¿Qué es el Diamond Model?

Es un framework de análisis de intrusiones creado por Caltagirone, Pendergast y Betz (2013). Modela cada evento de intrusión como un diamante con 4 vértices: Adversary (quién ataca), Capability (con qué herramienta/técnica), Infrastructure (desde dónde), y Victim (a quién). Permite pivotar entre vértices para descubrir relaciones.

¿Cómo se usa el Diamond Model en la práctica?

Pivoting: si encuentras un IOC (infraestructura), buscas qué capability lo usa, qué adversary está asociado, y qué otras victims atacó. Esto transforma un IOC aislado en un cluster de inteligencia sobre una campaña completa.

¿Diamond Model reemplaza a ATT&CK?

No. Son complementarios. ATT&CK detalla las capabilities (técnicas). Diamond Model relaciona esas capabilities con adversarios, infraestructura y víctimas. Juntos: ATT&CK dice 'cómo atacan', Diamond Model dice 'quién, con qué, desde dónde, a quién'.

IntermedioDiamond ModelCTIanálisisframeworksfundamentos

Diamond Model of Intrusion Analysis: Los 4 Vértices

El Diamond Model explicado: framework analítico de 4 vértices (adversario, capacidad, infraestructura, víctima) para estructurar el análisis de intrusiones. Cómo usarlo para pivotar entre indicadores y construir inteligencia accionable.

MalwareIntel Research·27 de mayo de 2026·5 min lectura

Serie: Cyber Threat Intelligence — Parte 3

El Diamond Model estructura cada intrusión en 4 vértices que permiten pivotar de un indicador a una campaña completa

El Diamond Model es el framework analítico más usado en CTI para descomponer y relacionar los elementos de una intrusión. Cada evento de seguridad se modela como un diamante con 4 vértices interconectados. La potencia del modelo está en el pivoting: a partir de un solo dato (un hash, una IP), puedes recorrer el diamante para descubrir toda la campaña.

Los 4 vértices

                 ADVERSARY
                (quién ataca)
                    /\
                   /  \
                  /    \
                 /      \
   CAPABILITY ◄/────────\► INFRASTRUCTURE
  (con qué)    \        /   (desde dónde)
                \      /
                 \    /
                  \  /
                   \/
                 VICTIM
               (a quién)

1. Adversary (Adversario)

El actor detrás del ataque: grupo APT, afiliado RaaS, insider, hacktivista.

Atributo	Ejemplo
Nombre/ID	APT28 (G0007)
Motivación	Espionaje político
Patrocinador	GRU, Rusia
Sofisticación	Tier 2 (avanzado)
Sectores objetivo	Gobierno, defensa, OTAN

2. Capability (Capacidad)

La herramienta, técnica o malware usado.

Atributo	Ejemplo
Malware	X-Agent backdoor
Técnica ATT&CK	T1566.001 (Phishing Attachment)
Exploit	CVE-2023-23397
Tool	Mimikatz, Cobalt Strike

3. Infrastructure (Infraestructura)

Los recursos técnicos usados para el ataque.

Atributo	Ejemplo
C2 Server	185.220.101.34
Dominio phishing	login-microsoftonline[.]com
Email sender	noreply@secure-update[.]org
Hosting	VPS en Moldavia
Registrar	Namecheap (registrado hace 7 días)

4. Victim (Víctima)

El objetivo del ataque.

Atributo	Ejemplo
Organización	Ministerio de Defensa, País X
Sector	Gobierno/defensa
Región	Europa
Asset comprometido	Servidor Exchange, endpoint del director
Datos exfiltrados	Emails clasificados, planes operativos

Pivoting: el poder del Diamond Model

Pivoting es moverse de un vértice a otro para descubrir relaciones.

Ejemplo práctico: de un hash a una campaña

INICIO: Hash SHA256 detectado en endpoint
  → CAPABILITY: hash = X-Agent backdoor (YARA match)

PIVOT 1: Capability → Adversary
  → X-Agent está asociado con APT28 (Fancy Bear)

PIVOT 2: Capability → Infrastructure
  → X-Agent contacta C2 en 45.67.89.123
  → Passive DNS: 45.67.89.123 resuelve a update-service[.]org
  → WHOIS: registrado hace 5 días, registrante anónimo

PIVOT 3: Infrastructure → Victims
  → VirusTotal/OTX: 45.67.89.123 reportado por 3 organizaciones más
  → Todas son ministerios de defensa en Europa

PIVOT 4: Adversary → Campaigns
  → APT28 + ministerios defensa EU + X-Agent = campaña documentada Q4 2025
  → Mandiant report: "Forest Blizzard targets European defense ministries"

RESULTADO: De un hash aislado → campaña APT28 contra defensa EU
  → Acción: buscar 45.67.89.123 y update-service[.]org en todos los logs
  → Acción: compartir IOCs con ISACs del sector defensa
  → Acción: implementar detecciones para X-Agent TTPs

Tabla de pivoting

De → A	Método
Infrastructure → Capability	VirusTotal (samples que contactan esa IP)
Infrastructure → Adversary	Threat intel feeds, vendor reports
Infrastructure → Victim	Passive DNS, shodan, sharing groups
Capability → Infrastructure	Sandbox analysis (C2 domains/IPs)
Capability → Adversary	ATT&CK groups, YARA familia match
Adversary → Infrastructure	Vendor reports, historical IOCs
Adversary → Capability	ATT&CK software, vendor reports
Adversary → Victim	CTI reports, MITRE groups
Victim → Infrastructure	SIEM logs, firewall logs
Victim → Capability	EDR detections, sandbox results

Meta-features: contexto adicional

El Diamond Model incluye meta-features que enriquecen cada evento:

Meta-feature	Qué aporta	Ejemplo
Timestamp	Cuándo ocurrió	2025-10-15 14:32 UTC
Phase	Fase del ataque (kill chain)	Initial Access → Execution
Result	Éxito o fracaso	Exfiltración exitosa
Direction	Flujo (ingress/egress/lateral)	Adversary → Victim (ingress)
Methodology	Tipo de actividad	Phishing, exploit, supply chain
Resources	Recursos invertidos	Zero-day (alto coste)

Activity Threading: conectar diamantes

Un ataque completo es una cadena de diamantes (Activity Thread):

Diamante 1 (Initial Access):
  Adversary: APT28
  Capability: Phishing email con macro
  Infrastructure: malicious-doc[.]org
  Victim: Empleado del ministerio

Diamante 2 (Execution):
  Adversary: APT28
  Capability: X-Agent backdoor
  Infrastructure: C2 en 45.67.89.123
  Victim: Endpoint del empleado

Diamante 3 (Lateral Movement):
  Adversary: APT28
  Capability: PsExec + Mimikatz
  Infrastructure: SMB interno (\\dc01)
  Victim: Domain Controller

Diamante 4 (Exfiltration):
  Adversary: APT28
  Capability: X-Agent exfil module
  Infrastructure: HTTPS a 45.67.89.123
  Victim: Emails del director general

Cada diamante es un evento. La cadena completa es la campaña.

Diamond Model vs ATT&CK vs Kill Chain

Framework	Foco	Pregunta principal
Diamond Model	Relaciones entre elementos	"¿Quién, con qué, desde dónde, a quién?"
ATT&CK	Comportamiento del adversario	"¿Qué técnicas usa?"
Kill Chain	Fases secuenciales	"¿En qué fase del ataque está?"

Los tres son complementarios:

Kill Chain: macro-fases del ataque (reconnaissance → weaponization → delivery → ...)
ATT&CK: detalle técnico de cada fase (qué técnicas dentro de cada fase)
Diamond Model: relaciones entre actores, herramientas, infraestructura y víctimas

Conclusión

El Diamond Model es la herramienta de pivoting más potente en CTI. Transforma un indicador aislado en una campaña completa conectando adversario, capacidad, infraestructura y víctima. Combinado con ATT&CK (para detallar las capabilities) y el Kill Chain (para secuenciar las fases), proporciona el marco completo para análisis de intrusiones.

Fuentes y referencias

Caltagirone, S., Pendergast, A., Betz, C.: "The Diamond Model of Intrusion Analysis" (2013)
SANS: "Applying the Diamond Model" (CTI course material)
Center for Threat-Informed Defense: Diamond Model resources