Saltar al contenido principal
Threat Hunting y Blue Team: Caza de Amenazas con MITRE ATT&CK y la Pirámide del Dolor (2026)

Threat Hunting y Blue Team: Caza de Amenazas con MITRE ATT&CK y la Pirámide del Dolor (2026)

Threat hunting y Blue Team: pirámide del dolor, caza basada en hipótesis con MITRE ATT&CK, automatización y reglas SIEM/EDR. Metodología completa.

9 minCyberFlows Team
[Espacio publicitario — AdSense]

El threat hunting (caza de amenazas) es la búsqueda proactiva de adversarios en la red antes de que las alertas automáticas los detecten. No es esperar a que el SIEM alerte — es buscar activamente comportamientos anómalos basándose en hipótesis fundamentadas en inteligencia de amenazas.

El 48% de los SOCs describen su caza de amenazas como parcialmente automatizada según la encuesta SANS SOC 2025, a menudo limitada a análisis retroactivo con correlación manual. Este artículo presenta una metodología práctica basada en la Pirámide del Dolor de David Bianco, el framework MITRE ATT&CK, y el Threat Hunting Maturity Model.

1. La Pirámide del Dolor

Creada por David Bianco (SANS), la Pirámide del Dolor clasifica los indicadores de amenaza por el nivel de dificultad que supone para un adversario cambiarlos. Es el modelo conceptual más importante para priorizar qué buscar en una cacería.

                  /\        TTPs (Tácticas, Técnicas y Procedimientos)
                 /  \       Meses en cambiar — Caza comportamental
                /    \
               /      \     Herramientas
              /        \    Semanas en cambiar — Frameworks maliciosos
             /          \
            /            \  Artefactos de Host/Red
           /              \ Días en cambiar — Keys de registro, patrones URI
          /                \
         /                  \  Direcciones IP y Nombres de Dominio
        /                    \ Minutos-horas en cambiar — Infraestructura
       /                      \
      /________________________\ Hashes de archivo
                                 Segundos en cambiar — Fácilmente reemplazables

Leyendo la pirámide de abajo arriba:

  • Hashes (MD5/SHA1): detectan un solo archivo específico. El adversario cambia un byte y el hash es diferente. Son los indicadores menos valiosos para caza — caducan en segundos.
  • Direcciones IP y dominios: infraestructura barata y desechable. Un actor motivado rota direcciones y registra nuevos dominios como parte de su rutina.
  • Artefactos de host/red: una clave de registro específica, un named pipe, un User-Agent distintivo — son más molestos de cambiar pero siguen siendo ajustables.
  • Herramientas: negar a un adversario su malware o framework le obliga a buscar, comprar o construir un reemplazo. Es más doloroso.
  • TTPs: la cúspide. Las tácticas, técnicas y procedimientos describen cómo opera el adversario. Cambiarlos significa cambiar su tradecraft, requererir reentrenamiento y reconstruir memoria muscular. Es el nivel donde la caza produce resultados duraderos.

La implicación directa para la cacería: buscar en la cúspide de la pirámide (TTPs) produce resultados que siguen siendo válidos incluso cuando el adversario cambia de infraestructura. Una regla que detecta "el patrón comportamental del credential dumping" sigue detectando credential dumping sin importar qué herramienta, IP o hash se use para hacerlo.

2. Metodología de Caza Basada en Hipótesis

La caza de amenazas sigue un ciclo de 4 pasos:

Paso 1: Formular una Hipótesis

Una hipótesis bien formada identifica tres cosas:

  1. El comportamiento del adversario que se sospecha (basado en inteligencia de amenazas o un TTP conocido de MITRE ATT&CK)
  2. Las fuentes de datos necesarias para probarlo
  3. Los indicadores comportamentales que confirmarían o refutarían la hipótesis

Ejemplos de hipótesis:

  • "Un adversario está realizando credential dumping mediante volcado de memoria LSASS en servidores Windows, lo que se manifestaría como acceso inusual al proceso lsass.exe desde un proceso no legítimo (Event ID 10 de Sysmon)."
  • "Un grupo de ransomware está utilizando Cobalt Strike para movimiento lateral, lo que se manifestaría como picos de tráfico HTTPS a IPs no categorizadas en rangos horarios inusuales."
  • "Un actor persistente está utilizando tareas programadas como mecanismo de persistencia en servidores de aplicaciones, detectables como Event ID 4698 (tarea programada creada) desde cuentas de servicio no administradas."

Paso 2: Ejecutar la Cacería

Buscar en logs, telemetría de endpoints y datos de red los patrones comportamentales que coincidan con la hipótesis.

Fuentes de datos recomendadas por tipo de hipótesis:

Hipótesis Fuente de datos principal Herramientas
Movimiento lateral Logs de autenticación (Event ID 4624), logs RDP (Event ID 1149) SIEM, EDR
Credential dumping Sysmon Event ID 10 (process access), Event ID 8 (CreateRemoteThread) Sysmon, EDR
Exfiltración de datos Logs de proxy, logs DNS, VPC Flow Logs SIEM, NDR
Persistencia Event ID 4698 (tarea programada), Event ID 7045 (servicio) SIEM
Comando y control (C2) Logs de proxy, logs DNS, registros de red NDR, Zeek, SIEM

Paso 3: Analizar los Hallazgos

  • Hipótesis confirmada: se ha encontrado evidencia de la actividad sospechosa. Pasar a respuesta a incidentes.
  • Hipótesis refutada: no se ha encontrado evidencia. No es una cacería fallida — significa que el comportamiento no está presente en el entorno, o que existe una brecha de visibilidad que debe documentarse.
  • Brecha de datos: no se pudo probar la hipótesis porque faltan las fuentes de datos necesarias. Documentar la brecha como recomendación de mejora.

Paso 4: Operationalizar

El paso más importante y el que más se salta. Una cacería que no produce cambios en las reglas de detección es una oportunidad perdida.

  • Si la hipótesis se confirmó: crear una regla SIEM o política EDR para detectar automáticamente ese comportamiento
  • Si se detectaron brechas de visibilidad: priorizar la implementación de nuevas fuentes de datos
  • Si la hipótesis se refutó: documentar la cobertura validada en la matriz de detección

3. Mapeo a MITRE ATT&CK

MITRE ATT&CK proporciona el lenguaje común para describir comportamientos de adversarios. Cada cacería debe mapearse a técnicas ATT&CK específicas.

Ejemplo de cacería completa mapeada a ATT&CK:

Táctica Técnica ID Indicador comportamental
Credential Access OS Credential Dumping: LSASS Memory T1003.001 Proceso no legítimo (no es lsass.exe, winlogon.exe) abre un handle a lsass.exe con acceso PROCESS_VM_READ
Execution Windows Management Instrumentation T1047 WMI ejecutándose desde una cuenta de usuario que no es administrador del sistema
Persistence Scheduled Task/Job T1053.005 Creación de tarea programada desde cuenta de servicio no autorizada
Defense Evasion Process Hollowing T1055.012 Proceso legítimo (ej: svchost.exe) con código en sección ejecutable que no coincide con el binario original en disco

4. Niveles de Madurez de Caza (Threat Hunting Maturity Model)

David Bianco define 4 niveles de madurez:

Nivel Descripción Capacidad
HM-0 Inicial Dependencia exclusiva de alertas automatizadas
HM-1 Basado en IOC Caza reactiva usando indicadores conocidos (hashes, IPs)
HM-2 Basado en datos Caza analítica usando datasets completos (logs, eventos)
HM-3 Basado en hipótesis Caza impulsada por inteligencia de amenazas y TTPs de ATT&CK

El salto de HM-2 a HM-3 es el más difícil: requiere un proceso estructurado de generación de hipótesis, una biblioteca de hipótesis documentada, y un pipeline de inteligencia de amenazas que alimente las hipótesis.

5. Automatización de Cacerías

En 2026, la automatización de caza de amenazas es una capacidad crítica. Los SOCs maduros automatizan:

  • Enriquecimiento automático de IoCs: al recibir un feed de threat intelligence, correlacionar automáticamente contra logs históricos
  • Detección de TTPs mediante reglas comportamentales: reglas Sigma traducidas a consultas SIEM que se ejecutan en ventanas de tiempo definidas
  • Hunting loops: consultas programadas que buscan patrones conocidos de adversarios y generan hallazgos cuando se superan umbrales
  • AI-augmented triage: clasificación automática de hallazgos por severidad, priorizando TTP-level indicators sobre IoCs triviales
# Ejemplo de regla Sigma para detección de credential dumping
title: LSASS Access from Non-Standard Process
id: 123e4567-e89b-12d3-a456-426614174000
description: Detects suspicious access to LSASS process memory
status: experimental
logsource:
  product: windows
  service: sysmon
detection:
  selection:
    EventID: 10
    TargetImage: 'C:\Windows\system32\lsass.exe'
    GrantedAccess: '0x1FFFFF'  # FULL access rights
  filter:
    SourceImage:
      - 'C:\Windows\system32\lsass.exe'
      - 'C:\Windows\system32\winlogon.exe'
      - 'C:\Program Files\*'
  condition: selection and not filter

6. La Biblioteca de Hipótesis

Una biblioteca de hipótesis documentada previene el esfuerzo redundante y construye memoria institucional. Cada hipótesis debe incluir:

Hipótesis: HT-2026-001
Título: Detección de Kerberoasting mediante fan-out de SPN
Técnica ATT&CK: T1558.003 (Kerberoasting)
Fuente de datos: Event ID 4769 (Windows Security Log)
Hipótesis: Un atacante con cuenta de dominio está solicitando tickets TGS 
  para múltiples SPNs en un período corto de tiempo para crackear offline
Queries:
  - EventID=4769 | stats dc(ServiceName) as SPNs by Account_Name, bin(_time, 5m) | where SPNs > 5
Estado: En producción
Última ejecución: 2026-07-01
Hallazgos: 3 detecciones en el último trimestre, 1 confirmado como adversario
Regla SIEM asociada: RULE-SIEM-4769-FANOUT

Checklist de Threat Hunting

Proceso

  • Biblioteca de hipótesis con 20+ hipótesis documentadas y priorizadas
  • Cadencia definida (mínimo 2 cacerías estructuradas al mes, 1 exploratoria por trimestre)
  • Validación de disponibilidad de datos antes de cada cacería
  • SLA para operationalización: hallazgos revisados y reglas creadas en 10 días hábiles
  • Matriz de cobertura actualizada tras cada ciclo de cacería
  • Inteligencia de amenazas impulsando al menos el 60% de la priorización de hipótesis

Colaboración

  • Handoff formal entre caza y detection engineering (ticket, revisión, regla)
  • Revisión trimestral de hipótesis con inteligencia de amenazas actualizada
  • Ejercicios de mesa que simulan TTPs específicos de adversarios conocidos

Herramientas

  • EDR desplegado en 100% de endpoints con telemetría completa
  • SIEM con reglas Sigma traducidas a consultas activas
  • Logs de autenticación, procesos, red y DNS disponibles centralizadamente
  • Herramienta de edición de consultas (Jupyter, Kibana Query Language, Kusto)

Conclusión

La Pirámide del Dolor enseña que cazar en el nivel de TTPs produce resultados duraderos, mientras que perseguir hashes e IPs es una carrera de ratas que el adversario siempre gana. La metodología de caza basada en hipótesis — formular, ejecutar, analizar, operationalizar — convierte la caza de amenazas de un ejercicio ad-hoc en una capacidad de SOC repetible y medible. La madurez HM-3, donde las hipótesis se derivan sistemáticamente de inteligencia de amenazas, es el objetivo de todo equipo Blue Team que quiera detectar adversarios antes de que sea demasiado tarde.

Artículos Relacionados

Aviso legal: Este contenido es estrictamente educativo. CyberFlows no apoya actividades ilegales. Úsalo solo en entornos autorizados.

[Espacio publicitario — AdSense]

Newsletter de Ciberseguridad

Resumen semanal con los mejores artículos, CVEs críticos y tendencias del mercado. Sin spam.

🔒 Tu email no se compartirá. Puedes darte de baja en cualquier momento.