Threat Hunting en entornos reales: Más allá del EDR y el SIEM
Seguro que la escena te resulta familiar, llegas a la oficina un martes cualquiera, café en mano, y al abrir las consolas algo te chirría. Un pico de tráfico inesperado en el firewall. Un proceso con un nombre impronunciable ejecutándose en un servidor que, en teoría, “no hace nada”. El EDR está en verde, el SIEM no ha levantado ni una alerta y, aun así, esa sensación incómoda no se va. Para quienes vivimos en las trincheras de sistemas, esto no es una excepción, lamentablemente es rutina.
El problema es que durante años nos han vendido la idea de que la seguridad es un producto, no un proceso. Instala un buen antivirus, configura el SIEM y deja que todo funcione en piloto automático. La realidad es bastante menos amable.
Los atacantes actuales no siempre despliegan malware ruidoso, cada vez más a menudo se mueven por tu infraestructura utilizando herramientas legítimas, credenciales válidas y técnicas que no activan ninguna alarma. Y ahí es donde entra el Threat Hunting, más allá del marketing y de las presentaciones con gráficos bonitos.
¿Qué es el Threat Hunting?
En una frase, podríamos definir el Threat Hunting como pasar de preguntar “qué me han detectado” a preguntar “qué podría estar ocurriendo y aún no sé”.
Hacer Threat Hunting consiste, básicamente, en dejar de ser un observador pasivo que espera a que la consola se ponga roja. Parte de una premisa incómoda, pero realista, el atacante ya puede estar dentro. Cuando asumes eso, tu forma de mirar los logs cambia radicalmente. Ya no buscas “el virus”, buscas desviaciones del comportamiento normal. Es un trabajo casi detectivesco que exige conocer tu entorno al detalle.
Uno de los grandes errores es pensar que el threat hunting está reservado a grandes corporaciones con SOCs de veinte personas. Para un especialista TIC que lleva “un poco de todo”, el punto de partida es mucho más humilde, y mucho más útil, "formular hipótesis".
Mirar datos sin un objetivo claro no sirve de nada. La pregunta clave es: “Si yo fuera un atacante y quisiera robar esta información, ¿cómo lo haría sin que me detectaran?”.
Herramientas para hacer Threat Hunting
En el mundo del Threat Hunting no existen las soluciones milagrosas de "conectar y listo". Olvida la idea de comprar una caja mágica que haga el trabajo por ti, la realidad es que las analíticas se construyen picando piedra, combinando fuentes de datos con herramientas que permitan consultar, correlacionar y, sobre todo, contextualizar comportamientos sospechosos.
Para cazar de verdad, necesitas tres pilares fundamentales perfectamente engranados. Primero, los datos, sin una telemetría sólida de endpoint (procesos o comandos de PowerShell), identidad (Active Directory y eventos de MFA) y red (especialmente logs de DNS y flujos de tráfico), estás moviéndote a ciegas. Segundo, necesitas el terreno de caza, aquí es donde mandan los SIEM como Splunk o Sentinel y los EDR como CrowdStrike o Microsoft Defender. Estas plataformas son el motor que te permite ejecutar lenguajes potentes como KQL o SPL para interrogar al sistema y encontrar, por ejemplo, usuarios no administrativos ejecutando comandos codificados fuera de su horario habitual.
El tercer pilar es la metodología. El hunting no es navegar por logs sin rumbo, se apoya en marcos como MITRE ATT&CK para mapear técnicas reales de ataque y priorizar qué buscar. También entran en juego herramientas auxiliares como Sigma, que permite escribir reglas de detección universales, o Jupyter Notebooks para analíticas de datos más complejas y ad hoc.
Sin embargo, hay una pieza que a menudo se queda fuera del presupuesto, como ya hemos comentado anteriormente, el conocimiento del entorno. Puedes tener la mejor tecnología del mercado, pero si no sabes cómo "debería" comportarse tu red, no distinguirás un ataque de un proceso de inventariado mal configurado. Al final, el hunting es una mezcla de visibilidad técnica, marcos mentales estructurados y un analista que conoce su casa lo suficiente como para oler el peligro antes de que salte la alarma.
Threat hunting en el día a día de Sistemas
Integrar el Threat Hunting en tu rutina no significa comprar otro “equipo con luces” para el rack. Significa cambiar el chip. Pasar de apagar fuegos a buscar cerillas. No necesitas ser un experto en ingeniería inversa, basta con cuestionar lo que ves en tus dashboards de la herramienta de monitorización y prestar atención a esos “esto no debería estar aquí”. Es un trabajo silencioso, poco vistoso, pero crítico cuando las cosas se tuercen.
Al final del día, la seguridad de tu infraestructura depende más de tu curiosidad y de tu conocimiento del entorno que de cualquier licencia cara. Los algoritmos ayudan, pero no conocen tu red como tú. El threat hunting es, en esencia, recuperar el control y dejar de delegar toda la confianza en sistemas automáticos.
Fin del Artículo. ¡Cuéntanos algo en los Comentarios!
