Se puede hacer threat hunting con un equipo pequeno?

Si. No se necesita un equipo dedicado para empezar. Un analista N2/N3 que dedique un 20% de su tiempo (un dia a la semana) a hunting es suficiente para los primeros pasos. Lo importante es que sea una actividad planificada y regular, no algo que se hace cuando hay tiempo libre. A medida que el programa demuestra valor, se puede justificar la dedicacion de mas recursos.

Cuanto cuesta implementar un programa de hunting?

El coste principal es el tiempo del personal. Las herramientas pueden ser open source (ELK, Zeek, Sysmon, Velociraptor, RITA). El coste real esta en: mejorar la telemetria (desplegar Sysmon, centralizar logs), formar al equipo (cursos SANS, certificaciones GDAT/GCTI) y dedicar tiempo protegido para hunting. Un programa basico con herramientas open source puede implementarse con una inversion de 10-15 horas semanales de un analista senior.

Cuanto tiempo se tarda en ver resultados?

Los primeros resultados tangibles (hunts completados, gaps de visibilidad identificados, primeras reglas de deteccion creadas) suelen aparecer en 3 a 6 meses. Los resultados de alto impacto (descubrimiento de amenazas activas, mejora significativa de la cobertura ATT&CK) tipicamente requieren 6 a 12 meses de programa. La clave es empezar con hunts simples y ir subiendo en complejidad.

Intermediothreat-huntingprogramaequipometricasSOCestrategia

Como Construir un Programa de Threat Hunting: Equipo, Herramientas y Metricas

Guia completa para construir un programa de threat hunting desde cero. Definicion del equipo, seleccion de herramientas, integracion con el SOC, planificacion de sprints, metricas de exito, madurez progresiva y justificacion del ROI para la direccion.

MalwareIntel Research·9 de junio de 2026·11 min lectura

Serie: Threat Hunting — Parte 15

Los Pilares de un Programa de Hunting

Un programa de threat hunting sostenible se construye sobre cuatro pilares: personas con las habilidades adecuadas, datos con la cobertura necesaria, herramientas para analizar esos datos y procesos para planificar, ejecutar y documentar los hunts.

No se necesita tener los cuatro pilares perfectos para empezar. Se puede comenzar con lo que hay y mejorar iterativamente. Lo importante es empezar.

Pilar 1: El Equipo

Roles y perfiles

Threat Hunter (N2/N3). El rol central. Un analista con experiencia en investigacion de incidentes, conocimiento del framework ATT&CK y capacidad de formular hipotesis. No necesita ser un experto en todo, pero si tener curiosidad y pensamiento analitico.

Habilidades esenciales del hunter:

Conocimiento de TTPs adversarias (ATT&CK nivel practico)
Capacidad de consulta en SIEM (KQL, SPL o equivalente)
Entendimiento de logs de Windows, Linux y red
Conocimiento basico de sistemas operativos y protocolos
Capacidad de documentacion y comunicacion

CTI Analyst (opcional). Proporciona inteligencia de amenazas que alimenta las hipotesis de hunting. Si no hay un CTI analyst dedicado, el hunter puede consumir feeds de CTI publicos (MalwareIntel, CISA advisories, CERT reports).

Detection Engineer (complementario). Convierte los hallazgos del hunting en reglas de deteccion automatizadas. Si no hay un detection engineer dedicado, el hunter asume esta funcion.

Modelos de equipo

Modelo embebido. Los hunters son analistas del SOC que dedican un porcentaje de su tiempo a hunting. Es el modelo mas comun para empezar porque no requiere nuevas contrataciones.

Ventajas: bajo coste, los hunters conocen el entorno y las herramientas
Desventajas: el hunting compite con la respuesta a alertas, riesgo de que las alertas siempre ganen

Modelo dedicado. Un equipo separado del SOC dedicado exclusivamente a hunting. Requiere mas recursos pero produce mejores resultados.

Ventajas: tiempo protegido, mayor profundidad, especializacion
Desventajas: mayor coste, riesgo de desconexion del SOC

Modelo hibrido. Hunters dedicados que rotan con el SOC periodicamente. Combina las ventajas de ambos modelos.

Formacion

La formacion continua es critica. Opciones:

Recurso	Tipo	Coste
SANS FOR508	Curso intensivo DFIR	Alto
SANS SEC599	Defeating Advanced Adversaries	Alto
ATT&CK Training	Online, autoguiado	Gratuito
Boss of the SOC (BOTS)	CTF de Splunk	Gratuito
Detection Lab	Lab de practica	Gratuito (infra)
Cyber Defenders Labs	Labs blue team	Freemium

Pilar 2: Los Datos

Sin datos, no hay hunting. La calidad y cobertura de la telemetria determina que hunts son posibles.

Fuentes de datos prioritarias

Prioridad 1 (fundamentos):

Fuente	Herramienta	Datos criticos
Endpoint Windows	Sysmon	Procesos, DLLs, red, registro, DNS
Autenticacion	Windows Security	Logons, Kerberos, servicios
Red perimetral	Zeek o firewall	Conexiones, DNS, HTTP, SSL

Prioridad 2 (ampliar visibilidad):

Fuente	Herramienta	Datos adicionales
Endpoint Linux	auditd, Falco	Procesos, syscalls, ficheros
Email	Gateway de correo	Adjuntos, remitentes, URLs
Cloud	CloudTrail, Azure AD	Accesos, API calls, cambios
Proxy web	Proxy/CASB	URLs visitadas, descargas

Prioridad 3 (cobertura completa):

Fuente	Herramienta	Datos avanzados
Red interna	Zeek este-oeste	Movimiento lateral
DHCP/DNS interno	Servidor DHCP/DNS	Asignacion IP, resolucion
Base de datos	Audit logs BD	Accesos, queries
Aplicaciones	Logs de aplicacion	Actividad de negocio

Retencion de datos

Tipo de log	Retencion minima	Recomendada
Sysmon	90 dias	180 dias
Windows Security	90 dias	180 dias
Zeek conn/dns/ssl	90 dias	180 dias
Firewall	30 dias	90 dias
CloudTrail	90 dias	365 dias

Evaluacion de gaps

Antes de empezar a cazar, evalua que datos tienes y cuales te faltan:

Listar todas las fuentes de datos centralizadas en el SIEM
Para cada fuente, verificar que campos estan disponibles y que retencion tienen
Mapear las fuentes contra las data sources de ATT&CK para cada tecnica
Identificar gaps: tecnicas sin datos disponibles para hunting

Pilar 3: Las Herramientas

Stack de herramientas para hunting

Categoria	Herramienta	Funcion
SIEM	ELK / Splunk	Busqueda y correlacion de logs
Endpoint forensics	Velociraptor	Consultas forenses en vivo
Network analysis	Zeek + RITA	Analisis de trafico y beaconing
Endpoint telemetry	Sysmon	Generacion de logs detallados
Visualization	ATT&CK Navigator	Mapeo de cobertura
Analysis	Jupyter Notebooks	Analisis estadistico y ML
Enrichment	MalwareIntel, OTX	IOC lookup y CTI

Stack minimo para empezar

Con recursos limitados, el stack minimo viable es:

Sysmon en todos los endpoints Windows (gratis)
ELK Stack para centralizar y buscar logs (gratis, open source)
Zeek en el perimetro de red (gratis, open source)
ATT&CK Navigator para planificar (gratis, web)

Este stack cubre endpoint + red + busqueda sin costes de licencia. El coste es la infraestructura (servidores para ELK y Zeek) y el tiempo de configuracion.

Pilar 4: Los Procesos

Planificacion de sprints de hunting

Organizar el hunting en sprints (periodos de 1-2 semanas con objetivos definidos) proporciona estructura y cadencia.

SPRINT DE HUNTING - Semana 23/2026
===================================

Objetivo: Hunting de persistencia en servidores de produccion

Hipotesis a investigar:
  1. WMI Event Subscriptions no documentadas
  2. Tareas programadas que ejecutan scripts
  3. Servicios nuevos en los ultimos 90 dias

Fuentes de datos: Sysmon (IDs 1, 7, 13, 19-21), Windows 4698, 7045
Scope: 120 servidores de produccion
Herramientas: Elastic, Velociraptor

Entregables esperados:
  - Reporte de hunt para cada hipotesis
  - Reglas de deteccion para hallazgos positivos
  - Actualizacion del baseline de persistencia

Cadencia recomendada

Actividad	Frecuencia	Duracion
Sprint de hunting	Quincenal	2-4 dias
Revision de resultados	Semanal	1 hora
Revision de cobertura ATT&CK	Mensual	2 horas
Informe trimestral	Trimestral	4 horas

Priorizacion de hunts

Con recursos limitados, priorizar es esencial. Usar la matriz de priorizacion:

Amenazas activas en tu sector (feeds de CTI, CISA advisories, reportes sectoriales)
Gaps de deteccion criticos (tecnicas ATT&CK sin cobertura de deteccion)
Cambios en el entorno (nueva infraestructura, fusiones, cambios de personal)
Retroalimentacion de incidentes (tecnicas usadas en incidentes pasados no cubiertas)

Integracion con el SOC

El programa de hunting no debe operar aislado del SOC. La integracion bidireccional es critica:

Del SOC al hunting

Incidentes recientes que revelan gaps de deteccion alimentan nuevas hipotesis
Falsos positivos recurrentes identifican areas donde el hunting puede mejorar las reglas
Alertas no resueltas pueden ser puntos de partida para hunts de profundizacion

Del hunting al SOC

Hallazgos de hunting producen reglas de deteccion que se implementan en el SIEM
Baselines documentados por los hunters ayudan a los analistas a distinguir lo normal de lo anomalo
Los playbooks de hunting se pueden reutilizar como procedimientos de investigacion para el SOC

Proceso de retroalimentacion

Hunt exitoso:
  1. Hunter documenta hallazgo y escribe regla Sigma/KQL
  2. Detection Engineer revisa y optimiza la regla
  3. Regla se despliega en el SIEM con un periodo de tuning
  4. SOC empieza a operar la regla (triage de alertas)
  5. Feedback del SOC refina la regla (exclusiones, umbrales)

Ciclo completo: 2-4 semanas desde hallazgo hasta regla operativa

Metricas y ROI

Metricas operativas

Metrica	Formula	Objetivo
Hunts completados / trimestre	Conteo directo	6 a 12
Tasa de descubrimiento	Hunts con hallazgo / Total hunts	10-30%
Reglas creadas / trimestre	Conteo de reglas nuevas desde hunting	4 a 8
Cobertura ATT&CK	Tecnicas con hunting o deteccion / Total	Creciente
Gaps corregidos	Gaps de visibilidad identificados y resueltos	Creciente

Metricas de valor

Metrica	Como medirla	Significado
Dwell time reducido	Tiempo desde compromiso hasta deteccion	Menor es mejor
Incidentes prevenidos	Amenazas detectadas por hunting antes de impacto	ROI directo
Coste evitado	Estimacion del coste del incidente si no se detectaba	ROI financiero

Justificacion ante la direccion

Para justificar el programa ante la direccion, enfocar en tres puntos:

Valor demostrado. "En Q2 descubrimos un compromiso activo en un servidor de base de datos que llevaba 45 dias sin detectar. Sin hunting, habria seguido indefinidamente."
Mejora continua. "Cada hunt produce reglas de deteccion nuevas. Hemos creado 8 reglas este trimestre que detectan tecnicas que antes no cubriamos."
Cobertura medible. "Nuestra cobertura de ATT&CK ha pasado del 25% al 42% en 6 meses. Cada tecnica cubierta es una oportunidad menos para el adversario."

Hoja de Ruta: De Cero a Programa Operativo

Mes 1-2: Fundamentos

Evaluar la telemetria disponible e identificar gaps criticos
Desplegar Sysmon en endpoints Windows (si no esta)
Configurar centralización de logs en el SIEM
Seleccionar 1-2 analistas para el rol de hunter
Realizar la primera sesion de hunting con un playbook externo

Mes 3-4: Proceso

Establecer cadencia quincenal de sprints de hunting
Crear la plantilla de reporte de hunt
Ejecutar 4-6 hunts con hipotesis basadas en ATT&CK
Crear las primeras reglas de deteccion desde hallazgos
Mapear la cobertura ATT&CK inicial

Mes 5-6: Maduracion

Integrar feeds de CTI para generar hipotesis intelligence-driven
Implementar Velociraptor para investigacion de endpoints
Crear macros/saved searches reutilizables en el SIEM
Presentar el primer informe trimestral a la direccion

Mes 7-12: Optimizacion

Desarrollar playbooks de hunting internos basados en hallazgos
Automatizar la ejecucion de hunts periodicos (baselines de persistencia, checks de beaconing)
Evaluar herramientas adicionales (RITA para beaconing, Jupyter para analisis estadistico)
Expandir la cobertura a cloud y servidores Linux
Medir y reportar ROI del programa

Errores Comunes al Construir el Programa

Empezar comprando herramientas. Las herramientas no hacen hunting. Las personas hacen hunting. Empezar formando al equipo y usando las herramientas existentes. Comprar herramientas nuevas cuando los datos y las habilidades lo justifiquen.

No proteger el tiempo de hunting. Si el hunting compite con la respuesta a alertas, las alertas siempre ganan. El tiempo de hunting debe estar protegido y planificado. Si un analista tiene cuatro horas de hunting programadas, esas horas no se cancelan por una alerta de severidad baja.

No cerrar el ciclo de retroalimentacion. Un programa de hunting que no produce reglas de deteccion es un programa que no escala. El output del hunting debe fluir sistematicamente hacia la deteccion automatizada.

Medir solo hallazgos positivos. Un hunt sin hallazgos positivos no es un fracaso. Medir solo los descubrimientos incentiva a buscar cosas faciles de encontrar. Las metricas deben incluir cobertura, gaps corregidos y reglas creadas, no solo hallazgos.

No documentar. Sin documentacion, el conocimiento se pierde con la rotacion del personal. El programa debe producir reportes, playbooks y baselines que sobrevivan a las personas que los crearon.

Conclusion

Construir un programa de threat hunting es un proceso iterativo que empieza con lo basico (datos, un analista motivado, un SIEM con busqueda) y madura progresivamente hacia un programa estructurado con hipotesis formales, sprints planificados, metricas de cobertura y retroalimentacion sistematica hacia la deteccion.

No existe un programa de hunting perfecto. Existe un programa que empieza, documenta, aprende y mejora. La madurez se construye hunt a hunt, regla a regla, gap a gap. Lo unico necesario para empezar es curiosidad, datos y la disciplina de documentar lo que se encuentra (y lo que no).

Esta serie de 15 articulos ha cubierto desde los fundamentos del hunting hasta herramientas especificas, tecnicas de caza para cada fase del ataque y la estructura de un programa completo. Con estos conocimientos, cualquier equipo de seguridad puede dar sus primeros pasos en threat hunting y construir una capacidad que mejore significativamente su postura de seguridad.

Preguntas frecuentes

Libros recomendados

Threat Hunting in Practice (Martin Lorensen)

Amazon (enlace afiliado)

Building a Security Operations Center (Joseph Muniz)