Lo que el incidente de Stryker revela sobre la estrategia de ataque de Handala.
Leer el blog

Lo que el incidente de Stryker revela sobre la estrategia de ataque de Handala. Leer el blog →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
  1. Fundamentos de ciberseguridad
  2. Modelo Diamond de análisis de intrusiones

El modelo Diamond para el análisis de intrusiones: guía práctica para la inteligencia estructurada sobre amenazas

Información clave

  • El Modelo Diamond representa cada intrusión como cuatro elementos interconectados —el adversario, la capacidad, la infraestructura y la víctima— lo que permite un análisis basado en las relaciones que los marcos lineales no tienen en cuenta.
  • Siete axiomas formales y una serie de metacaracterísticas amplias aportan profundidad teórica al modelo, pero la mayoría de las guías los omiten por completo, lo que deja a los profesionales con una comprensión incompleta.
  • Combinando el modelo Diamond con la cadena de ataque cibernético y MITRE ATT&CK permite realizar análisis relacionales, temporales y de comportamiento en un único flujo de trabajo.
  • El modelo Diamond ampliado de Cisco Talos para 2025 incorpora una quinta capa de relaciones para campañas con múltiples actores, como los traspasos de ransomware como servicio.
  • Un flujo de trabajo de seis pasos, basado en el análisis y la integración de datos, transforma un único indicador de compromiso en una visión global de la amenaza.

Cada intrusión cuenta una historia: una historia con protagonistas, herramientas, escenarios y objetivos. El reto para los equipos de seguridad consiste en descifrar esa historia con la rapidez suficiente para poder actuar en consecuencia. El Modelo Diamante de análisis de intrusiones proporciona a los analistas un vocabulario estructurado para hacer precisamente eso. Publicado por primera vez como un artículo de investigación a través del Centro de Información Técnica de Defensa en 2013, este marco se ha convertido en una piedra angular de la formación en marcos de ciberseguridad y en un elemento básico de certificaciones como CompTIA Security+ (SY0-701), CySA+ (CS0-003) y EC-Council CEH. Esta guía repasa los cuatro componentes principales del modelo, sus fundamentos teóricos más profundos y cómo los profesionales lo aplican a incidentes reales, incluyendo extensiones que ningún competidor cubre.

¿En qué consiste el modelo Diamond de análisis de intrusiones?

El Modelo del Diamante para el análisis de intrusiones es un marco formal que describe cada incidente de intrusión cibernética a través de cuatro elementos interconectados —el adversario, la capacidad, la infraestructura y la víctima— dispuestos en forma de diamante para permitir un análisis estructurado de la inteligencia sobre amenazas basado en las relaciones. Fue presentado por Sergio Caltagirone, Andrew Pendergast y Christopher Betz en su artículo de investigación original de 2013 (PDF).

La premisa fundamental es sencilla. En lugar de tratar las intrusiones como alertas aisladas, el Modelo Diamante obliga a los analistas a plantearse cuatro preguntas sobre cada incidente: ¿Quién es el adversario? ¿Qué capacidades ha utilizado? ¿Qué infraestructura ha respaldado la operación? ¿Y quién o qué ha sido la víctima? El poder analítico reside en las relaciones entre estos cuatro elementos, y no solo en los elementos en sí mismos.

Este enfoque relacional distingue al Modelo Diamante de los marcos secuenciales, como la cadena de ataque cibernético. Mientras que la cadena de ataque describe las fases del ataque en orden, el Modelo Diamante refleja la red de conexiones que existe dentro de cada fase. Ambas perspectivas son importantes, por lo que la mayoría de los equipos de seguridad con mayor experiencia las utilizan conjuntamente.

El Modelo Diamond aparece en los programas de preparación para la certificación CompTIA CySA+ y en los planes de estudios de Security+, por lo que constituye un conocimiento imprescindible para los analistas en cualquier etapa de su carrera profesional.

Los cuatro componentes fundamentales del Modelo Diamante

Cada evento del Modelo del Diamante gira en torno a cuatro elementos, cada uno de los cuales ocupa un vértice del diamante.

  • Adversario. El actor o grupo malicioso responsable de la intrusión. Puede tratarse desde un grupo APT concreto hasta un actor desconocido identificado únicamente por sus patrones de comportamiento. En muchos casos, el nodo del adversario comienza vacío y se va completando a medida que avanza el análisis.
  • Capacidades. Las herramientas, técnicas y malware que utiliza el adversario. Esto incluye código de explotación, puertas traseras personalizadas, binarios «living-off-the-land» y tácticas de ingeniería social. Las capacidades se corresponden directamente con MITRE ATT&CK .
  • Infraestructura. Los recursos físicos o lógicos que proporcionan capacidades o mantienen el mando y el control. Esto incluye servidores de mando y control, nombres de dominio, direcciones de correo electrónico, sitios web comprometidos y cloud . La infraestructura suele ser el elemento más visible y el mejor punto de partida para realizar un pivote.
  • Víctima. El objetivo de la intrusión, ya sea una organización, un sistema concreto, una persona o un conjunto de datos. El perfil de la víctima ayuda a los analistas a comprender los patrones de selección de objetivos y a predecir futuros ataques.

Comprender las relaciones entre características y los bordes

Las cuatro características se interrelacionan a través de seis vínculos, y son precisamente estas relaciones las que confieren al Modelo Diamante su gran potencia analítica. El vínculo «adversario-infraestructura» revela qué recursos controla un actor. El vínculo «capacidad-víctima» muestra cómo determinadas herramientas afectan a objetivos concretos. El vínculo «infraestructura-víctima» pone de manifiesto los mecanismos de ejecución.

Cada relación es bidireccional, lo que permite a los analistas partir de cualquier elemento conocido para descubrir elementos desconocidos. Si se conoce la infraestructura (un dominio C2), se puede recorrer la relación «infraestructura-adversario» para identificar quién la gestiona, o la relación «infraestructura-capacidad» para averiguar qué herramientas se comunican con ella. Esta técnica de análisis cruzado transforma los indicadores de compromiso aislados en información de inteligencia interrelacionada.

Figura: Las cuatro características del modelo Diamond (adversario, capacidad, infraestructura y víctima), conectadas por seis aristas bidireccionales, constituyen la base del análisis estructurado de intrusiones.

Conceptos avanzados: axiomas, metacaracterísticas y encadenamiento de actividades

La mayoría de las guías introductorias se limitan a estas cuatro características. Los fundamentos teóricos más profundos del Modelo Diamante —los axiomas, las metacaracterísticas y el encadenamiento de actividades— son los que lo convierten en un marco analítico riguroso, en lugar de un simple diagrama.

Los siete axiomas del Modelo Diamante

El artículo original establece siete axiomas formales que rigen el funcionamiento del modelo.

  1. Axioma 1 (Axioma del evento). Para cada evento de intrusión, un adversario da un paso hacia un objetivo previsto utilizando una capacidad de la infraestructura contra una víctima para producir un resultado.
  2. Axioma 2 (Ordenación). Cada evento de intrusión forma parte de una secuencia ordenada, y el adversario debe realizar los pasos anteriores antes que los posteriores.
  3. Axioma 3 (Direccionalidad). Cada capacidad y cada elemento de infraestructura tiene una dirección, ya sea hacia la víctima (ataque) o desde el adversario (facilitación).
  4. Axioma 4 (Exhaustividad). Un incidente de intrusión descrito en su totalidad cumple las cuatro características, aunque es posible que los analistas solo conozcan una parte de ellas en un momento dado.
  5. Axioma 5 (Grupo de adversarios). Un adversario es un conjunto de perfiles de adversarios, cada uno de los cuales puede actuar bajo identidades diferentes.
  6. Axioma 6 (Exhaustividad de las capacidades). Todo adversario dispone de un conjunto finito de capacidades, cada una de las cuales requiere una infraestructura específica.
  7. Axioma 7 (Reutilización de la infraestructura). La infraestructura se comparte, se reutiliza o se adapta a nuevos fines en diferentes intrusiones, lo que genera oportunidades de correlación.

El axioma 7 reviste especial importancia para los profesionales. La reutilización de la infraestructura es una de las formas más fiables de vincular sucesos aparentemente inconexos con un mismo adversario o campaña.

Meta-características: los ejes sociopolítico y tecnológico

Más allá de las cuatro características fundamentales, el Modelo Diamante define metacaracterísticas que aportan profundidad contextual.

El eje sociopolítico refleja la relación entre el adversario y la víctima, y describe motivaciones como el espionaje de Estado, los delitos por motivos económicos o el hacktivismo. Este eje ayuda a los analistas a comprender por qué una amenaza persistente avanzada se dirige contra organizaciones concretas.

El eje tecnológico conecta las capacidades y la infraestructura, y describe cómo interactúan las herramientas técnicas con los recursos de apoyo: tipos de protocolos, métodos de cifrado y canales de comunicación.

Otras metadatos adicionales incluyen la marca de tiempo, la fase (asociada a las etapas de la cadena de ataque), el resultado (éxito o fracaso), la dirección, la metodología y los recursos. En conjunto, estos datos convierten cada evento «diamante» en un registro analítico muy completo.

Tabla: Las metacaracterísticas del modelo Diamond amplían el análisis básico con dimensiones contextuales.

Meta-característica Definición Ejemplo Valor analítico
Fecha y hora Cuando ocurrió el suceso 15 de enero de 2026 a las 03:42:00 Establece patrones temporales y el ritmo operativo
Fase Fase de la cadena de ataque del incidente Movimiento lateral Conecta el modelo Diamond con el análisis secuencial
Resultado Resultado del evento Credenciales robadas Realiza un seguimiento del progreso de los adversarios hacia sus objetivos
Dirección De adversario a víctima o de víctima a adversario Baliza C2 entrante Aclara el flujo de comunicación para la detección
Metodología Categoría de actividad phishing Agrupa los eventos por técnica operativa para su clasificación en grupos
Recursos Recursos necesarios para la ejecución Zero-day , acceso a VPN Evalúa la inversión y el nivel de sofisticación del adversario

Encadenamiento de actividades y grupos de actividades

Los eventos tipo «diamante» rara vez se producen de forma aislada. El encadenamiento de actividades conecta cronológicamente los eventos relacionados, utilizando las fases de la cadena de ataque para ordenarlos en una narrativa coherente. Un único encadenamiento puede seguir el rastro desde el acceso inicial, pasando por el movimiento lateral, hasta la exfiltración de datos; cada paso se representa como un evento tipo «diamante» independiente, vinculado por características comunes.

Los grupos de actividades van más allá al agrupar múltiples hilos de actividad que comparten características comunes en cuanto a adversarios, capacidades o infraestructura. Cuando varios hilos apuntan a la misma infraestructura C2 o utilizan la misma puerta trasera personalizada, los analistas pueden agruparlos en una campaña atribuida a un único adversario. Esto amplía el modelo Diamond, pasando del análisis de un solo evento a la inteligencia a nivel de campaña.

Comparación de marcos: el modelo Diamond frente a la cadena de ataque cibernético frente a MITRE ATT&CK

El Modelo Diamante no sustituye a otros marcos de trabajo, sino que los complementa. Comprender en qué aspectos destaca cada marco ayuda a los analistas a elegir el enfoque adecuado para el problema en cuestión.

Tabla: Comparación de los tres principales marcos de inteligencia sobre amenazas.

Marco Enfoque Fuerza Ideal para
Modelo Diamante Relacional (quién, qué, dónde, contra quién) Relacionar elementos y navegar entre incógnitas Atribución, mapeo de campañas, elaboración de perfiles de actores maliciosos
Cadena de ataque cibernético Temporal (fases secuenciales) Identificar la evolución de los ataques y las deficiencias defensivas Reconstrucción de la cronología del incidente, análisis de las deficiencias en la defensa
MITRE ATT&CK Comportamentales (tácticas, técnicas y procedimientos específicos) Catalogación técnica granular con orientación para la detección Ingeniería de detección, defensa basada en amenazas, simulacros de ataque

MITRE ATT&CK incluye ahora 216 técnicas, 475 subtécnicas y 172 grupos de seguimiento, lo que lo convierte en el marco más detallado. Sin embargo, la granularidad por sí sola no revela las relaciones. La característica «adversario» del Modelo Diamante se corresponde con los grupos de ATT&CK, y su característica «capacidad» se corresponde con las técnicas de ATT&CK, lo que crea un punto de integración natural.

Utilizar los tres marcos de trabajo a la vez

Pensemos en un phishing campaña dirigida contra una entidad financiera. La cadena de ataque ordena las fases: reconocimiento, armamento, lanzamiento, explotación, instalación, mando y control, acciones sobre los objetivos. El Modelo Diamante describe la estructura relacional dentro de cada fase: el adversario (grupo de un Estado-nación), la capacidad (cargador personalizado), la infraestructura (sitios web de WordPress comprometidos) y la víctima (departamento de tesorería del banco). ATT&CK ofrece el identificadores de técnicas granulares - T1566.001 paraphishing , T1059.001 para la ejecución de PowerShell, T1071.001 para el protocolo web C2.

En conjunto, estos tres marcos ofrecen a los analistas una visión completa: qué ocurrió (ATT&CK), en qué orden (cadena de ataque) y quién estuvo conectado con qué (modelo Diamond).

Aplicación del modelo del diamante a un incidente

El verdadero valor del Modelo Diamante se pone de manifiesto en el análisis estructurado de incidentes. A continuación se presenta un flujo de trabajo de seis pasos que permite convertir un único indicador en una visión global de las amenazas.

  1. Identifica el incidente de intrusión. Empieza por una alerta confirmada: un dominio sospechoso, un malware o un inicio de sesión anómalo. Este es tu indicador inicial.
  2. Rellena los campos de las características conocidas. Introduce la información de que dispones en el rombo. Un malware se asigna al vértice de «capacidades». Un dominio C2 se asigna al vértice de «infraestructura». Asigna la víctima en función del sistema afectado.
  3. Explora los vínculos. Utiliza los datos conocidos para descubrir lo desconocido. Consulta las plataformas de inteligencia sobre amenazas para identificar otros dominios alojados en la misma IP (de infraestructura a infraestructura). Busca otras muestras que se comuniquen con el mismo C2 (de capacidad a infraestructura). Aquí es donde el Modelo Diamante demuestra su valor.
  4. Añade metadatos. Registra la marca de tiempo, determina la fase de la cadena de ataque, anota el resultado (éxito o fracaso) y evalúa la motivación sociopolítica, si se conoce.
  5. Relaciona los acontecimientos. Vincula este acontecimiento clave con los acontecimientos anteriores y posteriores que compartan características comunes. Construye la narrativa cronológica.
  6. Hilos de actividad agrupados. Cuando varios hilos comparten firmas de adversarios, infraestructura o capacidades específicas, agrúpalos en un grupo de actividad: tu atribución de campañas emergentes.
Flujo de trabajo paso a paso para el análisis del modelo Diamond.
Diagrama: Flujo de trabajo paso a paso del análisis del modelo Diamond.

Técnicas de pivote para la detección de características

El pivoteo es el motor analítico del Modelo Diamante. Empieza por tu indicador más sólido y recorre los bordes de forma sistemática. Si tienes un dominio (infraestructura), comprueba el historial de direcciones IP en el DNS pasivo y, a continuación, busca esas direcciones IP en otros dominios. Compara los dominios con las fuentes de búsqueda de amenazas. Cada pivoteo aporta nuevos datos y, a menudo, revela eventos adicionales para el seguimiento de amenazas.

La clave está en la documentación. Cada cambio de estrategia debe quedar registrado para que el análisis sea reproducible y pueda compartirse con otros analistas durante la respuesta a incidentes.

El modelo del diamante en la práctica

Caso práctico: ToyMaker y el ransomware Cactus (2025)

El análisis del agente de acceso inicial ToyMaker de Cisco Talos muestra tanto el modelo Diamond básico como su capa de relaciones ampliada.

  • Adversarios: ToyMaker (intermediario de acceso inicial, con motivaciones económicas) y Cactus (operadorde ransomware )
  • Capacidades: puerta trasera LAGTOY, herramientas de recopilación de credenciales, ransomware de doble extorsión
  • Infraestructura: sistemas expuestos a Internet comprometidos, infraestructura de control y comando dedicada
  • Víctimas: organizaciones con aplicaciones vulnerables de acceso público
  • Nivel de relación: «Traspaso de» ToyMaker a Cactus aproximadamente un mes después del acceso inicial

Este caso ilustra por qué era necesario ampliar el modelo tradicional de cuatro características. ToyMaker y Cactus son adversarios distintos con capacidades propias, pero el traspaso entre ellos —la relación— es lo que hace que la campaña sea peligrosa. La metodología del «Modelo Diamante» ampliado de Cisco Talos añade esta quinta capa de relación para captar la dinámica del ransomware como servicio.

Caso práctico: el ataque a la cadena de suministro de SolarWinds

La filtración de SolarWinds sigue siendo uno de los casos prácticos más citados del Modelo Diamond, analizado en un artículo revisado por pares publicado en ResearchGate.

  • Adversario: SVR ruso (APT29/Cozy Bear)
  • Capacidad: puerta trasera SUNBURST integrada en las actualizaciones de SolarWinds Orion
  • Infraestructura: distribución de la cadena de suministro de software comprometida, dominios C2 dedicados
  • Víctimas: más de 200 organizaciones, entre ellas organismos del Gobierno de Estados Unidos

El enfoque relacional del Modelo Diamond resultó más adecuado que la cadena de ataque lineal para este caso, en el que la existencia de múltiples categorías de víctimas y una cadena de suministro compleja exigían trazar conexiones en lugar de secuencias.

Tabla: Modelo Diamond aplicado a intrusiones reales.

Caso Adversario Capacidad Infraestructura Víctima
ToyMaker/Cactus (2025) ToyMaker IAB + Cactus RaaS Puerta trasera LAGTOY, doble extorsión Aplicaciones de cara al público comprometidas, servidores C2 Organizaciones con sistemas expuestos a Internet
SolarWinds (2020) APT29 (Servicio de Inteligencia Exterior de Rusia) Puerta trasera SUNBURST Cadena de suministro de actualizaciones de Orion comprometida Más de 200 organizaciones, incluido el Gobierno de los Estados Unidos

Según el Índice de Inteligencia sobre Amenazas de IBM X-Force 2026, los grupos activos de ransomware aumentaron un 49 % en 2025 (109 grupos distintos, frente a los 73 de 2024), con entre 54 y 58 grupos activos al mes a principios de 2026. Esta fragmentación del ecosistema hace que el seguimiento de actividades del Modelo Diamond sea esencial para distinguir y rastrear a los grupos en expansión.

Herramientas y software para la implementación del Modelo Diamond

Varias plataformas son compatibles con los flujos de trabajo del Modelo Diamond. ThreatConnect —cofundada por Andy Pendergast, coautor del Modelo Diamond— incorpora este marco de forma nativa. MISP y OpenCTI ofrecen alternativas de código abierto con modelado de relaciones entre entidades. Las plantillas personalizadas de hojas de cálculo y diagramas siguen siendo habituales en equipos más pequeños. La integración con los estándares STIX/TAXII permite compartir automáticamente información sobre amenazas utilizando las estructuras del Modelo Diamond.

Ventajas y limitaciones del modelo Diamond

Tabla: Puntos fuertes y limitaciones del modelo Diamond para los equipos de inteligencia sobre amenazas.

Ventajas Limitaciones
El análisis relacional estructurado permite realizar giros sistemáticos La simplificación en cuatro características puede pasar por alto matices en intrusiones complejas
Independiente de proveedores y complementario a otros marcos Persisten los problemas de atribución, especialmente en el caso de las operaciones de bandera falsa
La organización de actividades por hilos abarca desde eventos hasta campañas Requiere capacidades avanzadas de recopilación y análisis de datos
Admite análisis parciales (los diamantes incompletos siguen teniendo valor) Instantánea estática por evento sin extensión de subprocesos
Un vocabulario común mejora la comunicación en el equipo Requiere muchos recursos para equipos pequeños que no cuentan con automatización

Las fuentes discrepan sobre si la simplicidad del Modelo Diamante constituye una ventaja o una limitación. ThreatConnect considera que permite realizar análisis rápidos. Otros sostienen que simplifica en exceso las intrusiones. El consenso entre los profesionales resuelve esta cuestión combinando el Modelo Diamante con MITRE ATT&CK una mayor profundidad MITRE ATT&CK las TTP, lo que permite mantener la claridad de las relaciones al tiempo que se añaden detalles granulares sobre el comportamiento. Este enfoque combinado refuerza los flujos de trabajo de detección de amenazas en todo el SOC.

Tendencias futuras y consideraciones emergentes

El Modelo Diamante no es estático. Varios acontecimientos que se produzcan en los próximos 12 a 24 meses determinarán la forma en que las organizaciones lo apliquen.

La novedad más destacada es la «Cisco Talos Relationship Layer», publicada en mayo de 2025. Al incorporar tipos de relaciones como «adquirido de», «transferido de» y «filtrado de», esta ampliación aborda la creciente complejidad de los ecosistemas de ransomware como servicio, en los que varios adversarios colaboran en una misma campaña. Es de esperar que otros proveedores de inteligencia sobre amenazas adopten ampliaciones similares a medida que las operaciones con múltiples actores se conviertan en la norma.

La inteligencia sobre amenazas potenciada por IA está acelerando los flujos de trabajo del Modelo Diamond. La correlación automatizada de entidades, el pivote y el seguimiento de actividades en grandes conjuntos de datos reducen la carga de trabajo manual de los analistas. Según el Informe Global de Inteligencia sobre Amenazas de CyberProof 2026, la IA se integra ya en el 80 % de las campañas de ransomware, lo que significa que los defensores necesitan herramientas de análisis asistidas por IA para mantenerse al día.

La tendencia de la «residencia silenciosa» identificada en el Informe Picus Red 2026 —una caída del 38 % en el cifrado por ransomware, junto con un aumento del 80 % en las técnicas de evasión— aumenta la importancia del pivote relacional. Cuando los adversarios se centran en el sigilo a largo plazo en lugar de en la interrupción inmediata, las correlaciones entre capacidades e infraestructura del Modelo Diamante se vuelven esenciales para la detección.

La consolidación de plataformas también está impulsando la adopción. Según Recorded Future, el 81 % de los profesionales de la seguridad tiene previsto consolidar los proveedores de inteligencia sobre amenazas en 2026. Los marcos estructurados, como el Modelo Diamante, proporcionan un vocabulario analítico común en todas las plataformas unificadas, lo que hace que la consolidación sea más eficaz.

Las organizaciones deberían dar prioridad a la inversión en formación sobre el Modelo Diamante junto con MITRE ATT&CK, adoptar plataformas que permitan el análisis relacional de amenazas e integrar el seguimiento de actividades en sus manuales operativos estándar del SOC.

Enfoques modernos del análisis de inteligencia sobre amenazas

La inteligencia sobre amenazas ha evolucionado mucho más allá de las fuentes estáticas de indicadores de compromiso (IOC). Los profesionales actuales combinan marcos estructurados con análisis de comportamiento, detección basada en inteligencia artificial y correlación automatizada para mantenerse a la altura de los adversarios, que comparten infraestructura y colaboran más allá de los límites de sus organizaciones.

El Modelo Diamante sigue siendo fundamental porque su enfoque relacional refleja el modo en que funcionan realmente los ataques modernos: a través de las conexiones entre actores, herramientas, infraestructura y objetivos. A medida que las plataformas de detección y respuesta en red observan el comportamiento de los atacantes en entornos híbridos, son precisamente los mismos principios relacionales que codifica el Modelo Diamante los que permiten distinguir las amenazas reales del ruido.

Cómo Vectra AI el análisis estructurado de amenazas

Attack Signal Intelligence Vectra AI se ajusta a la filosofía del Modelo Diamante, basada en el análisis relacional y orientado al comportamiento. Al correlacionar los comportamientos de los atacantes en toda la red moderna —que abarca entornos cloud, de identidad, SaaS y locales—, Vectra AI los mismos principios relacionales que codifica el Modelo Diamante. La conexión entre las acciones, las capacidades y la infraestructura de los adversarios proporciona señales, y no ruido, a los analistas que más las necesitan.

Conclusión

El modelo Diamond de análisis de intrusiones ofrece un enfoque estructurado y basado en las relaciones para comprender las intrusiones cibernéticas, que complementa los marcos secuenciales y conductuales. Sus cuatro características fundamentales, sus siete axiomas y sus capacidades de seguimiento de actividades proporcionan a los analistas de todos los niveles —desde candidatos a la certificación hasta profesionales sénior en inteligencia sobre amenazas— una metodología rigurosa para convertir indicadores aislados en inteligencia interrelacionada.

A medida que el panorama de las amenazas se vuelve más complejo —con los ecosistemas de ransomware fragmentándose en docenas de grupos que colaboran entre sí y unos adversarios que dan prioridad al sigilo frente a la interrupción—, el análisis relacional del Modelo Diamond cobra aún más valor, y no al contrario. La ampliación de la capa de relaciones de Cisco Talos para 2025 demuestra que este marco sigue evolucionando al ritmo del panorama de las amenazas.

Empieza por aplicar el flujo de trabajo de seis pasos a tu próximo incidente. Introduce la información de la que dispones, explora los vínculos y deja que las relaciones te guíen hacia lo que aún desconoces. Las organizaciones que deseen poner en práctica estos principios a gran escala pueden descubrir cómo la plataforma Vectra AI ofrece el mismo análisis relacional y basado en el comportamiento a través de Attack Signal Intelligence.

Fundamentos relacionados con la ciberseguridad

What is endpoint detection and response (EDR)? | Vectra AI

Learn what EDR is, how it works, and how it compares to antivirus, XDR, MDR, NDR, and SIEM. Covers evaluation criteria, implementation best practices, and what to look for in an EDR solution.

Seguir leyendo
Automatización SOC: guía completa sobre herramientas, casos de uso y retorno de la inversión

Descubra qué es la automatización SOC, sus ventajas para reducir el agotamiento de los analistas, los principales casos de uso y cómo implementarla de forma eficaz. Incluye un marco de ROI y herramientas.

Seguir leyendo
Fatiga por alertas: causas, coste real y cómo solucionarlo

Descubra qué es la fatiga por alertas, por qué cuesta miles de millones a los SOC y cómo solucionarla. Abarca las causas, los KPI, el impacto normativo y una hoja de ruta para reducirla en 30, 60 y 90 días.

Seguir leyendo
Explicación de la respuesta ante incidentes: seis fases para detectar, contener y recuperar

Descubra qué es la respuesta ante incidentes, las seis fases de la IR, cómo crear un equipo de IR eficaz y las prácticas recomendadas que permiten a las organizaciones ahorrar una media de 473 706 dólares.

Seguir leyendo
OPSEC: How Operational Security Protects Critical Information

OPSEC (operational security) is a five-step framework that protects critical information from adversarial exploitation. Learn the OPSEC process, common failures, AI risks, and how to reduce OPSEC liability.

Seguir leyendo
Operaciones SOC: guía completa del centro de operaciones de seguridad

Descubra qué hace un SOC, cómo estructurar equipos, medir el rendimiento y modernizar las operaciones con IA. Abarca modelos, herramientas, métricas y mejores prácticas.

Seguir leyendo
Explicación de la ciberseguridad en los servicios financieros: amenazas y defensas

Aprenda a proteger a las instituciones financieras frente a las amenazas cibernéticas. Estadísticas actuales, cumplimiento normativo, defensas basadas en inteligencia artificial y casos prácticos reales para 2026.

Seguir leyendo
¿Cómo funciona SIEM y por qué NDR lo complementa?

Vea cómo SIEM recopila, correlaciona e informa. Conozca los límites en entornos cifrados e híbridos, y cómo Modern NDR añade cobertura, claridad y control.

Seguir leyendo
Explicación de la búsqueda de amenazas: cómo los equipos de seguridad detectan ataques ocultos

Descubra cómo la búsqueda moderna de amenazas revela el comportamiento oculto de los atacantes en entornos de red, cloud, SaaS e identidad, mediante el análisis del comportamiento, los metadatos y MITRE ATT&CK .

Seguir leyendo
Ver todos los fundamentos de la ciberseguridad

Preguntas frecuentes

¿En qué consiste el modelo Diamond de análisis de intrusiones?

¿Cuáles son los cuatro componentes del Modelo del Diamante?

¿En qué se diferencia el Modelo Diamante de la cadena de ataque cibernético?

¿En qué se diferencia el Modelo Diamond del MITRE ATT&CK?

¿Cuáles son los siete axiomas del Modelo Diamante?

¿Qué certificaciones abarca el Modelo Diamond?

¿Qué herramientas permiten realizar el análisis del Modelo Diamante?