al curso completo.

Background
Volver al blog