Threat Hunting · MITRE ATT&CK · Detecciones entregables

Threat Hunting proactivo: cazamos lo que su SOC todavía no ha visto

Los atacantes avanzados viven de las grietas que las alertas no cubren. Nuestro equipo caza con hipótesis, MITRE ATT&CK y Pyramid of Pain sobre su EDR, SIEM y logs de nube, y le entrega reglas de detección que se quedan, no solo un PDF.

Solicitar hunt piloto Cómo lo hacemos Ver pilar Seguridad gestionada

Enfoque

Hypothesis-driven, assumed breach

Marco

MITRE ATT&CK + Pyramid of Pain

Entregable

Reglas, queries y cobertura ATT&CK

Partimos de que el atacante ya está dentro. Y lo buscamos.

El threat hunting es la búsqueda proactiva y estructurada de actividad adversaria que no ha disparado ninguna alerta. No sustituye al SOC ni al EDR: los complementa cuando las reglas automáticas no alcanzan para ver a un atacante bien preparado.

Nuestro servicio aplica el principio de assumed breach: suponemos que puede haber actividad maliciosa todavía sin detectar y formulamos hipótesis verificables sobre esa actividad, apoyándonos en inteligencia de amenazas, contexto del sector y técnicas de la matriz MITRE ATT&CK.

Cada hunt termina no solo en un informe, sino en reglas de detección, queries y playbooks que devolvemos al equipo de operación para que lo aprendido no vuelva a pasarse por alto.

Punto clave:

Un programa de threat hunting maduro no mide solo cuántos hallazgos confirmó, sino cuánto le subió el coste al siguiente atacante.

Hunting basado en hipótesis

No esperamos alertas. Formulamos hipótesis de actividad sospechosa a partir de inteligencia, tácticas ATT&CK y contexto del negocio, y las validamos con datos reales.

MITRE ATT&CK como brújula

Mapeamos cobertura, huecos de detección y técnicas adversarias sobre la matriz ATT&CK para priorizar dónde cazar y qué reglas quedan por construir.

Pyramid of Pain aplicada

Buscamos TTPs, no solo hashes o IPs. Apuntamos al nivel que más coste causa al atacante para que la detección no caduque al siguiente payload.

Detections as code

Cada hipótesis validada genera reglas, queries y dashboards reutilizables que entregamos al SOC (propio o externo) con trazabilidad y versionado.

Qué cubre realmente un programa de threat hunting

Un hunt serio no es ejecutar cuatro queries y cerrar un ticket. Tiene alcance, método, datos y entregables.

Assumed breach

Partimos del supuesto de que ya hay actividad no detectada. El objetivo del hunt es sacarla a la luz, no confirmar que no existe.

Endpoint, cloud e identidad

Cazamos sobre telemetría EDR/XDR, logs de nube (Azure/AWS/GCP), identidad (Entra ID/AD), red y SaaS críticos según alcance.

Agnóstico de tecnología

Trabajamos sobre el SIEM/EDR del cliente. No obligamos a cambiar de herramienta para cazar bien.

Handoff real

Los hallazgos no se quedan en un informe: se convierten en reglas de detección, playbooks y mejoras de visibilidad para el SOC.

Telemetría sobre la que cazamos

No se caza sin datos. Validamos cobertura y calidad antes de prometer resultados. Estas son las fuentes que normalmente integramos:

EDR/XDR (Microsoft Defender, CrowdStrike, SentinelOne, Cortex XDR y equivalentes)

SIEM (Microsoft Sentinel, Splunk, Elastic, QRadar y equivalentes)

Logs de identidad (Entra ID / Active Directory, federación, MFA)

Logs de nube (Azure Activity/SignIn, AWS CloudTrail, GCP Audit Logs)

Telemetría de red (NetFlow, proxy, DNS, firewall next-gen)

Logs de SaaS críticos (M365, Google Workspace, CRM/ERP clave)

Inventario de activos y exposición (CMDB, gestión de vulnerabilidades)

Inteligencia de amenazas (feeds comerciales, OSINT, sector)

Entregables que dejan capacidad instalada, no solo un PDF

El objetivo es que el siguiente ataque tenga que superar más detecciones, más visibilidad y más gobierno que el anterior.

Plan de hunts priorizado

Lista de hipótesis para el ciclo, con prioridad, técnicas ATT&CK asociadas, datos requeridos y criterios de éxito.

Informe ejecutivo del ciclo

Resumen para dirección: hipótesis cazadas, hallazgos, riesgo, recomendaciones y evolución respecto al ciclo anterior.

Informe técnico por hunt

Metodología, queries usadas, evidencias recogidas, análisis, IOCs/TTPs observados y acciones recomendadas.

Reglas y queries entregables

Reglas SIEM/EDR, queries KQL/SPL o equivalentes, y dashboards listos para el equipo de operación.

Mapa de cobertura ATT&CK

Matriz con cobertura actual, huecos identificados y prioridades de detección engineering para los próximos ciclos.

Lecciones aprendidas

Mejoras de visibilidad, logging, hardening y gobierno derivadas del hunt, con responsables sugeridos.

Metodología por ciclo de threat hunting

Trabajamos por ciclos iterativos, con hipótesis claras, trazabilidad y detecciones persistentes.

Scoping y preparación de datos

Acotamos activos críticos, fuentes disponibles, calidad de logs, telemetría EDR y acceso a SIEM. Sin datos no hay hunt serio.

Generación de hipótesis

Partimos de inteligencia de amenazas, sector, actores relevantes, técnicas ATT&CK y contexto del negocio para formular hipótesis verificables.

Ejecución del hunt

Consultamos datos, aplicamos analítica, observamos patrones y descartamos o confirmamos cada hipótesis con trazabilidad.

Triaje y escalado

Los hallazgos con impacto se escalan al equipo de respuesta (IR) o al SOC para contención, manteniendo la cadena de custodia.

Detection engineering

Traducimos lo aprendido en reglas, queries y playbooks persistentes, versionados y probados, para que el hunt no se pierda.

Reporting y revisión

Informe ejecutivo, informe técnico, mapa ATT&CK actualizado y plan del siguiente ciclo. El proceso es iterativo, no puntual.

Qué solemos encontrar en un hunt real

Ejemplos ilustrativos del perfil de clientes con los que trabajamos. Los detalles se han anonimizado para proteger la confidencialidad.

Caso anonimizado

Gran entidad financiera europea

Infraestructura híbrida con M365, Azure, AD federado y SOC interno con SIEM maduro.

Hipótesis

Hipótesis sobre abuso de OAuth en aplicaciones empresariales tras un intento de phishing dirigido.

Resultado

Identificamos un token concedido a una app con permisos anómalos sobre correo. Revocación controlada, nueva regla de detección para consentimientos de alto riesgo y workflow de aprobación endurecido.

Caso anonimizado

Organismo del sector público con operativa 24/7

Entorno con EDR desplegado parcialmente, cobertura desigual en servidores legacy.

Hipótesis

Hipótesis sobre persistencia en servicios Windows tras alerta tangencial descartada por el SOC.

Resultado

Confirmamos actividad compatible con un implante en servidores sin EDR. Handoff a respuesta a incidentes, aislamiento, erradicación, plan de cobertura EDR del resto del parque y regla específica de vigilancia.

Caso anonimizado

Grupo industrial con operaciones críticas

Entornos IT con segmentación hacia OT, proveedores mantenidos por terceros.

Hipótesis

Hipótesis sobre uso malicioso de herramientas legítimas de administración remota por terceros.

Resultado

Detectamos una sesión RMM fuera de la ventana autorizada con comandos inusuales. Bloqueo de la cuenta implicada, revisión de contrato con el proveedor, reglas de detección por horario y por perfil de comandos.

Si su organización tiene un perfil similar —regulada, con operación crítica o dependencia de terceros— probablemente haya actividad que el SOC todavía no ha visto. Un hunt piloto lo confirma en días.

Cómo encaja Threat Hunting con el resto del servicio

Hunting es una capa proactiva que se apoya en detección, respuesta, vulnerabilidades y red team. Bien conectado, cierra el ciclo defensa-ataque-detección.

SOC/MDR 24/7

Operación continua que consume las detecciones generadas por el hunt.

Respuesta a incidentes

Activa contención, forense y recuperación cuando un hunt confirma actividad.

Red Team

Aporta TTPs realistas para alimentar hipótesis y probar detecciones.

Vulnerabilidades

Reduce superficie expuesta y orienta los hunts hacia lo realmente explotable.

Preguntas frecuentes sobre Threat Hunting

Resolvemos las dudas habituales sobre qué es, qué necesita, cómo se mide y cómo se integra con SOC, EDR, IR y red team.

¿Qué es exactamente threat hunting y en qué se diferencia de un SOC?

Threat hunting es la búsqueda proactiva de actividad maliciosa que ha evadido los controles automáticos. A diferencia del SOC, que opera sobre alertas generadas por reglas ya existentes, el hunt parte de hipótesis, analiza datos sin alerta previa e intenta descubrir amenazas no detectadas. El SOC contesta a lo que ya sabe; el hunt descubre lo que todavía no sabe.

¿Qué metodologías utilizáis?

Trabajamos con metodologías reconocidas del sector: el framework MITRE ATT&CK para mapear técnicas adversarias, la Pyramid of Pain de David J. Bianco para priorizar detecciones que realmente impacten al atacante, y ciclos de hunting basados en aproximaciones como TaHiTI o PEAK, adaptados al contexto y madurez de cada cliente.

¿Qué datos y visibilidad son necesarios para cazar?

Lo mínimo razonable: telemetría EDR/XDR sobre los endpoints relevantes, logs de identidad, logs de nube si aplica, registros de red y eventos de aplicaciones críticas, todo con retención suficiente. Si no hay datos, el hunt no se sostiene; por eso el primer paso siempre es validar cobertura y calidad de la telemetría.

¿Con qué frecuencia conviene hacer hunts?

El threat hunting es iterativo, no un ejercicio único. Lo habitual es establecer ciclos periódicos (por ejemplo, mensuales o trimestrales) combinados con hunts puntuales tras cambios relevantes: nuevas amenazas conocidas en el sector, incidentes recientes, despliegues críticos o fusiones y adquisiciones.

¿Threat hunting sustituye al EDR, SIEM o SOC?

No. El hunt los complementa y los hace más fuertes. EDR y SIEM aportan la telemetría; el SOC opera alertas y SLAs; el hunt descubre lo que esas capas no ven y devuelve detecciones nuevas al SOC. Los tres deben coexistir en una postura madura.

¿En qué se diferencia un hunt de un ejercicio de red team?

Red team ataca para validar defensas y procesos; threat hunting defiende buscando señales de ataque real en los datos. El red team es ofensivo y controlado; el hunt es defensivo y continuo. Son complementarios: los TTPs probados en red team alimentan las hipótesis de hunting y las detecciones posteriores.

¿Cómo se mide el éxito de un programa de threat hunting?

Con indicadores concretos: número de hipótesis ejecutadas, cobertura ATT&CK alcanzada, hallazgos confirmados, reglas de detección entregadas al SOC, reducción de dwell time estimado, huecos de visibilidad cerrados y mejoras de logging implantadas. El valor no es solo encontrar al atacante, también es subir el listón para el siguiente.

¿Aporta evidencias útiles para DORA, NIS2 o ISO 27001?

Sí. El threat hunting genera evidencias muy útiles de detección avanzada y mejora continua: informes periódicos, cobertura ATT&CK, reglas creadas, lecciones aprendidas y trazabilidad. Encaja especialmente bien con DORA, NIS2 e ISO 27001 como soporte a capacidades de detección, respuesta y resiliencia.

¿Tenéis que ser nuestro SOC para hacer threat hunting?

No. Trabajamos sobre el SIEM y EDR que ya tenga el cliente y colaboramos con el equipo de operación interno o externo. Si además operamos el SOC gestionado, la integración es más fluida, pero no es un requisito.

¿Qué ocurre cuando un hunt confirma una amenaza activa?

Se activa el protocolo de contención y se escala al equipo de respuesta a incidentes, preservando evidencias para análisis forense, causa raíz y reporting. El hallazgo deja de ser un ejercicio y pasa a gestionarse como incidente con las garantías y comunicaciones que exige cada marco.

Dentro de Seguridad gestionada

Threat Hunting es la capa proactiva del pilar de Seguridad gestionada, junto con el SOC/MDR, el vCISO y la gestión continua de vulnerabilidades.

Ver el pilar completo de Seguridad gestionada → Ver SOC/MDR Ver CISO virtual Ver Gestión de vulnerabilidades

¿Y si ya hay actividad en su red que todavía no ha disparado ninguna alerta?

Arranquemos con un hunt piloto sobre la telemetría que ya tiene. En un ciclo cerrado sabrá qué hay, qué hueco de visibilidad tapar y con qué detecciones se queda.

Hablar con un threat hunter Llamar ahora

SOC/MDR 24/7 Respuesta a incidentes Forense digital Red Team Pentesting Gestión de vulnerabilidades CISO virtual (vCISO) DORA NIS2 Sector financiero