Bienvenido al mundo de Blue Team

El Blue Team protege, detecta y responde: porque la mejor defensa es una estrategia bien entrenada.

Network Analysis

Wireshark

Wireshark

Es un analizador de tráfico de red (sniffer) que captura paquetes y permite inspeccionarlos por capas desde la más baja L2 hasta L7 para diagnosticar problemas, detectar anomalías, entender conversaciones cliente-servidor y también para hacer ataques MITM. Permitiendo ver y analizar todo lo que pasa en una red, como si fuera una lupa digital sobre los datos que circulan.

pfSense

pfSense

Es un sistema operativo basado en FreeBSD que funciona como firewall y router avanzado. Permite controlar el tráfico de red, crear reglas de seguridad, gestionar VPNs y proteger la infraestructura de una organización. Se utiliza en empresas y entornos domésticos para asegurar las conexiones y evitar accesos no autorizados, siendo una alternativa flexible y gratuita frente a soluciones comerciales.

Arkime

Arkime

Es una plataforma de captura y análisis de tráfico de red. Guarda grandes volúmenes de datos de comunicación y permite a los analistas revisar qué ocurrió en la red en un momento específico. Es muy útil en investigaciones forenses y en SOCs, ya que ayuda a entender cómo se produjo un ataque y qué sistemas se vieron afectados.

Snort

Snort

Es uno de los sistemas de detección de intrusos (IDS) más conocidos. Analiza el tráfico en tiempo real y compara patrones para identificar intentos de ataque, como escaneos de puertos o exploits. Se usa en empresas y universidades para proteger redes y aprender sobre amenazas, siendo una herramienta clave para la defensa preventiva.

Incident Management

TheHive

TheHive

TheHive es una plataforma que ayuda a organizar y gestionar incidentes de seguridad. Cuando ocurre un ataque o una alerta, los analistas pueden usar TheHive para documentar lo que pasó, repartir tareas entre el equipo y coordinar la respuesta. Es como un “cuaderno digital” compartido que facilita trabajar en equipo y reaccionar rápido ante problemas de ciberseguridad.

GRR Rapid Responsive

GRR Rapid Responsive

Es una herramienta de respuesta a incidentes que permite a los equipos de seguridad acceder de forma remota a los ordenadores comprometidos. Con ella se pueden recolectar datos, analizar procesos y descubrir evidencias de ataques sin necesidad de estar físicamente en el equipo. Se emplea en investigaciones forenses y en grandes organizaciones para agilizar la respuesta.

Thereat Intelligence

Misp

Misp

MISP es una plataforma diseñada para compartir información sobre amenazas de ciberseguridad. Permite a organizaciones y equipos de seguridad intercambiar datos sobre ataques, indicadores de compromiso y patrones de comportamiento de los atacantes. Su objetivo es que la inteligencia de amenazas sea colaborativa

MSTCPy

MSTCPy

Es una librería escrita en Python que facilita el análisis de tráfico de red. Se usa en entornos de investigación y pruebas de seguridad para entender cómo viajan los datos entre sistemas. Aunque es más técnica, resulta útil para crear scripts personalizados que detecten anomalías o comportamientos sospechosos.

EDR

Cortex XDR

Cortex XDR

Es una plataforma de detección y respuesta extendidas. Transforma las operaciones del centro de operaciones de seguridad al proporcionar una visibilidad superior, una detección precisa impulsada por IA y capacidades de respuesta integradas y automatizadas para combatir ciberataques avanzados.

Cynet 360

Cynet 360

Es una solución de seguridad integral que combina detección, prevención y respuesta frente a amenazas. Protege endpoints, redes y usuarios mediante inteligencia artificial y automatización. Se utiliza en empresas que buscan una defensa completa sin tener que integrar múltiples herramientas diferentes.

FortiEDR

FortiEDR

Es un sistema de protección para equipos (endpoints) que detecta ataques en tiempo real y ayuda a bloquearlos antes de que causen daño. Además, permite analizar el origen de la amenaza y responder de forma automatizada. Es común en organizaciones que necesitan seguridad avanzada para sus ordenadores y servidores.

OS Analysis

HELK

HELK

Es una plataforma de análisis de datos de seguridad que integra varias herramientas como Elasticsearch, Logstash y Kibana. Se usa para investigar amenazas, visualizar información de ataques y realizar hunting de amenazas. Es muy popular en entornos de investigación y SOCs.

Volatility

Volatility

Es una herramienta forense especializada en analizar la memoria RAM de un sistema. Permite descubrir qué programas estaban activos, qué datos se estaban procesando y si había malware en ejecución. Es clave en investigaciones digitales para reconstruir lo que estaba ocurriendo en el momento de un ataque.

Wazuh

Wazuh

Es una plataforma de monitoreo y detección de seguridad que vigila sistemas, analiza registros y detecta intrusiones. También ayuda a cumplir normativas de seguridad como PCI-DSS o GDPR. Se utiliza en empresas y SOCs para tener una visión centralizada de la seguridad.

RegRipper

RegRipper

Es una herramienta forense que analiza el registro de Windows. Permite descubrir configuraciones sospechosas, cambios realizados por malware o rastros de actividad de un atacante. Se usa en investigaciones forenses para obtener evidencias digitales.

OSSEC

OSSEC

Es un sistema de detección de intrusos que analiza registros, archivos y actividad en servidores. Puede alertar sobre comportamientos anómalos y ayudar a prevenir ataques. Es muy usado en entornos corporativos y servidores web.

Osquery

Osquery

Convierte un sistema en una base de datos consultable. Los analistas pueden hacer preguntas como “¿qué procesos están activos?” o “¿qué programas están instalados?”. Es útil para monitoreo, auditorías y detección de anomalías en equipos.

Honeypost

kippo

kippo

Kippo es un honeypot de interacción media que simula un servidor SSH vulnerable. Cuando un atacante intenta conectarse, puede ingresar contraseñas y ejecutar comandos como si estuviera en un sistema real, pero en realidad todo queda registrado. Esto permite a los analistas observar cómo actúan los atacantes, qué herramientas usan y qué buscan dentro de un servidor.

Cowrie

Cowrie

Cowrie es un programa que actúa como un sistema “trampa” (honeypot). Simula ser un servidor vulnerable para que los atacantes intentan entrar y usarlo. En realidad, todo lo que hacen queda registrado: contraseñas que prueban, comandos que ejecutan y técnicas que usan. Sirve para que los equipos defensivos (Blue Team) estudien cómo atacan los hackers y aprendan a proteger mejor los sistemas reales.

Dockpot

Dockpot

Dockpot es un honeypot que aprovecha la tecnología de contenedores Docker para simular sistemas vulnerables de manera rápida y sencilla. Su función principal es atraer a atacantes y registrar sus intentos de acceso, lo que permite a los equipos de seguridad estudiar sus técnicas sin poner en riesgo sistemas reales.

HonSSH

HonSSH

HonSSH funciona en actuar como intermediario entre el atacante y un servidor falso, permitiendo que el atacante crea que está conectado a un sistema real mientras en segundo plano se registran todas sus acciones. Esto incluye las contraseñas que intenta usar, los comandos que ejecuta y los movimientos que realiza dentro de la sesión.

SIEM

OSSIM

OSSIM

Es una plataforma de gestión de seguridad que integra múltiples herramientas en un solo sistema. Permite centralizar la detección, análisis y respuesta a incidentes. Es muy usada en SOCs para tener una visión completa de la seguridad de la organización.

Splunk

Splunk

Es una herramienta que analiza grandes volúmenes de datos, especialmente registros de sistemas. Se usa para buscar patrones, detectar problemas y responder a incidentes de seguridad. Es muy popular en grandes empresas por su capacidad de manejar datos masivos.

LogRhythm

LogRhythm

Es una plataforma de gestión de registros y seguridad que ayuda a detectar amenazas, investigar incidentes y cumplir con normativas. Ofrece funciones de análisis avanzado y respuesta automatizada, siendo una solución completa para SOCs.