Saltar al contenido

Próxima edición 6 de julio de 2026

Seguridad defensiva

Caza de Amenazas

Disciplina proactiva de ciberseguridad en la que analistas formulan hipótesis, buscan e investigan amenazas que han evadido las defensas existentes, usando telemetría, inteligencia de amenazas y modelos de comportamiento adversario para detectar atacantes ya presentes en el entorno.

Autor
Unihackers Team
Tiempo de lectura
2 min de lectura
Última actualización

Por Qué Importa

Las tecnologías de detección no pueden capturar todos los ataques. Adversarios sofisticados se mezclan con la actividad normal, abusan de herramientas legítimas (living-off-the-land) y operan lentamente para evadir umbrales. El IBM Cost of a Data Breach Report muestra que el dwell time mediano supera los 200 días sin programas activos de hunting.

El threat hunting cambia el cálculo: en lugar de esperar alertas, los hunters asumen el compromiso y buscan evidencia. Programas maduros documentan cientos de detecciones originadas en cazas humanas.

El Ciclo

1. Formular Hipótesis

Específica y comprobable, derivada de threat intelligence, incidentes recientes o técnicas de MITRE ATT&CK.

2. Investigar con Datos

Tirar telemetría EDR, identidad, red y cloud. Aplicar análisis de frecuencia, stack counting, outliers, líneas de tiempo.

hunt-ejemplo.kql
KQL
// Hunt KQL para WMI sospechoso
DeviceProcessEvents
| where Timestamp > ago(7d)
| where ProcessCommandLine has_any ("wmic", "Invoke-WmiMethod")
| where ProcessCommandLine has_any ("process call create", "/node:")
| summarize Count=count(), Devices=dcount(DeviceName) by InitiatingProcessAccountName
| where Devices >= 3
| order by Count desc

3. Documentar

Hipótesis confirmada, refutada o inconclusa, documenta qué aprendiste.

4. Ingeniería de Detección

Convierte cazas exitosas en detecciones automáticas (Sigma, EDR custom, correlaciones SIEM).

5. Hand-off

Compromisos confirmados van a respuesta a incidentes. El ciclo se repite.

Metodologías

EnfoqueDescripciónCuándo Usar
HipótesisTTP-basedProgramas maduros
InteligenciaIOCs de informesTras avisos dirigidos
AnomalíaOutliers estadísticosThreat intel limitada
Crown jewelsActivos críticosRecursos limitados
HíbridoCombinaciónProgramas reales

Pirámide del Dolor

Hipótesis Comunes

  • Acceso sospechoso a LSASS (T1003)
  • Binarios sin firmar desde temp
  • PowerShell anómalo con comandos codificados
  • Relaciones padre-hijo inusuales
  • Patrones de beaconing DNS
  • Logon interactivo de cuentas de servicio
  • Tareas programadas con privilegios elevados

Construir un Programa

  1. Establecer baselines.
  2. Adoptar MITRE ATT&CK.
  3. Centralizar telemetría (90+ días).
  4. Cazas regulares documentadas.
  5. Medir resultados: detecciones desplegadas, dwell time.

Conceptos Relacionados

En el Bootcamp

Cómo enseñamos Caza de Amenazas

En nuestro Cybersecurity Bootcamp, no solo aprenderás sobre Caza de Amenazas en teoría. Practicarás con herramientas reales en laboratorios prácticos, guiado por profesionales de la industria que usan estos conceptos a diario.

Cubierto en:

Módulo 8: Operaciones de Seguridad Avanzadas

Temas relacionados que dominarás:Respuesta a IncidentesDFIRThreat HuntingVolatility
Ver Cómo enseñamos esto

360+ horas de formación experta • CompTIA Security+ incluido