The Diamond Model: el framework para análisis de intrusiones

Contexto histórico

El Diamond Model of Intrusion Analysis fue propuesto por Sergio Caltagirone, Andrew Pendergast y Christopher Betz en 2013 (publicación formal del Center for Cyber Intelligence Analysis and Threat Research). Surgió de la necesidad de estructurar el análisis de intrusiones más allá de listas de IOCs.

En 2013, el análisis de amenazas se centraba en indicadores técnicos: IPs, hashes, dominios. Los analistas compilaban listas enormes de IOCs sin un marco que los conectara con los actores, sus motivaciones y sus patrones de operación. El Diamond Model propuso que cada intrusión tiene cuatro vértices fundamentales que se relacionan entre sí.

Los 4 vértices del diamante

         Adversary
            /\
           /  \
          /    \
Capability --- Infrastructure
          \    /
           \  /
            \/
          Victim

Adversary (adversario)

El actor de amenaza. Puede ser un grupo APT, un criminal individual, un insider o un script kiddie. El adversario tiene motivaciones (espionaje, financiero, hacktivismo) y capacidades que determinan qué tipo de ataques puede ejecutar.

Capability (capacidad)

Las herramientas y técnicas que usa el adversario. Exploits, malware, frameworks C2, técnicas de ingeniería social. Las capabilities se mapean directamente a MITRE ATT&CK (TTPs) y a herramientas específicas (Cobalt Strike, Mimikatz).

Infrastructure (infraestructura)

Los recursos que el adversario usa para operar: servidores C2, dominios de phishing, redirectores, VPNs, cuentas de email. La infraestructura es observable y es la base de muchos IOCs (IPs, dominios, URLs).

Victim (víctima)

El objetivo del ataque. Puede caracterizarse por sector (financiero, gobierno, energía), geografía, tamaño y vulnerabilidades específicas. Entender al victim permite predecir qué adversarios lo atacarán.

Conceptos avanzados del paper

Activity Threads

Una secuencia de eventos diamante conectados que representan la progresión temporal de un ataque. El adversario usa capability A contra victim 1, luego capability B contra victim 2, usando la misma infraestructura. Los threads permiten tracking longitudinal de campañas.

Activity Groups

Agrupaciones de events diamante que comparten vértices comunes. Si múltiples intrusiones usan la misma infraestructura y las mismas capabilities, probablemente pertenecen al mismo adversary. Este concepto es la base teórica de la atribución de amenazas.

Pivoting analítico

La potencia del modelo está en el pivoting: desde cualquier vértice conocido, puedes descubrir los desconocidos.

• Tienes un IOC (infrastructure) → busca qué adversary lo usa → qué victims ha atacado
• Identificas malware (capability) → busca qué infrastructure usa como C2 → qué adversary lo opera
• Conoces la víctima (victim) → busca qué adversaries atacan ese sector → qué capabilities usan

Este pivoting sistemático es lo que diferencia CTI de simplemente coleccionar IOCs.

Relevancia en 2026

En plataformas CTI

MISP, OpenCTI y TheHive implementan los conceptos del Diamond Model, aunque con terminología STIX 2.1:

• Adversary → threat-actor
• Capability → attack-pattern + malware + tool
• Infrastructure → infrastructure + indicator
• Victim → identity (con sector y ubicación)

En threat intelligence operativa

Los informes CTI profesionales (Mandiant, CrowdStrike, Recorded Future) siguen la estructura del Diamond Model implícitamente: "grupo X (adversary) usó herramienta Y (capability) desde servidores Z (infrastructure) contra empresas del sector W (victim)".

En hunting

Los threat hunters usan pivoting Diamond para expandir investigaciones: "encontré este IOC → qué más usa este actor → dónde más ha atacado → qué más debo buscar en mi red".

Combinación con ATT&CK

El Diamond Model y ATT&CK son complementarios:

• ATT&CK responde: QUÉ técnicas usa el atacante
• Diamond responde: QUIÉN ataca a QUIÉN, con QUÉ herramientas, vía QUÉ infraestructura

Un análisis completo combina ambos: "APT28 (adversary) usa T1566.001 Spear Phishing Attachment (capability, mapped to ATT&CK) desde dominios typosquatted (infrastructure) contra organizaciones gubernamentales europeas (victim)."

Aplicación práctica

Para SOC analysts

Cuando investigas una alerta, estructura tu análisis con los 4 vértices. No te quedes en "encontré un hash malicioso". Pregunta: quién lo creó (adversary), qué más puede hacer (capability), desde dónde opera (infrastructure), a quién más ataca (victim).

Para CTI analysts

Usa el Diamond Model como plantilla para tus informes. Cada informe debería cubrir los 4 vértices. Los gaps (vértices desconocidos) son las preguntas que tu investigación debe responder.

Para managers

El Diamond Model convierte CTI abstracta en algo accionable. "Un grupo ruso (adversary) con capacidad de exploit zero-day (capability) está usando servidores en Alemania (infrastructure) contra el sector energético europeo (victim)" es un briefing que un CISO puede actuar.

Papers relacionados

• MITRE ATT&CK (2015): taxonomía de capabilities
• Cyber Kill Chain (Lockheed Martin, 2011): modelo secuencial de fases de ataque
• APT1 Report (Mandiant, 2013): ejemplo práctico de aplicación del Diamond Model (aunque no lo cite explícitamente)
• STIX 2.1: implementación técnica de los conceptos del Diamond Model

Veredicto

El Diamond Model es el framework que convierte colecciones de IOCs en inteligencia accionable. No es glamuroso. No tiene una matriz visual como ATT&CK. Pero es la estructura mental que usan los mejores analistas CTI del mundo para conectar puntos y generar inteligencia que informa decisiones. Si haces threat intelligence y no conoces el Diamond Model, estás trabajando sin un mapa.