Dominar la Búsqueda de Amenazas: Una Guía Práctica
Guía Publicado 6 jul 2026

Dominar la Búsqueda de Amenazas: Una Guía Práctica

Aprende un enfoque estructurado y basado en hipótesis para la búsqueda de amenazas, desde fuentes de datos hasta técnicas que descubren adversarios ocultos.

La búsqueda de amenazas invierte el modelo de seguridad tradicional: en lugar de esperar alertas, asumes proactivamente que hay compromiso y buscas evidencia. Cuando se hace bien, atrapa adversarios que se escapan de las defensas automatizadas. Esta guía te lleva a través de un proceso práctico y repetible que puedes aplicar independientemente del tamaño de tu organización o conjunto de herramientas.

Por Qué Importa la Búsqueda

La detección basada en firmas e incluso la mayoría de los análisis de comportamiento solo detectan patrones conocidos como maliciosos o anomalías obvias. Los atacantes hábiles operan deliberadamente por debajo de ese umbral, usando herramientas legítimas (binarios de living-off-the-land), credenciales válidas y movimientos lentos y pacientes. La búsqueda de amenazas cierra esa brecha al permitir que un analista humano forme hipótesis sobre el comportamiento del atacante y busque activamente evidencia de apoyo en tu telemetría.

Construye un Proceso Basado en Hipótesis

Las búsquedas efectivas comienzan con una hipótesis específica y comprobable en lugar de una expedición de pesca abierta. Las buenas hipótesis típicamente provienen de tres fuentes:

  • Inteligencia de amenazas: Un nuevo informe describe una técnica usada por un grupo que apunta a tu industria. Hipótesis: "Si este grupo está activo en nuestro entorno, veríamos PowerShell descargando payloads a través de un patrón específico."
  • Brechas en MITRE ATT&CK: Mapea tu cobertura de detección actual contra técnicas de ATT&CK y prioriza búsquedas para técnicas que no puedas detectar automáticamente.
  • Curiosidad impulsada por anomalías: Horarios de inicio de sesión inusuales, relaciones padre-hijo de procesos raras, o conexiones salientes inesperadas que no disparan alertas pero se ven raras en revisión.

Documenta cada hipótesis, las fuentes de datos que consultarás, y qué evidencia la confirmaría o refutaría. Esta disciplina evita que las búsquedas se vuelvan desenfocadas y hace que los resultados sean reproducibles.

Conoce Tus Fuentes de Datos

Una búsqueda es tan buena como la telemetría detrás de ella. Las fuentes principales incluyen:

  • Logs de Endpoint Detection and Response (EDR): creación de procesos, argumentos de línea de comandos, escrituras de archivos, conexiones de red por proceso.
  • Windows Event Logs: especialmente Security (logons 4624/4625), Sysmon (creación de procesos, red, registro), y logs operacionales de PowerShell.
  • Datos de red: logs de NetFlow/Zeek para metadatos de conexión, logs de consultas DNS, y logs de proxy para tráfico web saliente.
  • Logs de autenticación: de proveedores de identidad, VPNs y servicios de directorio para detectar viajes imposibles o abuso de credenciales.
  • Logs de auditoría en la nube: CloudTrail, Azure Activity Logs, o GCP Audit Logs para cambios de privilegios y abuso de API.

Centraliza estos en un SIEM o data lake donde puedas ejecutar consultas ad-hoc rápidamente. Si tu retención es demasiado corta, las búsquedas contra intrusiones históricas se vuelven imposibles—apunta a al menos 90 días donde sea viable.

Técnicas Prácticas de Búsqueda

Stack counting (análisis de frecuencia): Cuenta ocurrencias de un campo—nombres de procesos padres, nombres de tareas programadas, nombres de servicios—en tu entorno. Los valores atípicos (un proceso ejecutándose en un host de diez mil) a menudo indican algo que vale la pena investigar.

SELECT parent_process, COUNT(*) as cnt
FROM process_events
GROUP BY parent_process
ORDER BY cnt ASC
LIMIT 50;

Least frequency of occurrence (LFO): Similar al stacking pero aplicado a combinaciones, como pares (user, source_ip) para autenticación, para exponer patrones de acceso raros.

Desviación de la línea base: Establece cómo se ve "normal" para un host o usuario (horarios de inicio de sesión típicos, procesos comunes) y marca desviaciones. Esto requiere una inversión inicial en perfilado pero se amortiza para búsquedas continuas.

Pivoting en IOCs y TTPs: Comienza desde un indicador conocido (hash, dominio, IP) o técnica (por ejemplo, T1055 inyección de procesos) y busca en todos los logs disponibles actividad relacionada, luego pivota hacia afuera desde cualquier resultado para encontrar infraestructura relacionada u hosts afectados.

Herramientas Que Vale la Pena Aprender

  • Sysmon + Sigma rules: Sysmon proporciona telemetría de endpoint rica; Sigma te da un formato de regla portable para detectar y buscar en plataformas SIEM.
  • Velociraptor u osquery: Para consultas en vivo en toda la flota cuando necesites verificar cientos de endpoints para un artefacto específico ahora mismo.
  • Zeek: Para análisis profundo de protocolos de red más allá de NetFlow simple.
  • MITRE ATT&CK Navigator: Para rastrear y visualizar la cobertura de búsqueda en el tiempo.

Cerrando el Ciclo

Cada búsqueda debe producir un resultado más allá de "no encontré nada". Si confirmas actividad maliciosa, aliméntala hacia la respuesta a incidentes. Si encuentras brechas en visibilidad, archívalas como tickets de ingeniería de detección. Si una técnica de búsqueda resulta valiosa, conviértela en una regla de detección automatizada para que instancias futuras disparen alertas sin esfuerzo manual. Esto convierte la búsqueda de amenazas en un motor de mejora continua para todo tu programa de seguridad en lugar de un ejercicio único.

Mantén un registro de búsqueda con hipótesis, consultas utilizadas y hallazgos—este conocimiento institucional se compone con el tiempo y hace que la incorporación de nuevos cazadores sea mucho más rápida.

¿Listo para profundizar más? Explora los segmentos Digital Forensics y Blue Team de Korra Studio para construir las habilidades de detección e investigación que se emparejan naturalmente con la búsqueda de amenazas.

Este artículo se generó con asistencia de IA y se publicó en la base de conocimiento de Korra Studio. ¿Has visto un error? Avísanos.

Notas de Campo

¿Listo para profundizar?

Convierte estas Notas de Campo en habilidades prácticas: entra en los Segmentos relacionados de DEFENSE_GRID.

bolt Crear cuenta gratis

Segmentos relacionados

arrow_backTodas las notas grid_viewExplora la Biblioteca de Operaciones