¿Qué es la Pirámide del Dolor?

Modelo creado por David Bianco (2013) que clasifica los indicadores de seguridad en 6 niveles según cuánto 'dolor' causa al atacante cuando los detectas. En la base están los hashes (triviales de cambiar para el atacante). En la cima están los TTPs (casi imposibles de cambiar sin rediseñar toda la operación).

¿Por qué bloquear hashes es inútil?

Porque el atacante cambia un solo byte del malware y genera un hash completamente diferente. Un hash SHA256 dura minutos como indicador útil. Los TTPs (técnicas, tácticas, procedimientos) requieren que el atacante cambie su forma de operar, lo cual es costoso y lento.

¿Debo dejar de usar IOCs?

No. Los IOCs (hashes, IPs, dominios) siguen siendo útiles para detección automatizada rápida. Pero no deben ser tu UNICA defensa. Combina IOCs (detección rápida de lo conocido) con detección behavioral/TTPs (detección de lo desconocido que se comporta como amenaza).

PrincipiantePirámide del DolorIOCsTTPsCTIfundamentos

Pirámide del Dolor: Por Qué los TTPs Valen Más que los IOCs

La Pirámide del Dolor de David Bianco explicada: por qué bloquear hashes es trivial para el atacante pero detectar TTPs es devastador. Los 6 niveles de indicadores y cómo invertir en los que realmente duelen al adversario.

MalwareIntel Research·27 de mayo de 2026·6 min lectura

Serie: Cyber Threat Intelligence — Parte 5

La Pirámide del Dolor muestra que detectar TTPs es devastador para el atacante, mientras bloquear hashes es un inconveniente menor

La Pirámide del Dolor (David Bianco, 2013) es uno de los conceptos más importantes en CTI. Clasifica los indicadores de seguridad en 6 niveles según el "dolor" que causa al atacante cuando un defensor los detecta y bloquea. En la base: hashes (triviales de evadir). En la cima: TTPs (casi imposibles de evadir sin cambiar toda la operación).

La pirámide

                    /\
                   /  \         TTPs
                  / !! \       (Tactics, Techniques, Procedures)
                 /------\      Dolor: EXTREMO
                /        \     
               / Tools    \    Herramientas del atacante
              /            \   Dolor: ALTO
             /--------------\
            / Network/Host   \  Artefactos de red y host
           /   Artifacts      \ Dolor: MEDIO-ALTO
          /--------------------\
         /  Domain Names        \ Dominios C2
        /                        \ Dolor: MEDIO
       /--------------------------\
      /    IP Addresses             \ IPs de C2
     /                                \ Dolor: BAJO
    /----------------------------------\
   /      Hash Values (SHA256, MD5)      \ Hashes de malware
  /________________________________________\ Dolor: TRIVIAL

Los 6 niveles en detalle

Nivel 1: Hash Values (Dolor: Trivial)

Aspecto	Detalle
Qué es	SHA256, MD5, SHA1 de un archivo malicioso
Esfuerzo para cambiar	Segundos (cambiar 1 byte = hash completamente diferente)
Vida útil	Minutos a horas
Valor defensivo	Detectar samples EXACTOS conocidos
Limitación	Polimorfismo, recompilación, packing → hash nuevo

Defensor bloquea: SHA256 a1b2c3d4...
Atacante: recompila con flag diferente → SHA256 e5f6g7h8... (nuevo hash)
Tiempo necesario: 30 segundos
Dolor para el atacante: ninguno

Nivel 2: IP Addresses (Dolor: Bajo)

Aspecto	Detalle
Qué es	IPs de servidores C2, exfiltración
Esfuerzo para cambiar	Minutos (comprar nuevo VPS, cambiar DNS)
Vida útil	Horas a días
Valor defensivo	Bloquear C2 conocidos
Limitación	Proxy, CDN, cloud hosting, fast-flux DNS

Nivel 3: Domain Names (Dolor: Medio)

Aspecto	Detalle
Qué es	Dominios de C2, phishing, distribución
Esfuerzo para cambiar	Horas (registrar nuevo dominio, configurar DNS)
Vida útil	Días a semanas
Valor defensivo	Mejor que IPs (dominios requieren más esfuerzo)
Limitación	DGA genera miles de dominios automáticamente

Nivel 4: Network/Host Artifacts (Dolor: Medio-Alto)

Aspecto	Detalle
Qué es	User-agents, URI patterns, registry keys, mutex names, named pipes
Esfuerzo para cambiar	Horas a días (requiere modificar código del malware)
Vida útil	Semanas a meses
Valor defensivo	Alto (patrones más estables que IOCs)
Ejemplo	Cobalt Strike named pipe `\MSSE-1234-server`, User-Agent específico

Defensor detecta: named pipe \MSSE-*-server (Cobalt Strike default)
Atacante: debe reconfigurar Cobalt Strike Malleable C2 profile
Tiempo: horas de configuración + testing
Dolor: significativo (requiere conocimiento técnico)

Nivel 5: Tools (Dolor: Alto)

Aspecto	Detalle
Qué es	Las herramientas que usa el atacante (Cobalt Strike, Mimikatz, custom malware)
Esfuerzo para cambiar	Días a semanas (encontrar/desarrollar alternativa)
Vida útil	Meses
Valor defensivo	Muy alto (forzar al atacante a cambiar de toolkit)
Ejemplo	Detectar Cobalt Strike por behavioral patterns (no solo IOCs)

Defensor detecta: Cobalt Strike por comportamiento (reflective DLL loading,
  sleep patterns, HTTPS beacon profile)
Atacante: debe migrar a Sliver, Brute Ratel, o desarrollar tool custom
Tiempo: días-semanas de reconfiguración + re-testing
Dolor: alto (inversión significativa de tiempo y recursos)

Nivel 6: TTPs (Dolor: Extremo)

Aspecto	Detalle
Qué es	Tácticas, técnicas y procedimientos del atacante (ATT&CK)
Esfuerzo para cambiar	Semanas a meses (requiere cambiar toda la metodología operativa)
Vida útil	Meses a años
Valor defensivo	Máximo (detecta al atacante independientemente de herramientas)
Ejemplo	Detectar "credential dumping de LSASS" independientemente de si usa Mimikatz, comsvcs.dll, o tool custom

Defensor detecta: cualquier proceso que accede a lsass.exe con
  GrantedAccess 0x1010 (Sysmon Event 10)
Atacante: no puede hacer credential dumping sin acceder a LSASS
  Debe cambiar TODA su cadena de ataque:
    - Usar otro método de obtener credenciales (Kerberoasting?)
    - O modificar cómo accede a LSASS (difícil sin generar el mismo pattern)
Tiempo: semanas de re-diseño de operación
Dolor: EXTREMO (fundamentalmente incompatible con su metodología)

Implicaciones para defensa

Invierte donde duele más al atacante

Inversión	Nivel de dolor	Ejemplo concreto
Feed de hashes en AV	Trivial	VirusTotal, MalwareBazaar hashes
Blacklist de IPs	Bajo	Feeds abuse.ch en firewall
Domain reputation	Medio	DNS filtering, proxy categorization
Behavioral rules	Medio-Alto a Alto	Sysmon + Sigma rules para artifacts
Tool detection	Alto	YARA rules para Cobalt Strike in-memory
TTP detection	Extremo	EDR behavioral: LSASS access, PsExec patterns

La pregunta clave

"Si el atacante cambia su malware mañana,
¿nuestras detecciones siguen funcionando?"

Si dependes de hashes: NO ✗
Si dependes de IPs/dominios: probablemente NO ✗
Si dependes de TTPs: SÍ ✓

De IOCs a TTPs: evolución del SOC

Madurez	Detección principal	Ejemplo
Nivel 1	Hashes y firmas	"Bloquear SHA256 de Emotet sample"
Nivel 2	IOCs (IPs, dominios)	"Bloquear IPs C2 de LockBit"
Nivel 3	Artifacts	"Alertar sobre named pipes de Cobalt Strike"
Nivel 4	Tools	"Detectar Cobalt Strike por reflective loading"
Nivel 5	TTPs	"Detectar credential dumping independientemente de herramienta"

El objetivo es llegar a nivel 5: detección que funciona contra adversarios desconocidos que usan herramientas desconocidas pero técnicas conocidas.

Conclusión

La Pirámide del Dolor enseña dónde invertir: en detección de TTPs, no en colecciones de hashes. Los IOCs son necesarios (capas base), pero la diferencia entre un SOC reactivo y uno proactivo es la capacidad de detectar comportamiento adversario (TTPs) independientemente de las herramientas específicas. ATT&CK + Sigma + Sysmon = detección a nivel TTP.

Fuentes y referencias

Bianco, D.: "The Pyramid of Pain" (2013, blog post original)
SANS: "Applying the Pyramid of Pain to CTI" (2022)
Mandiant: "Why TTPs Matter More Than IOCs" (2023)