El comportamiento actual de los atacantes se entiende mejor como un proceso multifásico. Los atacantes se mueven entre cloud de identidad, red y cloud , y a menudo utilizan herramientas legítimas y actividades de apariencia normal para permanecer ocultos. No basta con ver alertas individuales si los equipos no pueden conectar las acciones en una progresión coherente.
Esta página explica qué es el comportamiento de los atacantes, qué no es, por qué es importante ahora y cómo los equipos de seguridad pueden abordarlo de manera que facilite investigaciones más rápidas y precisas.
El comportamiento de los atacantes se refiere a las acciones y patrones que utilizan a medida que avanzan en una intrusión. Los ataques modernos suelen ser procesos complejos y multifásicos que se mueven entre cloud de identidad, red y cloud . Los atacantes suelen intentar ocultarse entre el ruido legítimo del sistema mientras realizan reconocimientos, amplían el acceso y trabajan para lograr la persistencia o el acceso a los datos.
En la práctica, el comportamiento de los atacantes incluye reconocimientos internos, como escaneos de puertos o enumeración de archivos compartidos, intentos de establecer persistencia y técnicas que se mezclan con la actividad administrativa normal. Es la visión del «recorrido» de una intrusión, no una sola alerta o indicador.
El comportamiento del atacante a menudo se confunde con señales adyacentes que carecen de intención o progresión. Están relacionadas, pero no son lo mismo:
Los expertos describen el comportamiento de los atacantes como una progresión rápida y en múltiples etapas a través de la identidad, la red y cloud. En lugar de tratar los ataques como eventos discretos, se anima a los profesionales a considerarlos como un proceso continuo en el que el atacante se mueve lateralmente a través de entornos como Azure AD, M365 y redes tradicionales.
Un matiz clave es la gran dependencia de las técnicas de «vivir de la tierra» (LOTL). Los atacantes pueden hacer un uso indebido de herramientas administrativas como PowerShell, utilizar la API Graph o interactuar con asistentes de IA como Microsoft Copilot para acelerar el reconocimiento y el descubrimiento de datos. A menudo evaden la detección mediante cambios sutiles, como la creación de cuentas traseras con nombres visualmente similares o la modificación de las políticas de acceso condicional para tratar una ubicación controlada por el atacante como de confianza.
Los expertos también distinguen entre amenazas externas e internas. Por ejemplo, la ausencia de comportamiento de reconocimiento puede ser significativa. La falta de escaneo de puertos o enumeración antes de acciones maliciosas puede indicar que se trata de alguien interno que ya conoce el entorno.
Los ataques modernos son rápidos, multidominio y difíciles de interpretar cuando los datos están fragmentados. Los atacantes sofisticados pueden lograr persistencia y comenzar la exfiltración de datos en menos de 15 minutos desde el acceso inicial, lo que hace que los flujos de trabajo de investigación manuales y lentos sean poco fiables.
Al mismo tiempo, muchos flujos de trabajo de SOC siguen exigiendo a los analistas navegar por tablas enormes, alertas inconexas y múltiples módulos o widgets. Esto aumenta la carga cognitiva y dificulta comprender rápidamente la secuencia de eventos, identificar el punto inicial de compromiso y determinar el alcance de un incidente.
Descubra cómo 360 Response detiene los ataques híbridos en cuestión de minutos. Explore cómo el bloqueo unificado de identidades, dispositivos y tráfico devuelve el control a los defensores durante los ataques activos.
Cuando los equipos simplifican en exceso el comportamiento de los atacantes, pueden tratar las detecciones como eventos aislados en lugar de como una progresión conectada. Esto puede dar lugar a una clasificación incorrecta, a pasar por alto la intención y a retrasar la respuesta.
Un patrón de fallo específico es la interpretación errónea de las señales de reconocimiento. La falta de reconocimiento puede interpretarse como una «amenaza baja», incluso cuando puede indicar que hay alguien interno que ya conoce el entorno. Otro fallo común es subestimar el movimiento multidominio. Si los equipos tratan un compromiso en un área como contenido, pueden pasar por alto cómo la identidad puede actuar como puente hacia otros cloud o de vuelta a los sistemas locales.
El resultado suele ser un radio de explosión cada vez mayor, un retraso en la contención y una mayor probabilidad de que los atacantes alcancen objetivos como la filtración de datos.
El comportamiento de los atacantes abarca múltiples categorías tácticas, entre las que se incluyen la persistencia, la evasión de defensas, el descubrimiento, el movimiento lateral y el acceso a datos. Algunos ejemplos de comportamientos son:
Los atacantes pueden establecer persistencia mediante:
Los atacantes pueden reducir la detección o la telemetría mediante:
Los atacantes suelen realizar reconocimientos y descubrimientos internos, entre los que se incluyen:
Vea cómo se analiza el comportamiento de los atacantes en la práctica. Explore la anatomía de un ataque moderno →
El comportamiento de los atacantes no solo plantea retos en materia de detección, sino también en lo que respecta al flujo de trabajo. Los analistas suelen trabajar con datos fragmentados, alertas inconexas y señales repartidas entre múltiples herramientas, todo lo cual debe reunirse manualmente para comprender lo que realmente está sucediendo.
Cuando los equipos aplican un modelo de priorización claro, las entidades se clasifican por urgencia en función del comportamiento observado del atacante y del privilegio o la importancia de la identidad o el host afectados. Esto permite a los equipos tomar medidas urgentes, como revocar sesiones activas para activar una nueva solicitud de MFA o bloquear cuentas, antes de que el ataque pueda avanzar más.
Vea cómo los equipos analizan el comportamiento de los atacantes en contexto con la Vectra AI .
Los ataques modernos se mueven a través de la identidad, la red y cloud la identidad se ha convertido en el puente principal entre los entornos. Una vez que se compromete una identidad, los atacantes pueden utilizar el acceso legítimo para moverse lateralmente a través de cloud y volver a los sistemas locales. Tratar la actividad en un dominio como aislada puede ocultar el verdadero alcance y el impacto de una intrusión.
No. El análisis del comportamiento de los atacantes basado en el aprendizaje automático no sustituye a las herramientas tradicionales de alerta o detección. Las herramientas tradicionales detectan eventos individuales o infracciones de políticas, mientras que el análisis del comportamiento se centra en cómo se conectan y evolucionan las acciones a lo largo del tiempo. Está diseñado para interpretar la intención del atacante después de que se haya producido el acceso, especialmente cuando la actividad se mezcla con el comportamiento normal del sistema, en lugar de sustituir por completo la detección a nivel de eventos.
La detección temprana se basa en identificar comportamientos precursores en lugar de esperar a que se produzca el impacto. El reconocimiento, los cambios de privilegios y el uso inusual de herramientas nativas suelen producirse antes del despliegue del ransomware o la exfiltración de datos. La IA ayuda a reconocer estos comportamientos tempranos como parte de una progresión, en lugar de tratarlos como eventos aislados y de baja prioridad.
El análisis del comportamiento de los atacantes funciona conectando acciones entre dominios en un único recorrido de ataque. Las identidades comprometidas suelen actuar como puente entre entornos, lo que permite el movimiento lateral desde cloud hacia redes u otras plataformas. Sin la correlación entre dominios, los equipos pueden pasar por alto cómo la actividad en un área puede tener repercusiones en otras.
El análisis de comportamiento basado en IA no elimina la necesidad del juicio humano. No puede determinar completamente la intención en todos los escenarios ni tomar decisiones definitivas sobre la atribución. Los analistas deben seguir validando los hallazgos, interpretando el contexto y distinguiendo las actividades maliciosas de las tendencias benignas que se asemejan al comportamiento de un ataque.