Skip to content

Explica la Pyramid of Pain y cómo determina dónde inviertes el esfuerzo de detección.

Respuesta breve

La Pyramid of Pain clasifica los tipos de indicadores según lo costoso que le resulta a un atacante cambiarlos una vez que detectas sobre ellos. Los hashes son triviales de alterar (abajo), luego las direcciones IP, los nombres de dominio, los artefactos de red/host, las herramientas y, finalmente, los TTP en la cima — que un atacante solo puede cambiar reconfigurando fundamentalmente su comportamiento. Detectar en los niveles superiores causa más « dolor » y es más duradero, así que los programas maduros invierten el esfuerzo de detección en los comportamientos y los TTP en lugar de solo los IOC.

La Pyramid of Pain, introducida por David Bianco, es un modelo para pensar sobre qué tipos de indicadores vale la pena detectar. Su idea central: no todos los indicadores son iguales, porque difieren enormemente en lo difícil que le resulta a un adversario reemplazarlos una vez que empiezas a bloquearlos.

Los niveles, de abajo a arriba

  • Valores de hash — triviales. Un solo byte cambiado produce un hash nuevo; los atacantes recompilan constantemente.
  • Direcciones IP — fáciles. Rotan entre proveedores de hosting, VPN o proxies en minutos.
  • Nombres de dominio — algo más difíciles, pero baratos con los DGA y el registro masivo.
  • Artefactos de red/host — molestos. Cadenas user-agent, claves de registro, rutas de archivos que el utillaje deja atrás.
  • Herramientas — exigentes. Forzar a un atacante a encontrar o construir una herramienta nueva cuesta un esfuerzo real.
  • TTP — la cima. Las tácticas, técnicas y procedimientos reflejan cómo opera un adversario; cambiarlas significa reaprender su oficio.

Por qué la altura equivale al dolor

Si bloqueas un hash, el atacante reconstruye en segundos y has logrado poco. Si detectas un comportamiento — digamos, el volcado de credenciales mediante patrones de acceso a LSASS — debe inventar una nueva manera de lograr el mismo objetivo, lo cual es costoso y lento. La detección en la cima de la pirámide es duradera; en la base es frágil y ruidosa.

Implicación práctica

Consume los feeds de IOC, pero no te detengas ahí. Dedica tu esfuerzo de ingeniería de detección a escribir reglas basadas en el comportamiento y los TTP, mapeadas a ATT&CK.

Por qué importa

Los entrevistadores la usan para separar a los analistas que persiguen IOC efímeros de los que entienden que la detección duradera apunta al comportamiento del atacante.

Posibles preguntas de seguimiento

  • ¿Por qué se consideran los hashes de archivos el indicador más débil para detectar?
  • Da un ejemplo de una detección a nivel de TTP frente a una a nivel de IOC.
  • ¿Cómo cambia la pirámide tu forma de consumir los feeds de threat intel?

Fuentes

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.