Cloud Activity Analysis
Análisis forense de los registros de actividad en plataformas cloud (AWS, Azure, Google Cloud, O365) para detectar accesos no autorizados, exfiltración y acciones maliciosas.
¿Qué es Cloud Activity Analysis?
El cloud activity analysis es la disciplina forense que examina los registros de actividad generados por plataformas de computación en la nube para reconstruir qué ocurrió, quién lo hizo y cuándo. Es fundamental en investigaciones de brechas de seguridad, fraudes internos y disputas laborales en entornos que utilizan servicios cloud.
En mi experiencia como perito informático forense, cada vez más investigaciones implican entornos cloud. Ya no basta con analizar discos duros locales: la información crítica está en Azure, AWS, Google Cloud u Office 365, y saber interpretar estos logs es imprescindible.
Cambio de Paradigma
En forense tradicional, la evidencia está en el disco duro. En cloud forensics, la evidencia son logs que pueden desaparecer en 90 días si no se preservan proactivamente.
Fuentes de Logs por Plataforma
Microsoft 365 / Azure AD
| Log | Qué Registra | Retención Default |
|---|---|---|
| Unified Audit Log | Todas las acciones de usuario en O365 | 90 días (E3) / 1 año (E5) |
| Azure AD Sign-ins | Inicios de sesión, ubicación, dispositivo | 30 días |
| Azure AD Audit | Cambios en usuarios, grupos, aplicaciones | 30 días |
| Mailbox Audit | Acciones en buzones de correo | 90 días |
| Azure Activity Log | Operaciones en suscripción Azure | 90 días |
Amazon Web Services (AWS)
| Log | Qué Registra | Retención Default |
|---|---|---|
| CloudTrail | Llamadas a API de AWS | 90 días |
| VPC Flow Logs | Tráfico de red | Configurable |
| S3 Access Logs | Accesos a buckets | Indefinido |
| CloudWatch Logs | Logs de aplicaciones | Configurable |
| GuardDuty Findings | Detección de amenazas | 90 días |
Google Cloud Platform
| Log | Qué Registra | Retención Default |
|---|---|---|
| Admin Activity | Cambios administrativos | 400 días |
| Data Access | Acceso a datos | 30 días |
| System Events | Eventos del sistema | 400 días |
| VPC Flow Logs | Tráfico de red | Configurable |
Google Workspace
| Log | Qué Registra | Retención Default |
|---|---|---|
| Admin Audit | Cambios de administración | 6 meses |
| Drive Audit | Acceso y compartición de archivos | 6 meses |
| Login Audit | Inicios de sesión | 6 meses |
| Gmail Logs | Metadatos de correo | Varía |
Metodología de Análisis
Identificación de fuentes relevantes: Determinar qué servicios cloud usa la organización y qué logs están disponibles para el período investigado.
Preservación inmediata: Exportar los logs antes de que expiren. En incidentes, esto es urgente: cada día que pasa puede perderse evidencia irrecuperable.
Verificación de integridad: Calcular hashes de los archivos exportados para garantizar la cadena de custodia.
Normalización: Los diferentes servicios usan formatos distintos. Normalizar a un formato común facilita la correlación.
Análisis temporal: Construir timeline de eventos ordenado cronológicamente para reconstruir la secuencia de acciones.
Identificación de anomalías: Detectar patrones sospechosos: accesos fuera de horario, desde ubicaciones inusuales, o acciones atípicas para el usuario.
Documentación pericial: Elaborar informe con hallazgos, metodología y conclusiones.
Exportación de Logs para Análisis Forense
Microsoft 365 (Unified Audit Log)
# Exportar Unified Audit Log con PowerShell
$startDate = (Get-Date).AddDays(-90)
$endDate = Get-Date
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate `
-UserIds "[email protected]" `
-ResultSize 5000 | Export-Csv -Path "audit_export.csv"
# Calcular hash del archivo exportado
Get-FileHash -Path "audit_export.csv" -Algorithm SHA256AWS CloudTrail
# Exportar eventos de CloudTrail
aws cloudtrail lookup-events \
--start-time 2026-01-01T00:00:00Z \
--end-time 2026-02-03T23:59:59Z \
--lookup-attributes AttributeKey=Username,AttributeValue=sospechoso \
--output json > cloudtrail_export.json
# Calcular hash
sha256sum cloudtrail_export.jsonAzure Activity Log
# Exportar Activity Log con Azure CLI
az monitor activity-log list \
--start-time 2026-01-01T00:00:00Z \
--end-time 2026-02-03T23:59:59Z \
--caller [email protected] \
--output json > azure_activity.jsonPreservación Urgente
Si sospechas de un incidente y los logs están próximos a expirar, la primera prioridad es exportarlos. El análisis puede esperar; los logs que se pierden no vuelven.
Patrones de Actividad Sospechosa
Indicadores de Cuenta Comprometida
| Patrón | Qué Indica | Dónde Buscar |
|---|---|---|
| Login desde país inusual | Posible robo de credenciales | Azure AD Sign-ins |
| Múltiples IPs en poco tiempo | Credential stuffing o compromiso | Logs de autenticación |
| Cambio de reglas de reenvío | Persistencia en buzón | O365 Audit Log |
| Creación de app OAuth | Persistencia en tenant | Azure AD Audit |
Indicadores de Exfiltración
| Patrón | Qué Indica | Dónde Buscar |
|---|---|---|
| Descarga masiva de archivos | Exfiltración de datos | Drive/SharePoint Audit |
| Compartición externa anómala | Fuga de información | O365 Audit Log |
| Transferencia S3 a IP externa | Exfiltración AWS | VPC Flow Logs |
| Export de buzón completo | Robo de comunicaciones | Mailbox Audit |
Indicadores de Insider Threat
| Patrón | Qué Indica | Dónde Buscar |
|---|---|---|
| Acceso a carpetas ajenas | Curiosidad o robo | SharePoint/Drive Audit |
| Actividad fuera de horario | Comportamiento anómalo | Todos los logs |
| Acceso días antes de baja | Preparación de salida | Correlación con RRHH |
| Uso de cuenta tras despido | Acceso no revocado | Logs de autenticación |
Caso Práctico: Empleado Desleal en O365
Investigación Real Anonimizada
Una empresa de consultoría de Sevilla sospechaba que un gerente de cuentas estaba filtrando propuestas comerciales a un competidor antes de abandonar la empresa.
Análisis del Unified Audit Log
Exportamos 90 días de actividad del usuario sospechoso:
Hallazgo 1: Descargas masivas
{
"Operation": "FileDownloaded",
"UserId": "[email protected]",
"ObjectId": "Propuestas/Cliente_ABC/Propuesta_Final.docx",
"ClientIP": "83.45.xxx.xxx",
"CreationTime": "2026-01-15T23:47:00Z"
}Durante las dos semanas previas a su marcha, descargó 147 archivos de la carpeta “Propuestas” en horario nocturno.
Hallazgo 2: Reenvío automático configurado
{
"Operation": "Set-Mailbox",
"Parameters": {
"ForwardingSmtpAddress": "[email protected]"
},
"CreationTime": "2026-01-10T08:15:00Z"
}Configuró reenvío de todo su correo corporativo a una cuenta personal.
Hallazgo 3: Compartición externa
{
"Operation": "SharingSet",
"UserId": "[email protected]",
"ObjectId": "Base_Clientes_2025.xlsx",
"TargetUserOrGroupName": "[email protected]",
"CreationTime": "2026-01-18T14:30:00Z"
}Compartió la base de datos de clientes directamente con un email del competidor.
Timeline Reconstruido
2026-01-10: Configura reenvío de email a cuenta personal
2026-01-15-28: Descarga 147 documentos de Propuestas (23:00-02:00)
2026-01-18: Comparte base de clientes con competidor
2026-01-25: Presenta dimisión
2026-01-31: Último día de trabajoValor Probatorio
El informe pericial documentó:
- Logs originales exportados con sus hashes
- Timeline de todas las acciones sospechosas
- Correlación con la fecha de marcha a competidor
- Explicación técnica accesible para el tribunal
Resultado: Despido procedente confirmado y demanda civil por competencia desleal en curso.
Herramientas de Análisis
Análisis de Logs O365/Azure
| Herramienta | Uso | Complejidad |
|---|---|---|
| Microsoft Compliance Center | Búsqueda nativa en O365 | Baja |
| Azure Sentinel | SIEM con correlación avanzada | Alta |
| Hawk | PowerShell para investigación O365 | Media |
| Sparrow | Detección de compromiso Azure AD | Media |
Análisis de Logs AWS
| Herramienta | Uso | Complejidad |
|---|---|---|
| AWS Athena | Consultas SQL sobre CloudTrail | Media |
| CloudTrail Lake | Análisis nativo de AWS | Media |
| Panther | SIEM especializado en cloud | Alta |
Herramientas Universales
| Herramienta | Uso | Complejidad |
|---|---|---|
| Timesketch | Timeline forense colaborativo | Media |
| Splunk | Análisis de logs universal | Alta |
| ELK Stack | Indexación y búsqueda de logs | Alta |
Consideraciones para Validez Judicial
Clave para el Tribunal
Los logs cloud tienen plena validez probatoria si se documentan correctamente: origen de los datos, metodología de exportación, hashes de integridad, y explicación clara de qué significan los registros.
Requisitos del Informe Pericial
- Origen de la evidencia: Qué plataforma, qué tenant, qué período
- Metodología de exportación: Comandos utilizados, quién lo hizo
- Cadena de custodia: Hashes de los archivos, almacenamiento seguro
- Interpretación técnica: Qué significa cada campo del log
- Conclusiones fundamentadas: Qué se puede afirmar con certeza
Conclusión
El análisis de actividad cloud es ya una competencia esencial en informática forense. Con la migración masiva a O365, Azure, AWS y Google Cloud, gran parte de la evidencia relevante está en estos sistemas.
Como perito informático, mi labor incluye conocer las particularidades de cada plataforma, preservar los logs antes de que expiren, analizarlos de forma rigurosa y documentar los hallazgos con validez judicial.
¿Necesitas investigar actividad sospechosa en tu entorno cloud? Contacta con Digital Perito para un análisis forense profesional de O365, AWS, Azure o Google Cloud.
Última actualización: 3 de febrero de 2026 Categoría: Cloud Forensics Código: CAA-001
Preguntas Frecuentes
¿Qué actividades se registran en plataformas cloud?
Las plataformas cloud registran accesos de usuarios, cambios de configuración, creación y eliminación de recursos, acceso a archivos, envío de emails, y llamadas a APIs. Cada servicio tiene sus propios logs con diferentes períodos de retención.
¿Cuánto tiempo se guardan los logs en AWS/Azure/O365?
Varía por servicio: AWS CloudTrail retiene 90 días por defecto, Azure Activity Log 90 días, O365 Unified Audit Log entre 90 días y 1 año según licencia. Se puede configurar retención extendida, pero muchas empresas no lo hacen.
¿Se pueden usar logs cloud como prueba en juicio?
Sí, siempre que se exporten con metodología forense, se documente la cadena de custodia, se verifiquen los hashes y se explique al tribunal qué información contienen y cómo interpretarla.
Términos Relacionados
Cloud Forensics
Rama del análisis forense digital especializada en la adquisición, preservación y análisis de evidencia en entornos de computación en la nube como AWS, Azure y Google Cloud.
Data Exfiltration
Extracción no autorizada de datos desde los sistemas de una organización hacia ubicaciones externas controladas por el atacante o empleado desleal.
Timeline Forense
Representación ordenada cronológicamente de todos los eventos relevantes extraídos de sistemas digitales, permitiendo reconstruir qué ocurrió, cuándo y en qué secuencia.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita