73%
de los ataques avanzados usan más de un vector de entrada simultáneamente
47
días de media para detectar una brecha sin correlación de eventos
3
fuentes correlacionadas son suficientes para elevar un incidente a CRÍTICO automáticamente
minutos
tiempo de correlación automática tras recibir un nuevo evento
🔬
La analogía que lo explica todo: Imagina que tienes tres vigilantes de seguridad en tres entradas distintas de tu empresa. Cada uno anota los incidentes que ve. Pero ninguno habla con los otros dos. Una persona entra por la puerta principal, luego por la trasera y finalmente por el aparcamiento — y ningún vigilante sabe que es la misma persona. La correlación forense es el sistema que conecta esos tres avisos y revela que hay una sola amenaza coordinada.
¿Qué es la correlación forense de incidentes?
La correlación forense de incidentes es el proceso de analizar eventos de seguridad procedentes de distintas fuentes — honeypots, canary tokens, DNS, APIs, sistemas de monitorización de archivos — y agrupar aquellos que comparten un origen común en un único incidente de seguridad.
El resultado es una visión unificada de lo que está ocurriendo en tu empresa, en lugar de docenas de alertas dispersas que nadie tiene tiempo de analizar manualmente. Un evento en el honeypot de red, un token canario activado y un acceso anómalo al DNS no son tres incidentes separados — son tres síntomas del mismo ataque.
🔬 ChacalForense — HUB DE CORRELACIÓN
Todos los eventos convergen en un único incidente correlacionado
ChacalTokens
Canary tokens activados
ChacalHoneybots
APIs y servicios señuelo
Sensores DNS
Subdominios trampa
Canary URLs
Enlaces señuelo
Eventos manuales
Análisis del equipo
El problema: eventos aislados que nadie conecta
Cualquier empresa que tenga varias herramientas de seguridad activas genera decenas de alertas al día. Un canary token activado aquí, un intento de acceso a un endpoint no documentado allá, una consulta DNS sospechosa en otro sistema. Cada herramienta genera su propia alerta en su propio panel.
El problema no es la falta de datos. Es la fragmentación. Nadie tiene tiempo de revisar manualmente cuatro paneles distintos y conectar los puntos entre eventos que ocurrieron en sistemas diferentes, a horas distintas, con formatos de log incompatibles.
⚠️
El escenario más peligroso y más frecuente: Una IP escanea tus endpoints a las 2h de la madrugada. A las 3h, un canary token de un documento confidencial se activa desde esa misma IP. A las 4h, un honeybot de tipo API recibe un intento de SQL injection. Sin correlación, son tres alertas en tres sistemas distintos. Con correlación, son tres eventos del mismo atacante en un incidente de severidad crítica que requiere respuesta inmediata.
Cómo funciona el motor de correlación
El motor de correlación de ChacalForense opera en segundo plano de forma continua, analizando cada nuevo evento recibido y buscando conexiones con eventos anteriores. El proceso es automático y ocurre en minutos tras recibir cada nueva alerta.
Correlación por IP exacta
El método más preciso. Cuando dos o más eventos comparten exactamente la misma dirección IP origen en una ventana de 24 horas, el motor los agrupa en el mismo incidente con un score de confianza del 95%. Una IP que toca un canary token y luego un honeybot es inequívocamente el mismo actor.
Correlación temporal
Eventos que ocurren en ventanas de tiempo muy próximas, aunque provengan de IPs distintas dentro de la misma subred, pueden indicar el uso de proxies o rotación de IPs. El motor detecta estos patrones y los agrupa con un score de confianza menor para revisión humana.
Correlación por ASN y organización
Si múltiples IPs pertenecen al mismo Autonomous System Number — el mismo ISP o la misma red corporativa — pueden estar relacionadas aunque sean técnicamente distintas. Útil para detectar atacantes que rotan IPs dentro del mismo rango.
El cronjob de correlación
Cada 5 minutos, el motor procesa todos los eventos sin correlacionar, aplica los algoritmos de agrupación y actualiza los incidentes existentes o crea nuevos. Los eventos sin IP válida se marcan como procesados para revisión manual. El proceso es completamente transparente: cada correlación queda registrada con su método, score de confianza y ventana temporal.
Los sensores: los oídos distribuidos de tu red
Los sensores son los puntos de detección activos que ChacalForense despliega para capturar eventos. A diferencia de los sistemas pasivos que solo analizan logs, los sensores de ChacalForense son trampas activas — cualquier interacción con ellos es, por definición, sospechosa.
🔗
Canary URL — El enlace que delata
Una URL trampa que, al ser visitada, genera un evento en ChacalForense. Se puede incrustar en documentos internos, correos de distribución restringida o repositorios de código privados. Si alguien que no debería acceder a ese documento lo hace, el enlace lo delata. La URL de activación es única por sensor y no aparece en ningún lugar público.
→ Formato: forense.chacalsecurity.com/forense-api/sensor/disparo/{slug}
🌐
Honeybot DNS — El subdominio que nadie debería resolver
Un subdominio trampa que no existe en ningún sistema legítimo de la empresa. Si cualquier dispositivo de la red intenta resolver ese subdominio, significa que algo en ese dispositivo tiene instrucciones de buscarlo — típicamente malware que usa DGA (Domain Generation Algorithm) o un proceso de reconocimiento automatizado. Es el sensor más silencioso: nadie lo toca salvo código malicioso.
→ Ideal para detectar: malware activo, movimiento lateral, C2 encubierto
⚡
Honeybot HTTP — El endpoint que nadie debería llamar
Un endpoint HTTP trampa que simula ser una API, un panel de administración o un servicio interno. Cualquier petición HTTP que recibe es un evento de seguridad. Los atacantes que escanean sistemáticamente rangos de puertos y rutas en busca de servicios mal configurados activan este sensor inevitablemente. Cada petición queda registrada con método HTTP, payload, cabeceras y user-agent.
→ Ideal para detectar: escaneos automatizados, reconocimiento de APIs, credential stuffing
Escala de severidad automática por fuentes
Uno de los aspectos más útiles de ChacalForense es que la severidad de un incidente no la asigna el analista manualmente — la calcula el motor automáticamente en función de cuántas fuentes distintas han observado actividad del mismo atacante.
BAJA
Evento aislado en una sola fuente. Puede ser ruido de fondo o exploración casual.
ALTA
2 fuentes correlacionadas. El atacante está usando múltiples vectores simultáneos.
CRÍTICA
3 o más fuentes. Ataque coordinado multi-vector que requiere respuesta inmediata.
✅
Por qué este modelo elimina el ruido: En los sistemas de alertas tradicionales, todo se marca como urgente y nada lo es. La escala de severidad por fuentes invierte esa lógica: un evento en una sola fuente puede ser ruido de internet. El mismo actor en tres fuentes distintas es una amenaza real. La escalada automática garantiza que el equipo humano solo actúa sobre incidentes con evidencia sólida.
Casos reales de correlación forense
Caso 01 · Gestoría fiscal
Tres sistemas, un atacante, detectado en 8 minutos
EmpresaGestoría con 12 empleados, 340 clientes con datos fiscales
SituaciónChacalForense integrado con ChacalTokens (canary en documentos de clientes) y ChacalHoneybots (API REST trampa)
Secuencia
03:14 — Canary URL en documento "Clientes_VIP_2025.xlsx" activado · IP: 185.220.101.45
03:19 — Honeybot API recibe SQL injection · IP: 185.220.101.45
03:22 — Sensor DNS trampa resuelto desde la misma IP
ResultadoMotor de correlación agrupó los 3 eventos en 5 minutos. Incidente creado automáticamente con severidad CRÍTICA (3 fuentes). Alerta a los responsables. IP bloqueada antes de que el atacante accediera a sistemas reales. Informe GDPR generado para cumplimiento regulatorio.
Caso 02 · Startup tecnológica
Token en repositorio privado revela acceso no autorizado desde ex-empleado
EmpresaStartup SaaS, 8 empleados, código fuente propietario en repositorio privado
SituaciónCanary URL incrustada en el README interno del repositorio. Ex-empleado con acceso previo que no fue revocado completamente.
Secuencia22:47 — Canary URL activada desde IP doméstica española, identificada como perteneciente a una ciudad concreta. Segundo acceso 3 minutos después desde la misma IP.
ResultadoIncidente creado automáticamente. Con la IP y geolocalización, la empresa pudo identificar al responsable. Accesos revocados en menos de una hora. Evidencia digital preservada en el informe forense con hash SHA-256 para posible uso legal.
Caso 03 · Clínica de fisioterapia
Detección temprana evita brecha de datos de salud y multa GDPR
EmpresaClínica con 900 pacientes activos, datos de salud (categoría especial RGPD)
SituaciónSensor DNS trampa configurado. Canary URL en el archivo de historiales de pacientes.
SecuenciaUn dispositivo interno resuelve el subdominio DNS trampa — señal de proceso automatizado no autorizado corriendo en esa máquina.
ResultadoIncidente MEDIA creado. El dispositivo fue aislado y analizado. Se encontró un keylogger instalado a través de un adjunto de email. Los datos de pacientes no llegaron a ser exfiltrados. Sin brecha, sin obligación de notificación GDPR, sin multa.
Cuando ocurre un incidente de seguridad, las empresas tienen obligaciones legales de documentación y notificación. ChacalForense genera automáticamente informes PDF forenses en formato bilingüe español/inglés con hash SHA-256 para verificar su integridad.
Preliminar
Primeras horas del incidente. Información inicial para comunicación interna urgente.
Completo
Análisis exhaustivo con timeline completo, correlaciones y evidencias técnicas.
Ejecutivo
Resumen de alto nivel para dirección y comité de seguridad sin tecnicismos.
NIS2
Estructura adaptada a los requisitos de notificación de la Directiva NIS2 europea.
GDPR
Formato para notificación a la AEPD en caso de brecha con datos personales.
📋
El hash SHA-256 como garantía de integridad: Cada informe forense generado tiene un hash SHA-256 calculado post-generación y almacenado en la base de datos. Si el informe se presenta ante autoridades o en un proceso legal, cualquiera puede verificar que el documento no ha sido modificado desde su generación calculando su hash y comparándolo con el registrado. Es la cadena de custodia digital del incidente.
Cómo implementar correlación forense en tu empresa
Planes ChacalForense — Suscripción mensual
Básico
29€
/mes · sin permanencia
✓ 10 incidentes activos
✓ 90 días de retención
✓ Sensores canary URL
✓ Informes PDF forenses
— Integración Tokens/Honeybots
Integrado
59€
/mes · sin permanencia
✓ 100 incidentes activos
✓ 365 días de retención
✓ Todos los tipos de sensor
✓ Integración ChacalTokens
✓ Integración ChacalHoneybots
Enterprise
149€
/mes · sin permanencia
✓ Incidentes ilimitados
✓ 730 días de retención
✓ Todas las integraciones
✓ Informes NIS2 y GDPR
✓ Consultor dedicado
Preguntas frecuentes sobre correlación forense
¿Necesito tener ChacalTokens o ChacalHoneybots para usar ChacalForense?
No. ChacalForense funciona de forma autónoma desde el plan Básico con sus propios sensores integrados — canary URLs, honeybots DNS y honeybots HTTP. La integración con ChacalTokens y ChacalHoneybots está disponible en el plan Integrado y permite que los eventos de esas herramientas alimenten automáticamente el motor de correlación, ampliando la cobertura de detección.
¿Cuántos sensores puedo crear?
El número de sensores no está limitado por plan. Puedes crear tantos sensores como necesites: un canary URL por documento sensible, un honeybot DNS por proyecto confidencial, un honeybot HTTP por entorno de desarrollo. La estrategia recomendada es distribuir sensores en todos los activos de información que quieras monitorizar.
¿Qué pasa si un evento no tiene IP o la IP es de Tor?
Los eventos sin IP válida se registran y se marcan para revisión manual — no se correlacionan automáticamente pero quedan en el historial. Si la IP es de un nodo Tor conocido, el sistema la identifica y asigna un nivel de riesgo elevado por defecto, aunque no pueda atribuirse a un actor específico. El comportamiento, el user-agent y el patrón temporal siguen siendo información útil para el análisis.
¿Los informes forenses son válidos legalmente en España?
Los informes de ChacalForense están diseñados para documentar incidentes con rigor técnico — timeline verificable, hash de integridad, correlaciones con score de confianza. Para su uso en procedimientos judiciales formales se recomienda complementarlos con la intervención de un perito informático certificado. Para notificaciones a la AEPD en virtud del RGPD, el formato del informe GDPR cubre los elementos requeridos por la normativa.
¿Puedo cancelar en cualquier momento?
Sí. ChacalForense funciona con suscripción mensual sin permanencia. Puedes cancelar desde el panel de primeros pasos y el acceso se mantiene hasta el final del período de facturación actual. No hay penalizaciones ni costes de cancelación.
// ChacalForense — Correlación forense para PYMEs
Un atacante que toca tres sistemas distintos debería generar una sola alerta, no tres.
ChacalForense correlaciona automáticamente todos los eventos de seguridad de tu empresa en incidentes accionables, escala la severidad por el número de fuentes y genera informes forenses con hash SHA-256 para cumplimiento NIS2 y GDPR.
Desde 29€/mes · Sin permanencia · Panel disponible en minutos
🦊
ChacalSecurity Research Team
Equipo especializado en ciberseguridad para PYMEs. Desarrollamos herramientas de detección y correlación accesibles para empresas que no tienen un SOC dedicado pero sí necesitan visibilidad real sobre lo que ocurre en sus sistemas.
chacalsecurity.com
