defensiva
DFIR
informática forense
análisis forense digital

Qué es DFIR: análisis forense y respuesta a incidentes

Qué es DFIR: informática forense y respuesta a incidentes, ciclo PICERL (NIST/SANS), herramientas forenses y obligaciones NIS2, DORA e INCIBE-CERT.

Secra6 de julio de 202610 min de lectura

El DFIR (Digital Forensics and Incident Response) es la disciplina que une la informática forense y la respuesta a incidentes en un mismo proceso: investigar qué ha pasado en un sistema comprometido y, a la vez, parar el ataque, contener el daño y devolver la operación a la normalidad. Donde el análisis forense digital responde a la pregunta qué ocurrió y con qué evidencia lo demuestro, la respuesta a incidentes responde a cómo lo corto ya y cómo evito que vuelva a pasar. Un equipo DFIR hace las dos cosas de forma coordinada, normalmente contra un reloj que corre (ransomware activo, exfiltración en curso o un plazo legal de notificación).

Esta entrada explica qué es el DFIR en sentido técnico, en qué se diferencian sus dos mitades, cómo se estructura el ciclo de respuesta, qué herramientas se usan y qué obligaciones legales aplican en España y la Unión Europea.

Lo esencial

  • DFIR = forense + respuesta a incidentes, ejecutados a la vez y sobre la misma evidencia.
  • El marco de referencia es NIST SP 800-61 y el ciclo PICERL de SANS: preparación, identificación, contención, erradicación, recuperación y lecciones aprendidas.
  • La cadena de custodia y el orden de volatilidad (RFC 3227) son innegociables: sin ellos, la evidencia no vale ni técnica ni legalmente.
  • Se activa un equipo DFIR ante ransomware, brecha confirmada o intrusión activa, y suele coincidir con un plazo de notificación NIS2 (24/72 horas) o DORA.

Qué es DFIR: definición técnica

El DFIR es la práctica de recopilar, preservar y analizar evidencia digital de un incidente al mismo tiempo que se gestiona la respuesta operativa para detener al atacante. La palabra clave es unión: durante años, la informática forense (peritaje, litigio, casos judiciales) y la respuesta a incidentes (equipos técnicos parando ataques) fueron mundos separados. En un incidente real de 2026 no lo son. El mismo analista que aísla un endpoint para contener el ransomware necesita capturar antes la memoria y los artefactos que explican cómo entró el atacante, porque esa evidencia se destruye al apagar o restaurar la máquina.

Un equipo DFIR maduro combina tres capacidades: adquisición de evidencia sin alterarla, análisis para reconstruir la línea temporal del ataque y respuesta para contener, erradicar y recuperar, todo documentado con rigor suficiente para sostener una investigación interna, una reclamación al seguro o un procedimiento judicial.

Análisis forense digital vs respuesta a incidentes

Aunque hoy se ejecutan juntos, conviene entender la diferencia:

  • Informática forense (análisis forense digital): se centra en la evidencia. Adquiere imágenes de disco y memoria bit a bit, preserva la cadena de custodia, reconstruye qué ficheros se ejecutaron, qué credenciales se usaron y qué datos salieron. Su producto es un informe defendible: esto pasó, en este orden, y aquí está la prueba. Prioriza la integridad y la trazabilidad sobre la velocidad.
  • Respuesta a incidentes (Incident Response): se centra en la acción. Aísla sistemas, corta canales de mando y control, revoca credenciales, aplica parches y restaura servicios. Su producto es una operación recuperada y un atacante fuera. Prioriza la velocidad y la contención sobre la exhaustividad.

La tensión entre ambas es real: contener rápido puede destruir evidencia, y preservarla con calma puede dar tiempo al atacante a cifrar más. El DFIR lo resuelve con una secuencia disciplinada, capturando la evidencia volátil antes de contener siempre que sea posible.

El ciclo de respuesta a incidentes: PICERL

El estándar de facto es NIST SP 800-61 (Computer Security Incident Handling Guide), que el instituto SANS resume en el acrónimo PICERL. Estas son las seis fases:

Preparación

Todo lo que se hace antes del incidente: inventario de activos, retención de logs centralizados, un EDR con telemetría detallada, un plan de respuesta escrito, contactos de escalado y accesos de emergencia. Un incidente sin preparación multiplica el tiempo de investigación: sin logs con retención, no hay línea temporal que reconstruir.

Identificación

Confirmar que hay un incidente real y no un falso positivo, y determinar su alcance. Aquí entran las alertas del SIEM y del SOC, la triada de detección y el análisis inicial de indicadores. El objetivo es contestar tres preguntas: qué está comprometido, desde cuándo (el dwell time) y qué está haciendo el atacante ahora mismo.

Contención

Cortar la propagación sin alertar al atacante ni destruir evidencia. Se aísla el endpoint por red (manteniendo la memoria viva para capturarla), se bloquean IoCs en el firewall y el EDR, se revocan sesiones y se segmentan las redes afectadas. La contención suele ser a corto plazo (parar la hemorragia) y a largo plazo (endurecer mientras se erradica).

Erradicación

Eliminar la causa raíz: borrar el malware, cerrar la vía de entrada (una vulnerabilidad sin parchear, una credencial robada, un servicio expuesto), reconstruir sistemas comprometidos desde imágenes limpias y rotar todas las credenciales que pudieron ser vistas.

Recuperación

Devolver los servicios a producción de forma controlada y monitorizada, validando que el atacante no mantiene persistencia. Se restaura desde backups verificados, se vigila de cerca la telemetría y se confirma que no reaparecen los IoCs.

Lecciones aprendidas

La fase que más se salta y más valor deja. Un post-mortem honesto documenta la línea temporal, la causa raíz, qué controles fallaron y qué reglas de detección nuevas surgen del caso. Cada incidente bien cerrado alimenta la fase de preparación del siguiente.

Herramientas DFIR imprescindibles

El DFIR se apoya en herramientas maduras, casi todas de código abierto:

  • Adquisición de memoria: DumpIt y WinPmem en Windows, AVML o LiME en Linux. La memoria RAM contiene procesos activos, conexiones de red, claves y malware que nunca toca disco, y desaparece al apagar.
  • Volatility 3: el estándar para analizar volcados de memoria. Lista procesos ocultos, conexiones, DLLs inyectadas y artefactos de credenciales.
  • Adquisición de disco: dd, dc3dd o FTK Imager para crear imágenes bit a bit con hash de integridad (SHA-256), usando un write-blocker que impide alterar el original.
  • Autopsy y The Sleuth Kit: análisis forense de sistemas de ficheros, recuperación de borrados y artefactos de usuario.
  • KAPE (Kroll Artifact Parser and Extractor): triaje rápido que recolecta solo los artefactos relevantes (registro, eventos, prefetch, MFT) en minutos, cuando no da tiempo a imágenes completas.
  • Velociraptor: DFIR a escala. Lanza consultas forenses y recolecta artefactos en cientos de endpoints en remoto, clave cuando el incidente afecta a toda una flota.
  • Plaso / log2timeline: super timelines que fusionan miles de fuentes en una única línea temporal ordenada.

Por encima de las herramientas está la cadena de custodia y el orden de volatilidad (RFC 3227): se captura primero lo más efímero (memoria, conexiones, procesos) y después lo persistente (discos, backups), y cada pieza se hashea, se sella y se registra quién la tocó y cuándo. Sin esa disciplina, la evidencia no sostiene ni un informe interno ni un procedimiento judicial.

Cómo encaja DFIR con el SOC, el threat hunting y el blue team

El DFIR no sustituye al resto de la defensa: la cierra. El SOC detecta y filtra alertas cada día; el threat hunting busca de forma proactiva lo que las alertas no ven; el blue team mantiene la postura defensiva. Cuando cualquiera confirma un compromiso serio, se activa el DFIR como respuesta de emergencia especializada. La telemetría del SIEM alimenta la investigación forense, y las reglas de detección que salen del post-mortem vuelven al SOC. La comparativa SIEM vs SOAR vs XDR explica cómo se articulan esas plataformas.

Cuándo activar un equipo DFIR

No todo incidente requiere DFIR, pero estos casos sí lo justifican:

  • Ransomware, especialmente con doble extorsión, donde hay que reconstruir la vía de entrada, confirmar qué datos salieron y decidir sobre backups. Es el detonante más habitual, como analizamos en el panorama de ransomware en España 2026.
  • Brecha de datos confirmada con posible exfiltración de información personal o confidencial.
  • Intrusión activa con evidencia de movimiento lateral o persistencia en Active Directory.
  • Compromiso de correo o de la nube con acceso no autorizado a cuentas privilegiadas.

Muchos de estos vectores empiezan por vulnerabilidades de acceso inicial conocidas (Citrix Bleed CVE-2023-4966, MOVEit CVE-2023-34362, PAN-OS CVE-2024-3400), que el DFIR confirma en la investigación y la organización cierra en la erradicación.

Obligaciones legales en España y la UE

En 2026 el DFIR ya no es solo técnico: es un requisito de cumplimiento. La directiva NIS2 obliga a las entidades esenciales e importantes a enviar una alerta temprana en 24 horas, una notificación de incidente en 72 horas y un informe final en un mes. El sector financiero suma DORA, con su propio esquema de clasificación y reporte. La notificación se canaliza a través del INCIBE-CERT (sector privado y ciudadanía) o el CCN-CERT (sector público). Cumplir esos plazos con datos fiables solo es posible si la investigación forense va en paralelo a la contención desde el minuto uno: la evidencia que sostiene la notificación es la que el equipo DFIR está capturando.

Preguntas frecuentes

¿Qué diferencia hay entre informática forense y respuesta a incidentes?

La informática forense se centra en la evidencia: adquiere, preserva y analiza artefactos para reconstruir qué pasó de forma defendible. La respuesta a incidentes se centra en la acción: contiene, erradica y recupera para parar el ataque. El DFIR ejecuta ambas de forma coordinada sobre la misma evidencia.

¿Qué es la cadena de custodia y por qué importa?

Es el registro documentado de quién ha tocado cada pieza de evidencia, cuándo y cómo, junto con su hash de integridad. Importa porque sin ella la evidencia no es fiable: no puedes demostrar que no se alteró, lo que la invalida tanto en un informe interno como en un procedimiento judicial o una reclamación al seguro.

¿Puede el SOC hacer DFIR o hace falta un equipo especializado?

Un SOC maduro cubre la detección y la respuesta de primer nivel, pero un incidente grave (ransomware, brecha activa) requiere perfiles forenses senior, herramientas específicas y una metodología rigurosa. Lo habitual es que el SOC escale al equipo DFIR interno o a un servicio externo de respuesta.

¿Qué herramientas DFIR abiertas son suficientes para empezar?

Con Volatility 3 para memoria, Autopsy y The Sleuth Kit para disco, KAPE para triaje rápido y Velociraptor para respuesta a escala se cubre la mayor parte del trabajo. La pieza no negociable no es la herramienta, sino el dato: sin logs centralizados con retención y un EDR con telemetría, no hay investigación posible.

¿En cuánto tiempo hay que notificar un incidente en España?

Bajo NIS2, las entidades obligadas deben enviar una alerta temprana en 24 horas y una notificación completa en 72 horas, con informe final en un mes, a través del INCIBE-CERT o el CCN-CERT según el sector. El sector financiero aplica además los plazos de DORA.

Recursos relacionados

DFIR en Secra

En Secra acompañamos a las organizaciones en la respuesta a incidentes graves: adquisición y análisis forense de evidencia, contención coordinada, reconstrucción de la línea temporal del ataque y soporte para cumplir los plazos de notificación NIS2 y DORA. Si tienes un incidente en curso o quieres preparar tu capacidad de respuesta, consulta nuestro servicio de respuesta a incidentes y forense DFIR o escríbenos a través de contacto.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Compartir artículo