sábado, 14 de marzo de 2026

Aplicar inteligencia de amenazas para mejorar la seguridad de la organización (8)


Introducción

Este capítulo explica cómo usar la inteligencia de amenazas y la caza de amenazas (threat hunting) para que la seguridad de una organización sea más efectiva y menos reactiva. La idea central es pasar de “apagar fuegos” continuamente a anticiparse a los ataques, entendiendo mejor a los adversarios y cómo operan.

Ideas principales

  • Qué es la inteligencia de amenazas y a qué “niveles” se aplica (estratégico, operativo y táctico).

  • Cómo hacer investigación de amenazas: reputación, comportamiento y uso de indicadores de compromiso (IoC).

  • Qué es CVSS y cómo ayuda a priorizar vulnerabilidades.

  • Qué es el threat modeling (modelado de amenazas) y metodologías como STRIDE y PASTA.

  • Cómo la inteligencia de amenazas apoya funciones clave: respuesta a incidentes, gestión de vulnerabilidades, gestión de riesgos, ingeniería y monitorización.

  • Qué es el threat hunting, su ciclo de vida y el enfoque “assume breach” (asumir compromiso).

  • Tácticas, técnicas y procedimientos (TTPs) que se suelen buscar durante la caza de amenazas (acceso inicial, persistencia, movimiento lateral, C2, exfiltración).

  • Técnicas de análisis de datos para hunting: búsqueda, agrupación, clustering, stacking, etc.

  • Cómo integrar la gestión de vulnerabilidades con threat hunting e inteligencia de amenazas.

  • Áreas de foco al hacer hunting: configuraciones, redes aisladas, activos críticos, defensas activas, honeypots.

Explicación de conceptos clave con ejemplos y analogías

1. Inteligencia de amenazas: niveles estratégico, operativo y táctico

Piensa en la seguridad como un ejército que se prepara para un enemigo: necesitas saber quién es, qué quiere y cómo se mueve.
En ciberseguridad se trabaja en tres niveles:

  • Estratégico:
    Es la “vista desde el helicóptero”.

    • Dirigido a directivos (CISO, directores, alta dirección).

    • Habla de tendencias, regulaciones, impacto financiero, sectores más atacados.

    • No es muy técnico; sirve para decidir presupuestos, prioridades y políticas.
      Analogía: como el ayuntamiento que decide dónde poner más comisarías según las zonas más conflictivas.

  • Operativo:
    Traduce la estrategia en planes concretos.

    • Define qué se va a proteger, de quién, durante cuánto tiempo, con qué recursos.

    • Ayuda a decidir dónde poner sensores, qué sistemas monitorizar más, qué campañas de parcheo hacer primero.
      Analogía: el jefe de policía que decide cuántos agentes patrullan cada barrio y en qué horarios.

  • Táctico:
    Es el nivel “a pie de calle”, el SOC y los analistas.

    • Se centra en TTPs: cómo atacan concretamente (comandos, herramientas, patrones de tráfico, etc.).

    • Sirve para reglas de firewall, IDS/IPS, EDR, firmas, correlaciones en SIEM.
      Analogía: el agente que decide en una intervención concreta si detiene a alguien, pide refuerzos o corta una calle.

La inteligencia de calidad fluye entre estos niveles: lo que se descubre en el nivel táctico puede cambiar decisiones en el nivel operativo o estratégico.

2. Investigación de amenazas: reputacional, comportamental e IoC

Cuando ves un artefacto sospechoso (IP, dominio, fichero) te haces preguntas básicas: ¿es benigno?, ¿lo ha visto alguien antes?, ¿por qué está en mi sistema?

2.1 Datos reputacionales

Servicios de reputación asignan puntuaciones a IPs, dominios y URLs según si se han visto en malware, spam, phishing, C2, etc.

  • Ejemplos: Talos (Cisco), VirusTotal, Google Safe Browsing.

  • Ayudan a filtrar ruido y bloquear tráfico de alta probabilidad maliciosa.

Analogía: como consultar el historial de un coche de segunda mano; si ves que ha tenido muchos accidentes, sospechas.

2.2 Análisis comportamental (sandbox)

En vez de abrir un ejecutable directamente, lo metes en un “acuario” (sandbox) y observas qué hace.

  • Herramientas como Cuckoo Sandbox o REMnux permiten ver conexiones, cambios de registro, ficheros creados, etc.

  • Los malware cada vez detectan mejor si están en una VM e intentan “portarse bien” para no ser detectados.

Analogía: antes de dejar entrar un animal exótico en tu casa, lo observas en una jaula controlada para ver si es agresivo.

2.3 Indicadores de compromiso (IoC) y Pirámide del Dolor

Un IoC es cualquier artefacto (hash, IP, dominio, string, comportamiento…) que indica posible compromiso, siempre con datos + contexto.

Ejemplos:

  • Una IP por sí sola ➜ ❌
  • Una IP asociada a un grupo APT y conectándose a tu servidor a las 3:00am ➜ ✔ IoC útil
  • Un hash suelto ➜ ❌
  • Un hash detectado en tu endpoint y clasificado como parte de “Emotet” ➜ ✔ IoC

David Bianco propuso la Pyramid of Pain para clasificar IoCs según el esfuerzo que le haces gastar al atacante cuando lo detectas:



  • Parte baja:

    • Hashes, IPs, dominios: fáciles de detectar, pero también fáciles de cambiar para el atacante.

  • Parte alta:

    • Artefactos de red/host y TTPs: más difíciles de detectar, pero obligan al atacante a cambiar casi todo su modo de operar.

Analogía:

  • Perseguir matrícula de coche (hash/IP): el criminal solo cambia de coche.

  • Perseguir su forma de actuar (TTP): ya tiene que cambiar de ciudad, hábitos y contactos.

Como analista, interesa centrarse en la parte alta de la pirámide siempre que se pueda.

3. CVSS: cómo medir la gravedad de una vulnerabilidad

CVSS (Common Vulnerability Scoring System) es el estándar de facto para puntuar la severidad de una vulnerabilidad.

  • Ayuda a comunicar, de forma numérica, cuán grave es una vulnerabilidad.

  • Tiene tres grupos de métricas:

    • Base: características que no cambian (tipo de acceso, impacto en confidencialidad, etc.).

    • Temporal: factores que cambian en el tiempo (si existe exploit público, solución oficial, etc.).

    • Environmental: dependen del entorno del usuario (importancia del sistema afectado, controles adicionales, etc.).



Punto clave: una vulnerabilidad con CVSS alto no siempre es la más explotada en el mundo real; threat intelligence ayuda a ver qué se está explotando de verdad.

Analogía: CVSS es como la escala de gravedad de un parte médico; te indica lo grave que es una lesión, pero el contexto (edad, otras enfermedades) cambia la prioridad de tratamiento.

4. Threat modeling: pensar como el atacante

El modelado de amenazas consiste en crear un “mapa mental” del sistema y de los posibles atacantes para identificar puntos débiles antes de que ocurra un incidente.

  • Se recomienda hacerlo desde fases tempranas del ciclo de desarrollo (SDLC) y de forma continua.

  • Analiza: capacidad del adversario, superficie de ataque, vectores, probabilidad (likelihood) e impacto.

Analogía: antes de construir una casa, el arquitecto piensa desde el punto de vista del ladrón: por dónde podría entrar, qué ventanas son más débiles, qué zonas están menos iluminadas, etc.

4.1 STRIDE

STRIDE (de Microsoft) clasifica amenazas en seis categorías:

  • Spoofing (suplantación).

  • Tampering (manipulación de datos).

  • Repudiation (repudio de acciones).

  • Information disclosure (divulgación de información).

  • Denial of service (denegación de servicio).

  • Elevation of privilege (elevación de privilegios).

Se usa sobre diagramas de flujo, componentes y eventos del sistema, tanto lógicos como físicos.

Analogía: es como una checklist de fallos posibles en una casa: puerta falsa identidad (Spoofing), romper cerraduras (Tampering), negar que entraste (Repudiation), mirar por la ventana (Information disclosure), bloquear la puerta (DoS), colarse en el dormitorio privado (Elevation of privilege).

4.2 PASTA

PASTA (Process for Attack Simulation and Threat Analysis) es un modelo centrado en el riesgo y alineado con objetivos de negocio.

  • Tiene 7 etapas (definir objetivos, descomponer aplicación, analizar amenazas, vulnerabilidades, etc.).

  • Implica a operaciones, gobierno, arquitectura y desarrollo.

Analogía: no es solo revisar cerraduras; es pensar “¿qué perdería el negocio si roban esto?”, “¿cuánto costaría repararlo?”.

5. Cómo usa la organización la inteligencia de amenazas

5.1 Respuesta a incidentes

Los equipos de IR necesitan rapidez y precisión.

  • La inteligencia permite crear playbooks y automatizar parte de la respuesta.

  • Ayuda a reducir el tiempo de detección, contención y erradicación, y a disminuir errores humanos.

Analogía: como tener protocolos de emergencia claros para bomberos; saben qué hacer según el tipo de fuego sin improvisar cada vez.

5.2 Gestión de vulnerabilidades

Los equipos de vulnerabilidades viven de la priorización.

  • Bases como NVD te dicen qué vulnerabilidades existen.

  • La inteligencia te dice qué vulnerabilidades se están explotando realmente ahora.

Analogía: no es lo mismo una puerta teóricamente débil que una puerta que sabes que los ladrones de tu barrio están atacando esta semana.

5.3 Gestión de riesgos

Para describir un riesgo hacen falta: capacidad, intención y oportunidad del atacante.
La inteligencia responde a esas tres cosas y permite estimar qué ataques son más probables y qué impacto tendrían.

Analogía: un seguro de hogar calcula el riesgo según: capacidad del ladrón (herramientas), intención (nivel de delincuencia) y oportunidad (si tu casa está aislada, sin alarma, etc.).

5.4 Ingeniería y monitorización de seguridad

Los ingenieros de seguridad usan la inteligencia para:

  • Ajustar reglas de firewall, IDS/IPS, EDR.

  • Decidir dónde colocar sensores y qué logs recoger.

  • Rediseñar arquitecturas inseguras.

Analogía: como poner más cámaras en zonas donde sabes que está actuando una banda concreta.

6. Threat hunting: caza de amenazas

El threat hunting es una actividad proactiva: buscar evidencia de atacantes que ya podrían estar dentro, aunque no haya alertas claras.

  • Requiere habilidades en red, malware, forense, SIEM, etc., por eso muchos equipos lo consideran una capacidad “avanzada”.

  • Suele mejorar notablemente la eficacia de la detección y reducir falsos positivos, según encuestas como la de SANS.

Analogía: en vez de esperar a que salte la alarma de tu casa, haces rondas periódicas por el edificio buscando puertas forzadas, cámaras tapadas o comportamientos raros.

6.1 “Assume breach”: asumir compromiso

El cambio de mentalidad clave es asumir que ya estás comprometido.

  • Se abandona la idea de “si no vemos nada, no pasa nada”.

  • Se acepta que no hay sistemas 100% seguros y que los atacantes pueden permanecer ocultos mucho tiempo.

Analogía: en lugar de suponer que nunca habrá cucarachas porque limpias mucho, haces inspecciones periódicas como si pudieran estar escondidas en algún sitio.

6.2 Fases del proceso de hunting

El capítulo presenta un ciclo de cuatro fases similar al ciclo de inteligencia:

  1. Establecer hipótesis:

    • Hipótesis clara, basada en algo observable (no solo intuición) y que se pueda probar.

    • Fuentes: logs, inteligencia, incidentes previos, informes externos, etc.

  2. Perfilado de actores y actividades:

    • Uso de MITRE ATT&CK para entender tácticas y técnicas según la fase del ataque (reconocimiento, acceso inicial, persistencia, etc.).

  3. Búsqueda y análisis de datos:

    • Consultas, clustering, grouping, stacking, uso de SIEM, EDR, scripts, incluso hojas de cálculo.

  4. Entrega de resultados y documentación:

    • Definir criterios de fin de caza (qué es “suficiente”).

    • Documentar hipótesis, pasos, hallazgos y mejoras para el futuro.

Analogía: un detective formula una teoría, investiga patrones, analiza evidencia y luego hace un informe detallado, incluso si no consigue condena, para futuros casos.

7. TTPs frecuentes que se investigan en hunting

7.1 Acceso inicial y descubrimiento

Se busca actividad de enumeración: nmap, net.exe, listas de usuarios, grupos, redes, etc.

Analogía: un ladrón que primero da vueltas por el barrio, mira horarios, cámaras, puertas traseras.

7.2 Persistencia

El atacante quiere seguir dentro después de reinicios.

  • En Windows: tareas programadas, claves de registro, DLL injection.

  • En macOS: LaunchAgents en la carpeta Library del usuario.

Analogía: esconder una copia de la llave bajo la alfombra o manipular el portero automático para entrar cuando quiera.

7.3 Movimiento lateral y escalada de privilegios

Típicos ejemplos:

  • Pass-the-Hash: usar hashes de contraseña sin conocer la contraseña en claro.

  • Uso abusivo de RDP con credenciales válidas para saltar entre sistemas.

Analogía: robar un mando de garaje (hash) para entrar a varios pisos sin conocer el código exacto.

7.4 Comando y control (C2)

El malware suele hablar con un servidor de mando usando puertos/protocolos comunes para camuflarse.

  • A veces usan puertos poco habituales si saben que los más comunes están muy monitorizados.

Analogía: un ladrón que se mezcla con turistas en una calle muy transitada para pasar desapercibido.

7.5 Exfiltración (robo de datos)

Técnicas sigilosas como DNS tunneling o dominios generados por algoritmo (DGA) con alta entropía.

  • Los defensores pueden analizar la “aleatoriedad” de los dominios para detectar actividad extraña.

Analogía: enviar mensajes secretos usando palabras aparentemente aleatorias en postales, que solo tienen sentido para el receptor.

8. Técnicas de análisis de datos en hunting

  • Búsqueda (searching): consultas bien diseñadas para no tener demasiados ni muy pocos resultados.

  • Clustering: agrupar datos que se parecen entre sí sin definir previamente las categorías.

  • Grouping: agrupar según características que defines tú (por ejemplo, por usuario o por host).

  • Stacking (stack counting): contar cuántas veces aparece un valor y mirar los extremos (outliers).

Analogía: revisar extractos bancarios:

  • búsqueda: filtrar pagos > 1000;

  • grouping: agrupar gastos por tienda;

  • clustering: ver meses con patrones similares;

  • stacking: ver qué cargos son raros (muy pocos o muy grandes).

9. Integrar gestión de vulnerabilidades y hunting

La caza de amenazas ayuda a descubrir activos desconocidos, vulnerabilidades no gestionadas y huecos en los inventarios.

  • Herramientas como Nessus listan vulnerabilidades por host y por tipo.

  • Un atacante también puede usar esos escáneres para elegir objetivos prioritarios.

Principales vectores repetidos una y otra vez: malware, explotación de vulnerabilidades, ingeniería social e insiders.

Analogía: tanto el ladrón como el dueño pueden usar el mismo plano de la casa; la diferencia está en quién actúa antes.

10. Áreas clave a revisar: “dónde mirar primero”

10.1 Configuraciones y misconfiguraciones

  • Revisar baselines de switches, routers, firewalls, servidores, estaciones de trabajo.

  • Vigilar cambios de configuración fuera del proceso normal: nuevas reglas, puertos abiertos, privilegios extra.

Analogía: revisar periódicamente las cerraduras y que nadie haya añadido “llaves maestras” sin permiso.

10.2 Redes aisladas

  • Segmentos físicos o lógicos (VLAN, cifrado punto a punto) con información muy sensible.

  • Pueden relajarse controles por estar “aisladas”, pero siguen siendo atacables (conexiones esporádicas, USBs, etc.).

10.3 Activos y procesos críticos de negocio

  • Procesos como nóminas, pagos, transferencias bancarias.

  • Buscar accesos no autorizados, transacciones anómalas, patrones inusuales.

10.4 Defensa activa: revisar las propias defensas

  • Firewalls, IDS/IPS, SIEM, EDR son objetivos prioritarios para el atacante.

  • Deben tener controles de acceso más estrictos y monitorización más fuerte.

10.5 Honeypots y honeynets

  • Sistemas señuelo que parecen interesantes pero no contienen datos críticos.

  • Permiten observar técnicas del atacante y ganar tiempo para proteger el resto de la red.

Analogía: una caja fuerte falsa llena de billetes de mentira mientras la verdadera está en un lugar menos obvio.

Conclusión / recordatorio para el estudio

  • La inteligencia de amenazas aporta contexto para tomar mejores decisiones a todos los niveles (estratégico, operativo y táctico).

  • El modelado de amenazas (STRIDE, PASTA) te obliga a pensar como el adversario y a reforzar el diseño antes de que te ataquen.

  • CVSS te da una medida estándar de gravedad, pero necesitas inteligencia de amenazas para saber qué se explota realmente.

  • Threat hunting es proactivo, se basa en el enfoque assume breach y requiere hipótesis claras, buen conocimiento de TTPs y capacidad de análisis de datos.

  • Las salidas de la caza (nuevas reglas, sensores, mejoras de procesos) alimentan al SOC, a la gestión de vulnerabilidades y al equipo de riesgos.

Para repasar de cara al examen CySA+:

  • Ten muy claros los niveles de inteligencia (estratégico/operativo/táctico).

  • Recuerda la definición de IoC (dato + contexto).

  • Aprende qué es CVSS y sus métricas base, temporal y ambiental.

  • Diferencia STRIDE vs PASTA.

  • Entiende el concepto de “assume breach” y el papel de MITRE ATT&CK en threat hunting.

  • Repasa TTPs de acceso inicial, persistencia, movimiento lateral, C2 y exfiltración.

Glosario breve

  • Inteligencia de amenazas: información sobre atacantes, sus objetivos y sus técnicas, utilizada para tomar decisiones de seguridad más informadas.

  • Nivel estratégico: inteligencia orientada a la alta dirección, habla de riesgos, impacto y tendencias, no de detalles técnicos.

  • Nivel operativo: inteligencia que ayuda a planificar y asignar recursos de seguridad a medio plazo.

  • Nivel táctico: inteligencia centrada en TTPs y detalles técnicos que sirven para reglas, firmas y detecciones concretas.

  • IoC (Indicator of Compromise): artefacto (hash, IP, dominio, patrón) que indica posible actividad maliciosa cuando se interpreta con contexto.

  • TTP (Tactics, Techniques and Procedures): forma concreta en que actúan los atacantes (qué hacen, cómo y con qué herramientas).

  • CVSS: estándar para puntuar la severidad de vulnerabilidades en una escala numérica.

  • Threat modeling: proceso de analizar un sistema y los posibles atacantes para encontrar y priorizar amenazas.

  • STRIDE: modelo de clasificación de amenazas en seis categorías (Spoofing, Tampering, Repudiation, Information disclosure, DoS, Elevation of privilege).

  • PASTA: metodología de modelado de amenazas centrada en el riesgo y el negocio, con siete etapas.

  • Threat hunting: búsqueda proactiva de actividad maliciosa en un entorno, asumiendo que puede haber atacantes ya dentro.

  • Assume breach: mentalidad que parte de la idea de que el entorno ya puede estar comprometido, aunque no haya evidencias visibles.

  • MITRE ATT&CK: base de conocimiento pública de tácticas y técnicas de atacantes basada en observaciones reales.

  • C2 (Command and Control): canal de comunicación que usa el malware para recibir órdenes del atacante y enviarle información.

  • DNS tunneling: técnica de exfiltración o C2 que usa peticiones DNS para ocultar datos.

  • Clustering: técnica estadística para agrupar datos similares sin definir previamente las categorías.

  • Stacking: técnica que cuenta ocurrencias de valores para encontrar outliers que puedan ser sospechosos.

  • Honeypot: sistema señuelo diseñado para atraer ataques y observar la actividad del atacante sin poner en riesgo activos reales.

at

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Aplicar inteligencia de amenazas para mejorar la seguridad de la organización (8)

Introducción Este capítulo explica cómo usar la inteligencia de amenazas y la caza de amenazas (threat hunting) para que la seguridad de ...