Cual es la diferencia entre threat hunting y deteccion automatizada?

La deteccion automatizada se basa en reglas y firmas conocidas que disparan alertas cuando encuentran coincidencias. El threat hunting es una actividad proactiva donde un analista formula hipotesis sobre amenazas no detectadas y busca evidencia manualmente en los datos. La deteccion responde a lo conocido, el hunting busca lo desconocido.

Se necesita un SIEM para hacer threat hunting?

Un SIEM facilita enormemente el proceso porque centraliza los logs y permite busquedas rapidas. Sin embargo, se puede hacer hunting basico con acceso directo a logs de endpoints, firewalls y DNS. Lo esencial es tener datos telemetricos suficientes y herramientas de consulta. Un EDR con capacidades de busqueda tambien puede servir como punto de partida.

Cuanto tiempo debe dedicar un equipo SOC al threat hunting?

Depende de la madurez del equipo. Los equipos que empiezan suelen dedicar un 10-20% del tiempo de los analistas N2 o N3. Equipos maduros pueden tener hunters dedicados al 100%. Lo importante es que sea una actividad regular y planificada, no algo que se hace solo cuando hay tiempo libre.

Principiantethreat-huntingmetodologiaSOCdeteccionfundamentos

Que es Threat Hunting: Metodologia Completa para Equipos de Seguridad

Guia completa sobre threat hunting: definicion, diferencias con deteccion reactiva, metodologia hypothesis-driven, ciclo de caza y como implementarlo en tu equipo SOC. Incluye frameworks, ejemplos practicos y metricas de exito.

MalwareIntel Research·9 de junio de 2026·11 min lectura

Serie: Threat Hunting — Parte 1

Que es el Threat Hunting

El threat hunting (caza de amenazas) es la busqueda proactiva de actividad maliciosa dentro de una red o sistema que ha evadido los controles de seguridad existentes. A diferencia de la deteccion tradicional, que espera a que una alerta se dispare, el hunting parte de la premisa de que un adversario ya esta dentro y busca evidencia de su presencia.

Esta definicion, acunada originalmente por el equipo de Sqrrl (adquirido por Amazon Web Services en 2018), enfatiza tres elementos clave: es proactivo, es iterativo y asume compromiso. No se trata de revisar alertas pendientes del SIEM, sino de formular preguntas que las reglas automatizadas no cubren.

Un threat hunter no espera a que suene la alarma. Plantea escenarios del tipo "si un adversario quisiera exfiltrar datos de esta red, como lo haria" y busca las huellas de esa actividad en los datos disponibles.

Deteccion Reactiva vs Hunting Proactivo

Para entender el valor del hunting, conviene compararlo con el modelo tradicional de deteccion:

Deteccion reactiva (modelo clasico)

El modelo clasico funciona asi: un vendor publica una firma, el equipo la despliega en el SIEM o IDS, y cuando un evento coincide con la firma, se genera una alerta. El analista investiga la alerta y determina si es un verdadero positivo.

Este modelo tiene limitaciones conocidas. Solo detecta amenazas para las que existen firmas. Los adversarios sofisticados usan tecnicas que no coinciden con firmas conocidas: living-off-the-land binaries (LOLBins), herramientas legitimas como PowerShell o WMI, y tacticas personalizadas que no aparecen en bases de datos de firmas.

Hunting proactivo

El hunting invierte el flujo. En lugar de esperar eventos que coincidan con reglas, el hunter formula una hipotesis sobre una amenaza potencial y busca evidencia en los datos telemetricos existentes. Si encuentra indicios, profundiza. Si no encuentra nada, ajusta la hipotesis o pasa a la siguiente.

La diferencia fundamental: la deteccion reactiva es alert-driven (dirigida por alertas), mientras que el hunting es hypothesis-driven (dirigido por hipotesis).

Tabla comparativa

Aspecto	Deteccion Reactiva	Threat Hunting
Inicio	Una alerta se dispara	El hunter formula una hipotesis
Enfoque	Amenazas conocidas	Amenazas desconocidas o no detectadas
Automatizacion	Alta (reglas, firmas)	Baja (analisis humano con herramientas)
Frecuencia	Continua (24/7)	Periodica (sprints, campanas)
Skill requerido	Analista N1/N2	Analista N2/N3 con experiencia ofensiva
Output	Alerta investigada	Hipotesis validada + nueva regla de deteccion

Ambos enfoques son complementarios. El hunting no reemplaza la deteccion automatizada: la mejora. Cada hunt exitoso deberia producir nuevas reglas de deteccion que se incorporan al SIEM o EDR.

El Ciclo del Threat Hunting

El threat hunting sigue un ciclo iterativo con cuatro fases principales. Este modelo, popularizado por Sqrrl y adoptado por SANS, proporciona estructura a una actividad que de otro modo seria ad hoc.

Fase 1: Formulacion de hipotesis

Todo hunt comienza con una hipotesis. Una buena hipotesis es especifica, testeable y basada en inteligencia o conocimiento del entorno.

Ejemplos de hipotesis:

"Un adversario esta usando DNS tunneling para exfiltrar datos de la red corporativa"
"Hay procesos de PowerShell ejecutando scripts codificados en Base64 desde directorios temporales"
"Existe movimiento lateral via WMI entre servidores del segmento de bases de datos"

Las hipotesis pueden originarse de varias fuentes:

Inteligencia de amenazas (intelligence-driven). Un nuevo informe de CTI describe una campana que usa una tecnica especifica. El hunter busca evidencia de esa tecnica en su entorno. Por ejemplo, si CISA publica un advisory sobre APT29 usando envenenamiento de Active Directory, el hunter busca indicadores de esa tecnica.

Framework ATT&CK (attack-driven). El hunter selecciona una tecnica del framework MITRE ATT&CK que no tiene cobertura de deteccion y busca evidencia de su uso. Por ejemplo, T1053.005 (Scheduled Task) en sistemas donde no hay reglas especificas para detectar tareas programadas maliciosas.

Anomalias (anomaly-driven). El hunter identifica desviaciones del comportamiento normal: un servidor que empieza a comunicarse con IPs en paises inusuales, un usuario que accede a recursos fuera de su patron habitual, o un proceso que genera trafico de red atipico.

Fase 2: Investigacion

Con la hipotesis definida, el hunter recopila y analiza datos. Esto implica:

Identificar las fuentes de datos relevantes (logs de endpoint, trafico de red, logs de autenticacion)
Construir consultas de busqueda en el SIEM, EDR o herramientas de analisis
Analizar los resultados buscando patrones que confirmen o refuten la hipotesis
Pivotar sobre hallazgos intermedios para profundizar

La investigacion requiere conocimiento profundo de dos areas: el comportamiento normal del entorno (baseline) y las tecnicas que usan los adversarios. Sin baseline, todo parece anomalo. Sin conocimiento ofensivo, las anomalias reales pasan desapercibidas.

Fase 3: Descubrimiento y respuesta

Si la investigacion revela actividad maliciosa confirmada, el hunt transiciona a respuesta a incidentes. El hunter documenta los hallazgos, determina el alcance del compromiso y coordina con el equipo de respuesta.

Si no se encuentra actividad maliciosa, eso tambien es un resultado valido. Significa que la hipotesis ha sido testeada contra los datos disponibles y no hay evidencia de compromiso. Sin embargo, "no encontrar nada" no es lo mismo que "no hay nada". Las limitaciones en la visibilidad (gaps en logging, periodos de retencion cortos) siempre deben documentarse.

Fase 4: Automatizacion y retroalimentacion

El paso final y mas importante del ciclo: convertir los hallazgos en deteccion automatizada. Si el hunt descubrio una tecnica nueva, el hunter escribe una regla Sigma, YARA o KQL que detecte esa tecnica de forma automatica en el futuro.

Este paso cierra el ciclo: lo que antes era una busqueda manual se convierte en deteccion automatizada, liberando al hunter para buscar la siguiente amenaza desconocida.

Ciclo del Threat Hunting:

  Hipotesis --> Investigacion --> Descubrimiento --> Automatizacion
      ^                                                    |
      |____________________________________________________|
                    (retroalimentacion)

Frameworks de Threat Hunting

Varios frameworks proporcionan estructura adicional al proceso de hunting.

MITRE ATT&CK como mapa de cobertura

ATT&CK es el framework mas usado para planificar hunts. Cada tecnica (T-code) describe una accion que un adversario puede realizar. El hunter mapea las tecnicas contra la cobertura de deteccion existente e identifica gaps: tecnicas sin reglas, sin visibilidad o sin datos para detectarlas.

Un heat map de ATT&CK donde las tecnicas cubiertas estan en verde y las descubiertas en rojo proporciona una vista inmediata de donde concentrar los esfuerzos de hunting.

TaHiTI (Targeted Hunting integrating Threat Intelligence)

TaHiTI, desarrollado por FI-ISAC (Financial ISAC holandesa), es un framework que estructura el proceso de hunting en tres fases: initiation, hunting y finalization. Su foco esta en integrar inteligencia de amenazas como motor principal de las hipotesis.

PEAK (Prepare, Execute, Act, Knowledge)

PEAK, creado por SplunkSURGe, organiza el hunting en cuatro fases con enfasis en la preparacion (entender el entorno y las fuentes de datos) y en la gestion del conocimiento (documentar y compartir hallazgos).

Tipos de Threat Hunting

No todos los hunts son iguales. Existen tres tipos principales segun el disparador y el enfoque.

Hunting estructurado (hypothesis-driven)

Es el tipo mas riguroso. Parte de una hipotesis formal, sigue un plan de investigacion documentado y produce resultados reproducibles. Es el tipo recomendado para equipos con cierta madurez.

Ejemplo: "Hipotesis: adversarios estan abusando de certutil.exe para descargar payloads en nuestros endpoints Windows. Plan: buscar ejecuciones de certutil con parametros -urlcache o -split en logs de Sysmon Event ID 1 de los ultimos 30 dias."

Hunting no estructurado (IOC-driven)

Parte de un indicador especifico (un hash, una IP, un dominio) obtenido de un feed de inteligencia o un reporte de incidente. El hunter busca ese indicador en los datos historicos y pivota sobre los hallazgos.

Es el tipo mas simple de hunting y a menudo se solapa con la respuesta a incidentes. Sin embargo, sigue siendo proactivo porque busca indicadores que las reglas automatizadas no estan verificando.

Hunting situacional

Responde a un cambio en el entorno o contexto: una nueva vulnerabilidad publicada, una fusion empresarial, un cambio de infraestructura o un evento geopolitico. El hunter evalua como ese cambio puede alterar el perfil de riesgo y busca amenazas asociadas.

Ejemplo: tras la publicacion de CVE-2024-3400 (PAN-OS), un hunt situacional buscaria indicadores de explotacion en los firewalls Palo Alto de la organizacion.

Datos Necesarios para el Hunting

La calidad del hunting depende directamente de la calidad y cobertura de los datos disponibles. Sin telemetria, no hay hunting posible.

Fuentes de datos esenciales

Logs de endpoint. Sysmon en Windows es la fuente mas rica: creacion de procesos (Event ID 1), conexiones de red (ID 3), creacion de archivos (ID 11), carga de drivers (ID 6) y modificaciones de registro (ID 13). En Linux, auditd proporciona visibilidad similar.

Logs de red. Zeek (antes Bro) genera registros detallados de conexiones TCP/UDP, consultas DNS, sesiones HTTP y certificados SSL. Los logs de firewall y proxy complementan la visibilidad de red.

Logs de autenticacion. Active Directory genera eventos clave: logon exitoso (4624), logon fallido (4625), creacion de sesion con privilegios (4672), uso de Kerberos (4768/4769). Estos logs son fundamentales para detectar movimiento lateral y acceso a credenciales.

Logs de aplicacion. Servidores web, bases de datos, aplicaciones cloud (O365, GCP, AWS CloudTrail) y herramientas de colaboracion generan logs que complementan la visibilidad.

Retencion de datos

Un aspecto critico: los adversarios avanzados pueden mantener persistencia durante meses. Si los logs solo se retienen 30 dias, un hunt sobre actividad de hace tres meses es imposible. La recomendacion minima es 90 dias para logs operacionales y 12 meses para logs de seguridad clave.

Habilidades del Threat Hunter

Un buen threat hunter combina conocimientos de tres areas:

Conocimiento ofensivo. Entender como piensan y operan los adversarios. No se necesita ser un pentester experto, pero si comprender las tecnicas de ATT&CK a nivel practico: como funciona un Pass-the-Hash, que aspecto tiene una inyeccion de proceso en los logs, como se configura un C2.

Conocimiento defensivo. Saber que datos generan los sistemas, donde buscar evidencia y como interpretar los logs. Esto incluye conocer los formatos de eventos de Windows, la estructura de logs de Zeek, las capacidades del SIEM y las limitaciones de cada fuente de datos.

Pensamiento analitico. Formular hipotesis, disenar investigaciones, interpretar resultados ambiguos y pivotar cuando la evidencia no es concluyente. El hunting es un proceso cientifico: hipotesis, observacion, conclusion.

Metricas de Exito

Medir la efectividad del hunting es necesario para justificar la inversion y mejorar el programa. Las metricas mas utiles son:

Hunts completados por periodo. Cuantos hunts se ejecutaron en el trimestre. Mide la actividad del programa.

Tasa de descubrimiento. Porcentaje de hunts que encontraron actividad maliciosa o sospechosa. Una tasa del 10-20% es normal y saludable. El 100% indicaria que solo se buscan cosas obvias.

Tiempo medio de descubrimiento (TTD). Cuanto tiempo pasa desde que una amenaza entra en la red hasta que el hunting la descubre. Comparar con el TTD de la deteccion automatizada muestra el valor anadido del hunting.

Reglas creadas. Numero de reglas de deteccion nuevas generadas a partir de hunts. Esta es la metrica que mejor demuestra el valor del hunting: convierte lo desconocido en detectable.

Cobertura ATT&CK. Porcentaje de tecnicas de ATT&CK que han sido objeto de al menos un hunt. Muestra el progreso del programa en cubrir el espectro de amenazas.

Errores Comunes al Empezar

Varios errores recurrentes afectan a los equipos que comienzan con el hunting:

Confundir hunting con respuesta a alertas. Revisar la cola del SIEM no es hunting. El hunting comienza donde terminan las reglas automatizadas.

No documentar los hunts. Sin documentacion, los hallazgos se pierden, las hipotesis se repiten y el equipo no aprende. Cada hunt debe documentarse con hipotesis, fuentes de datos consultadas, consultas usadas, hallazgos y recomendaciones.

Buscar sin baseline. Si no conoces el comportamiento normal de tu red, no puedes identificar anomalias. Antes de cazar amenazas, documenta los patrones normales: que procesos se ejecutan en los servidores, que trafico DNS es habitual, que horarios de acceso son tipicos.

No automatizar hallazgos. Si un hunt descubre una tecnica nueva y el equipo no crea una regla de deteccion, el mismo hunt tendra que repetirse manualmente. La automatizacion es el paso que multiplica el valor del hunting.

Intentar hacerlo todo a la vez. Los equipos nuevos deben empezar con hunts simples (buscar IOCs especificos, verificar una tecnica concreta) e ir subiendo en complejidad a medida que adquieren experiencia y datos.

Conclusiones

El threat hunting es una capacidad esencial para cualquier equipo de seguridad que quiera ir mas alla de la deteccion reactiva. No requiere herramientas costosas para empezar: un SIEM o EDR con buena telemetria, conocimiento del framework ATT&CK y un analista con curiosidad y metodologia son suficientes.

El valor real del hunting no esta solo en encontrar amenazas activas, sino en el ciclo completo: formular hipotesis, investigar, descubrir (o descartar) y automatizar. Cada iteracion de este ciclo mejora la postura de seguridad de la organizacion.

En los siguientes articulos de esta serie exploraremos el modelo de madurez de Sqrrl, como construir hipotesis basadas en ATT&CK y como usar herramientas especificas como Sysmon, Zeek, ELK y Velociraptor para ejecutar hunts efectivos.

Preguntas frecuentes

Libros recomendados

Threat Hunting in Practice (Martin Lorensen)

Amazon (enlace afiliado)

The Threat Hunting Bible (Joshua Neil)