Glosario
Qué es C2 (mando y control): el canal que usan los atacantes para controlar un dispositivo tras una brecha
C2 (Command and Control, mando y control) es el canal que un dispositivo comprometido usa para 'llamar a casa' al servidor del atacante, recibir órdenes y exfiltrar datos. Cómo detectarlo (balizas, DNS) y defenderse (control de salida, IOC/IOA).
"Después de una brecha, ¿cómo sigue el atacante controlando el dispositivo?" Ese tráfico es C2. Aquí tienes cómo funciona y cómo detectarlo y detenerlo (sin herramientas de ataque ni detalles operativos).
Dónde encaja en el flujo del ataque
El C2 no es la brecha en sí: viene después de ella.
El punto importante: el tráfico saliente de (2) es la oportunidad de detectar y cortar. Prevenir una brecha al 100 % es difícil, pero hay margen para notarla y detenerla en la salida.
Cómo detectarlo (pistas)
| Pista | Qué mirar |
|---|---|
| Balizas (tráfico periódico) | Tráfico saliente regular hacia el mismo destino a intervalos |
| Destinos desconocidos | Dominios/IPs sospechosos (cotejar contra maliciosos conocidos = IOC) |
| DNS extraño | Consultas a dominios desconocidos; DNS anormalmente intenso |
| Rutas inesperadas | Tráfico saliente por puertos/protocolos inesperados |
Cómo defenderse
No sufrir la brecha en primer lugar (la base)
Restringir la salida (egress)
Monitorear los registros de DNS y de tráfico
Cotejar y bloquear destinos maliciosos conocidos
La opinión de este sitio: defiende la 'salida', no solo la entrada — y confirmar que 'no hay C2' es parte de la investigación
La mayor lección que aporta el concepto de C2 es que la defensa no está solo en la entrada (la brecha). Aun cuando la prevención perfecta es difícil, hay margen para restringir la salida (el tráfico saliente) y notar llamadas de retorno sospechosas. En este sitio mantenemos "un diseño que no sufra brechas (parcheo, mínimo privilegio, MFA)" como objetivo principal, mientras conservamos el control de salida y el monitoreo de tráfico como última línea. Ten en cuenta que, cuando se sospecha una brecha, confirmar que no hay C2 residente (una puerta trasera o tráfico periódico ilícito) es un paso clave: para concluir que "el impacto fue limitado" no puedes saltarte la revisión del lado de la salida.
Sigue leyendo
- Glosario: Qué es RCE · Qué es un IOC · Qué es un IOA · Qué es el ransomware
FAQ
Q¿Qué es C2 (mando y control)?
Es el canal de control remoto que un dispositivo comprometido (un PC/servidor infectado con malware o tomado mediante una vulnerabilidad) usa para 'llamar a casa' al servidor del atacante: para recibir órdenes y enviar datos robados. En el flujo de un ataque, es la fase posterior a que una brecha (p. ej. RCE) tenga éxito, usada para seguir controlando el dispositivo.
Q¿Cómo se puede detectar el C2?
La clave es el tráfico saliente. Un dispositivo infectado suele enviar un 'latido' periódico (una baliza) al servidor del atacante a intervalos regulares. El tráfico periódico regular hacia un destino inusual, las consultas DNS a dominios desconocidos y el tráfico saliente por puertos/protocolos inesperados son pistas. Puedes detectarlos mediante rastros (IOC) o comportamiento (IOA).
Q¿Cuáles son los fundamentos para defenderse del C2?
(1) No sufrir la brecha en primer lugar (parcheo, mínimo privilegio, MFA); (2) restringir la salida —'filtrado de salida' que limita el tráfico saliente—; (3) monitorear los registros de DNS y de tráfico para notar tráfico periódico o destinos sospechosos; (4) cotejar destinos C2 maliciosos conocidos (IOC) de feeds de amenazas y bloquearlos. La idea clave: una brecha puede detenerse no solo en la entrada, sino también en la salida.