Skip to content

¿Qué es la caza de amenazas y en qué se diferencia de esperar a que salten las alertas?

Respuesta breve

La caza de amenazas es la práctica proactiva, guiada por hipótesis, de buscar en la telemetría actividad de un adversario que las detecciones existentes pasaron por alto. A diferencia del triaje de alertas — reactivo y que espera a que una herramienta se dispare — la caza parte de una pregunta (« si un atacante hiciera X, ¿qué evidencia vería? »), la pone a prueba contra los datos y o bien encuentra algo o bien produce una nueva detección. Asume que la prevención y las alertas son imperfectas y que un adversario decidido puede estar ya dentro.

La caza de amenazas parte de una suposición incómoda: tus controles preventivos y tus alertas no son perfectos, y un adversario capaz puede estar ya operando dentro del entorno sin disparar nada. La caza es el esfuerzo deliberado de encontrar a ese adversario antes de que termine su objetivo.

Proactivo frente a reactivo

El triaje de alertas es reactivo: una herramienta decide que algo es sospechoso, salta una alerta y un analista responde. Solo atrapa aquello para lo que alguien ya escribió una regla. La caza de amenazas es proactiva: el cazador sale a buscar actividad que ninguna regla describe todavía, trabajando con los datos que el SOC ya recopila.

Guiada por hipótesis

Una buena caza no es contemplar los registros sin rumbo. Comienza con una hipótesis comprobable, a menudo formulada así: « Si un atacante estuviera haciendo X en nuestro entorno, ¿qué artefactos dejaría y dónde? » Por ejemplo: « si un adversario usa un LOLBin para descargar, debería ver certutil o bitsadmin realizando conexiones salientes a hosts no corporativos. » El cazador consulta entonces la telemetría para confirmarlo o refutarlo.

Cómo es el éxito

Una caza que no encuentra ninguna intrusión sigue siendo valiosa si produce algo duradero: una nueva regla de detección, una brecha de cobertura documentada, una línea base mejorada o la confianza de que una técnica no está presente. El peor resultado es una caza que no deja ningún artefacto reutilizable.

Por qué importa

Los entrevistadores quieren oír que entiendes la caza como una disciplina: asumir la brecha, formar una hipótesis, ponerla a prueba contra datos reales y retroalimentar los resultados a la detección. Los candidatos que confunden cazar con « leer las alertas con más ganas » o « lanzar un escáner » revelan que no lo han hecho.

Posibles preguntas de seguimiento

  • ¿De dónde sacas las hipótesis sobre las que cazas?
  • ¿Cuál es un buen resultado de una caza que no encuentra nada malicioso?
  • ¿Cómo mides si un programa de caza está funcionando?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.