Aprende a olfatear amenazas leyendo patrones
En ciberseguridad, la complejidad suele ocultar lo esencial: el comportamiento.
Muchas cosas en ciberseguridad se visten de complejidad, quizás debido al exceso de números. Stephen Hawking señalaba que cada ecuación adicional reducía el número de lectores. En nuestro caso, el reto es distinto: aprender a distinguir lo normal de lo anómalo.
Una transferencia de datos grande en la madrugada, patrones repetitivos de transmisión o una IP en una ubicación geográfica inusual deberían llamar nuestra atención.
Muchas veces no es necesario analizar cada paquete para detectar una amenaza. El análisis efectivo comienza observando comportamientos.
Aquí es donde entra NetFlow.
Breve historia de NetFlow
NetFlow fue desarrollado en los años 90 por Cisco Systems como una forma de optimizar el enrutamiento y comprender cómo fluía el tráfico dentro de sus dispositivos.
Con el tiempo, su utilidad trascendió el rendimiento de red y se convirtió en una herramienta clave para el monitoreo de tráfico, la detección de anomalías y el análisis de seguridad.
Hoy en día, ha inspirado estándares abiertos como IPFIX, ampliamente utilizados en entornos multi-vendor.
¿Qué es NetFlow?
NetFlow registra quién se comunica con quién, durante cuánto tiempo y cuánto dato se transfiere.
No muestra contenido. Muestra patrones.
La tecnología NetFlow proporciona la base para la medición del tráfico de red, la planificación y el monitoreo de servicios.
Relación con Wireshark y netstat
Desde una perspectiva operativa:
- NetFlow permite detectar anomalías a nivel de red
- Wireshark facilita el análisis detallado del tráfico
- netstat permite validar conexiones activas en el host
En conjunto, estas herramientas permiten pasar de la detección a la verificación.
¿Qué es netstat?
El comando netstat muestra conexiones activas, puertos abiertos, direcciones remotas y el estado de las conexiones en un sistema.
TCP 192.168.1.10:51532 45.33.32.156:443 ESTABLISHEDEsto indica que el equipo tiene una conexión activa con un destino específico en ese momento.
Comparación operativa
| Aspecto | NetFlow | netstat |
|---|---|---|
| Alcance | Red completa | Un solo equipo |
| Tiempo | Histórico + agregado | Tiempo real |
| Nivel | Flujo (resumen) | Conexión individual |
| Ubicación | Router / switch | Endpoint |
| Uso | Detección | Verificación |
Reconocimiento de patrones
A continuación, se presentan ejemplos simplificados con fines didácticos para el reconocimiento de comportamientos anómalos.
Ejemplo 1 — Tráfico normal
Src IP: 192.168.1.10
Dst IP: 45.33.32.156
Dst Port: 443
Protocol: TCP
Bytes: 85000
Duration: 89 secondsPuerto 443, duración y volumen consistentes con navegación web. Probablemente tráfico legítimo.
Ejemplo 2 — Beaconing (C2)
Src IP: 192.168.1.25
Dst IP: 185.199.110.153
Dst Port: 8080
Protocol: TCP
Bytes: 1200
Duration: 4 secondsSi este patrón se repite a intervalos regulares (por ejemplo, cada 60 segundos), puede indicar comunicación con un servidor de comando y control.
Ejemplo 3 — Posible exfiltración
Src IP: 192.168.1.50
Dst IP: 103.21.244.12
Dst Port: 22
Protocol: TCP
Bytes: 95000000
Duration: 900 secondsTransferencia significativa de datos en un puerto administrativo, posiblemente en horario inusual. Debe validarse si corresponde a una operación legítima o a una exfiltración.
Misma información en formato tabular
| Src IP | Dst IP | Port | Proto | Bytes | Duration |
|---|---|---|---|---|---|
| 192.168.1.10 | 45.33.32.156 | 443 | TCP | 85 KB | 89s |
| 192.168.1.25 | 185.199.110.153 | 8080 | TCP | 1.2 KB | 4s |
| 192.168.1.50 | 103.21.244.12 | 22 | TCP | 95 MB | 15m |
Conclusión
NetFlow no muestra la historia completa, pero proporciona suficiente contexto para formular las preguntas correctas.
En ciberseguridad, identificar el patrón adecuado es el primer paso para iniciar una investigación efectiva.