El Red Teaming y el Threat Hunting son disciplinas que, cuando están presentes en una organización, pueden simbolizar la madurez de un programa de ciberseguridad. Mientras una simula ataques para probar las defensas, la otra investiga señales de actividad maliciosa que pueden haber pasado desapercibidas. Pero, ¿qué sucede cuando estas acciones se basan en suposiciones genéricas o amenazas puramente teóricas? La respuesta: esfuerzo desperdiciado.

Aquí es donde entra la disciplina de Inteligencia de Ciberamenazas (CTI), aportando tácticas, técnicas y procedimientos (TTPs) reales de adversarios activos. Así, la CTI transforma simulaciones poco fundamentadas en pruebas relevantes y llena la actividad de hunting de contexto, convirtiéndola en investigaciones con propósito. Es la vida real la que guía lo que se hará con sus inversiones, resultando en una verdadera reducción de riesgos.

Uniendo fuerzas: Red Team, Threat Hunting y CTI

Las tres disciplinas comparten un mismo objetivo: entender y combatir el comportamiento del adversario. La convergencia entre ellas potencia los resultados de forma exponencial.

• El Red Team, al simular ataques, puede probar situaciones reales con la ayuda de la CTI.
• El Threat Hunting, al buscar señales de intrusión, puede acceder con la CTI a inteligencia que le ayuda a investigar donde realmente importa.
• La CTI proporciona el combustible para ambos: contexto, comportamiento e intención.

Esta integración rompe silos y crea una línea directa entre lo que el adversario hace fuera y lo que los equipos de seguridad deben probar y buscar internamente.

TTPs reales: el nexo entre inteligencia y acción

Los TTPs —Tácticas, Técnicas y Procedimientos— son la forma más concreta de representar el comportamiento de un adversario. Ayudan a entender cómo y con qué herramientas actúan los adversarios.

Hoy, MITRE ATT&CK es la principal base de conocimiento sobre TTPs, algo parecido a la tabla periódica de los elementos. De la misma forma que la tabla periódica nos ayuda a entender la composición de las moléculas, MITRE ATT&CK nos ayuda a entender las múltiples combinaciones de técnicas posibles en un ataque. Con dos diferencias: el conjunto de técnicas de MITRE ATT&CK es mucho mayor que la cantidad de elementos de la tabla periódica, y las TTPs cambian con el tiempo, por lo que MITRE ATT&CK necesita ser constantemente actualizado.

Un ejemplo de uso de MITRE ATT&CK sería, al explicar el comportamiento del adversario APT29, documentar que, entre sus procedimientos, abusa del binario schtasks.exe, en una técnica documentada como “Scheduled Task/Job”. Esta consiste en abusar del mecanismo de programación de tareas presente en el sistema operativo, la cual forma parte de la táctica de “Persistencia”, que reúne las diversas formas en que un adversario puede mantenerse activo en un dispositivo aunque este se reinicie.

Al orientar las actividades a través de lo que encuentra la CTI y usar este “idioma” de TTPs entre los equipos, las actividades de Red Team y Threat Hunting pasan a basarse en casos reales; la seguridad deja de ser genérica y se vuelve específica, contextualizada y eficaz.

La CTI enriqueciendo al Red Team Basándose en TTPs documentados en MITRE ATT&CK y en análisis de campañas activas, el equipo de inteligencia puede construir perfiles de adversario. Con esto, el Red Team puede:

• Simular grupos como Lazarus, FIN7 o Turla con realismo técnico y estratégico.
• Utilizar herramientas como MITRE Caldera™ y tantas otras del universo del Red Team basándose en comportamientos reales.
• Entregar informes que prueban controles y procesos en el mundo real.

¿El resultado? Pruebas que impulsan una evolución no solo en la seguridad tecnológica, sino que también ayudan a mejorar los procesos y la preparación organizacional.

La CTI potenciando el Threat Hunting

En el lado defensivo, la inteligencia de amenazas proporciona hipótesis accionables para investigaciones proactivas. Tales como:

• “Este grupo tiene un historial de usar túneles vía DNS. ¿Estamos viendo este patrón?”
• “Esta infraestructura de comando y control fue usada recientemente por campañas contra nuestro sector. ¿Tenemos tráfico hacia ella?”
• “Este malware logra persistencia mediante DLL side-loading. ¿Tenemos registros de este tipo de carga en los endpoints?”

Al guiar las búsquedas con base en TTPs conocidos y en campañas en curso, el hunting se vuelve intencional y medible.

Un escenario práctico

Imagina que el equipo de CTI identifica una campaña activa que utiliza el infostealer Vidar, instalado a través de otro malware llamado FakeBat. El Red Team monta un escenario simulando la entrega y extracción de datos con base en este vector. El Threat Hunting, por su parte, crea consultas para identificar comunicaciones con dominios relacionados, la ejecución de binarios ofuscados y la creación de archivos temporales en directorios comunes a los infostealers. Cada equipo actúa con independencia, pero es impulsado por la misma amenaza real. Esto genera aprendizaje cruzado, evolución de los controles y fortalecimiento de la postura de seguridad.

Beneficios concretos de la integración

✅Red Teams más relevantes: Sus ataques simulan adversarios reales, no solo vulnerabilidades genéricas.

✅Hunting más dirigido: Búsquedas basadas en amenazas con una probabilidad real de ocurrencia.

✅Menos falsos positivos: Los analistas investigan con contexto, no solo con firmas.

✅Cultura de colaboración: La CTI deja de ser un informe aislado y pasa a ser un insumo de valor para todo el equipo.

Cómo empezar

1. Elige un adversario real basándote en el sector, la geografía o el historial de ataques (ej: APT28).
2. Mapea las TTPs de ese actor con MITRE ATT&CK.
3. Desarrolla un escenario de emulación (Red Team) y una hipótesis de hunting correlacionada.
4. Documenta los resultados y alimenta el ciclo de inteligencia con los aprendizajes.

Cómo Resonant puede ayudar

La inteligencia generada por la CTI de Resonant mantiene en funcionamiento ese ciclo que es crucial para integrar a tu personal de Red Team y Threat Hunting. Podemos transformar al Red Team en más que un ejercicio puramente técnico y al Threat Hunting en más que un disparo a ciegas.

Cuando basas tus acciones en los TTPs del adversario real, tu defensa deja de ser pasiva y pasa a estar proactivamente orientada a la amenaza.

¿Estás probando y buscando amenazas reales o fantasmas operativos? Habla con el equipo de Resonant y descubre cómo transformar el ruido en acción práctica.