Logs

Logs y registros de seguridad: por qué sin logs no hay investigación posible

Miguel

Miguel

1 min read
Análisis de logs de seguridad en terminal

Cuando ocurre un incidente de seguridad, los logs son la única evidencia. Sin ellos, no puedes saber qué pasó, cuándo, quién lo causó ni qué datos se vieron afectados. Y sin esa información, tampoco puedes evitar que vuelva a ocurrir.

¿Qué debes registrar?

  • Autenticaciones: éxitos, fallos, cuentas usadas, origen IP.
  • Acceso a datos sensibles: quién accedió a qué y cuándo.
  • Cambios de configuración: modificaciones en sistemas, usuarios, permisos.
  • Tráfico de red anómalo: conexiones a IPs desconocidas, puertos inusuales.
  • Eventos del sistema operativo: creación de procesos, modificación de archivos críticos.

¿Cuánto tiempo conservar los logs?

Depende del marco normativo:

  • RGPD: el tiempo necesario para cumplir su finalidad, no más.
  • NIS2: mínimo 12 meses para incidentes significativos.
  • ENS: mínimo 2 años para sistemas de categoría alta.
  • Recomendación general: 12 meses online + 24 meses en archivo frío.

Herramientas

  • Wazuh: agrega y analiza logs de múltiples fuentes con reglas de detección.
  • Graylog: plataforma open source de gestión de logs.
  • Loki + Grafana: stack ligero para equipos con pocos recursos.

Centraliza los logs en un sistema separado, con acceso restringido y protegido contra modificación. Un atacante que borra los logs borra también las evidencias de su paso.

Blindara gestiona la recolección, correlación y análisis de logs en tiempo real, convirtiendo el volumen bruto de eventos en alertas accionables sin que necesites un equipo de analistas propio para revisarlos.

Read more