Curiosidades De Hackers
CSIRTDFIRForense Digital

IRIS: la plataforma DFIR que revoluciona la gestión de casos y evidencias digitales


Cuando pensamos en DFIR (Digital Forensics & Incident Response), solemos imaginar herramientas como Volatility, Autopsy o KAPE, capaces de procesar artefactos digitales y extraer evidencia técnica. Sin embargo, la realidad operativa en un SOC o un laboratorio forense moderno va más allá del análisis: requiere organización, trazabilidad, colaboración y documentación.

Ahí entra en juego IRIS, una plataforma open source pensada para gestionar incidentes de ciberseguridad y procesos forenses de principio a fin, centralizando toda la información crítica de un caso:

  • Evidencias (archivos, capturas, logs, correos, PCAPs).
  • Activos o assets (cuentas, dominios, IPs).
  • Indicadores de compromiso (IOCs).
  • Notas técnicas y cronologías.
  • Informes automatizados y cadena de custodia.

🚀 Un marco de gestión forense todo en uno

IRIS no es una herramienta de análisis directo (como Autopsy o Volatility), sino un marco de orquestación y documentación. Su objetivo es estructurar y hacer auditable cada etapa del trabajo forense:

  • Desde el triage inicial 🧩
  • Hasta la generación del informe técnico final 🧾

La interfaz está diseñada para que analistas, peritos y equipos SOC puedan abrir un caso, registrar evidencias, anotar hallazgos, correlacionar activos y compartir indicadores en cuestión de minutos.

Además, al ser una plataforma modular, IRIS puede integrarse con otros sistemas de inteligencia de amenazas (MISP, TheHive, Cortex, etc.), lo que la convierte en una herramienta clave dentro de un flujo DFIR moderno y colaborativo.

📘 En resumen, IRIS se sitúa justo en el punto donde convergen la forensia digital, la respuesta a incidentes y la gestión del conocimiento técnico.


👨‍💻 Creación del caso forense en IRIS

Para iniciar una investigación, lo primero es crear un caso dentro del panel principal de IRIS.
El analista define los metadatos:

  • Cliente asociado (por ejemplo, IrisInitialClient).
  • Nombre del caso (ej. 001).
  • Descripción corta (Phishing Bancario).
  • Identificador del ticket SOC que generó la alerta.

Muestra el formulario Create a new case con los campos Case name, Short description y SOC ticket ID.

💡 Consejo forense: Mantén una nomenclatura uniforme (por ejemplo, CASE-YYYYMMDD-XXX) para que los reportes puedan correlacionarse con registros del SIEM y del sistema de tickets SOC.


⚙️ El panel de control: estructura y visibilidad total

Una vez creado el caso, IRIS despliega su Dashboard, que muestra el estado general: casos abiertos, tareas asignadas, evidencias registradas y su estado.
La interfaz es clara, jerárquica y orientada a la trazabilidad.

Captura del “Dashboard” con el resumen de casos abiertos y tareas.

🔎 Dato técnico:
Cada acción en IRIS (crear caso, añadir evidencia, modificar IOC) queda registrada con timestamp, usuario y tipo de operación. Esta trazabilidad es esencial para mantener la cadena de custodia.


📂 Registro de evidencias

Una de las secciones más potentes de IRIS es la de Evidence.
Aquí se documentan los archivos recolectados durante la respuesta al incidente: correos, logs, PCAPs, o imágenes forenses.

En el ejemplo del caso Phishing Bancario, el analista registró el correo fraudulento (email_001_body.txt), añadiendo los metadatos correspondientes:

Muestra el formulario Register Evidence con los campos Name, Type, Size (bytes), Hash, y Description.

IRIS permite calcular el hash localmente sin subir el archivo, asegurando la integridad y confidencialidad.
Los registros quedan reflejados en la tabla de evidencias:

Tabla con las evidencias registradas (Cabeceras email, Sumario, URLs), incluyendo tamaño, hash y tipo de log.

💡 Buenas prácticas DFIR:
Guarda los archivos originales en almacenamiento cifrado (p. ej. contenedor VeraCrypt o BitLocker) y usa IRIS solo para los metadatos, nunca para almacenar directamente la evidencia cruda.


🧠 Documentación técnica: las notas del caso

En la pestaña Notes, los analistas pueden redactar resúmenes, hipótesis, comandos utilizados o resultados intermedios.
Aquí se documenta el proceso analítico paso a paso, incluyendo los hashes verificados, los dominios identificados y los comandos forenses empleados (ej. tshark, whois, dig).

Muestra la nota “Paquete de artefactos forenses” donde se listan los archivos del caso, los comandos recomendados y las observaciones del análisis.

✍️ Recomendación:
Estructura las notas con encabezados (H2, H3) y usa listas o bloques de código. Esto facilita la revisión y exportación del informe final.


🌐 Gestión de assets y cuentas implicadas

IRIS permite asociar activos relacionados con el incidente: cuentas, dominios, hosts o direcciones IP.
En el caso de phishing, se registró la cuenta del atacante y el dominio fraudulento:

  • Tipo: Account
  • Nombre: [email protected]
  • Descripción: “Correo del atacante”
  • Dominio asociado: dominio-phish-example.tld

Formulario Add multiple assets mostrando los campos de tipo, nombre y dominio.

Tabla de assets donde figura la cuenta del atacante y su dominio relacionado.

🔍 Valor añadido:
Vincular los assets con las evidencias o IOCs permite trazar relaciones directas entre correos, dominios y flujos de red.


🧾 Añadiendo IOCs (Indicadores de Compromiso)

Una de las funciones clave de IRIS es el registro y clasificación de IOCs.
Estos elementos permiten compartir inteligencia táctica entre equipos SOC y DFIR.
En este ejemplo añadimos el dominio suplantado del atacante:

  • Tipo: Domain
  • Valor: dominio-phish-example.tld
  • TLP: Red (indicador confidencial)
  • Descripción: “Dominio suplantado”

Formulario Add IOC con el campo IOC Value y descripción técnica.

Tabla de IOCs mostrando el dominio con su tipo y nivel TLP (red).

💡 Tip técnico:
Aplica clasificación TLP adecuada según la sensibilidad del indicador.
Usa TLP:RED para datos internos del cliente, TLP:AMBER para compartir con partes confiables, o TLP:GREEN para divulgación sectorial.


🔗 Caso consolidado y generación de informes

Tras registrar todas las piezas (evidencias, assets, IOCs, notas), IRIS permite visualizar el caso completo y generar informes técnicos o ejecutivos automáticamente.

Vista final del caso consolidado con todas las pestañas sincronizadas.

El analista puede exportar un Activity Report o un Generate Report para documentación o entrega al cliente, manteniendo el formato estándar DFIR.


💡 Conclusión

IRIS representa un salto cualitativo en la forma de gestionar investigaciones forenses digitales:
No sustituye a las herramientas de análisis, las complementa, ofreciendo estructura, control y trazabilidad.

  • 📁 Centraliza toda la información del caso.
  • 🧩 Mejora la colaboración entre SOC, DFIR y Threat Intel.
  • 🔐 Mantiene la cadena de custodia mediante registros de acciones.
  • ⚙️ Automatiza reportes y correlación entre evidencias e IOCs.

En definitiva, IRIS es el puente entre la técnica forense y la gestión profesional de incidentes.
Un entorno que convierte el caos del análisis en una investigación documentada, auditable y lista para ser presentada en un tribunal o ante un cliente.



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *