// TEMA: De la Ofensiva a la Resiliencia
// ENFOQUE: Por qué el Blue Team necesita el ADN del Atacante
// MARCO: MITRE ATT&CK | Cyber Kill Chain | Purple Team Philosophy
// CLASIFICACIÓN: Estrategia Defensiva Avanzada
0x00: El Error del Senior - Desmitificando la Frontera entre Ataque y Defensa
En mi trayectoria como estratega defensivo, me he topado con una creencia tan común como peligrosa: la idea de que el defensor debe vivir en una burbuja de "pureza" técnica, alejado de las tácticas ofensivas.
Un Senior de la entidad para la que trabajo en la oficina, me vió muy echado para adelante y que entendía lo que me exponía así que quedó en moverme si era necesario el CV y portfolio a Respuesta a Incidentes (IR) pero quedó en nada... este senior me descartó como posible candidato.
¿El motivo? Me veía mas con otro perfil, más de atacante, más de Red Team.
Que decepción, no el hecho de que no quiera mover mi CV con sus contactos de IR si no, por encasillarme, denota poco conocimiento.
ALERTA CRÍTICA | ERROR ESTRATÉGICO DE PRIMER NIVEL
"Necesito un analista que proteja mis activos, no un hacker que sepa cómo romperlos"
Ese es precisamente el tipo de mentalidad que condena a una organización a ser reactiva en lugar de proactiva.
De manera que me recordó a un gran libre que leí en su día: "El arte de la guerra"
— Sun Tzu, El Arte de la Guerra
El Blue Team moderno no es un muro de piedra; es un organismo vivo que debe cazar proactivamente amenazas.
En el SOC actual, la excelencia no se mide por cuántos firewalls has instalado, sino por tu capacidad y visión, capacidad de análisis, de ese...no se que...que te hace sospechar a la mínima, para anticipar el siguiente movimiento del adversario.
AXIOMA FUNDAMENTAL
Para desarmar al atacante, primero debes conocer su arma.
El ADN ofensivo no es una distracción; es la base de la resiliencia, palabra que está muy de moda últimamente.
0x01: Los Cimientos del Campo de Batalla - Fundamentos de Redes y Tráfico
Para mí es sencillo, no puedes defender lo que no entiendes...punto.
La red es el terreno donde se libra la batalla, y sus reglas técnicas dictan qué es posible y qué es una anomalía.
>> Modos de Transmisión
Entender el flujo de datos es vital para la detección.
Entender la arquitectura de donde trabajas en fundamental.
Entender todo, sabio de mucho y maestro de nada, constante curiosidad, constante reciclaje.
Un ejemplo, es en el modo Full-duplex donde suelen esconderse las exfiltraciones más sofisticadas:
// MODOS DE TRANSMISIÓN DE DATOS
• Simplex: Los datos viajan en una sola dirección (TV)
• Half-duplex: Flujo bidireccional, pero no simultáneo; se utiliza un solo medio
• Full-duplex: Comunicación bidireccional y simultánea (Vector de exfiltración común)
>> Clasificación de Redes según su Alcance
El radio de impacto de un incidente se define por el tipo de red afectada, básicos de siempre:
| Tipo de Red | Nombre Completo | Alcance / Propósito |
|---|---|---|
PAN | Red de Área Personal | Distancias muy cortas, como una habitación individual |
LAN | Red de Área Local | Superficies y áreas pequeñas (oficinas locales) |
MAN | Red de Área Metropolitana | Conecta dos oficinas en una ciudad, mayor que LAN |
WAN | Red de Área Amplia | Utilizada para conectar grandes distancias geográficas |
>> Topologías de Red
El diseño jerárquico de la red determina nuestra capacidad de respuesta.
Un ejemplo básico, una topología en Estrella facilita enormemente la tarea de un defensor para aislar un host comprometido durante un incidente.
// TOPOLOGÍAS DE RED
• Anillo: Los datos fluyen en una única dirección circular
• Estrella: Dispositivos conectados a un nodo central (Hub) - Ideal para aislamiento rápido
• Árbol: Estructura jerárquica
• Autobús: Conexión a una línea central única
• Totalmente Conectada: Cada nodo tiene conexión directa con todos los demás
DEFINICIÓN TÉCNICA | Tráfico de Red
- Según Techopedia, es la cantidad de datos que se mueven a través de una red en un momento dado, encapsulados en paquetes que constituyen la carga de la red.
- Es el componente principal para la medición, control y simulación de nuestras operaciones defensivas.
0x02: El Modelo OSI y la Metodología de Análisis OSCAR
Para que un analista de IR no se ahogue en el ruido del tráfico, debe aplicar marcos de trabajo rigurosos.
El famoso Modelo OSI estandariza las funciones en 7 capas.
| Capa | Nombre | Función Principal |
|---|---|---|
7 | Aplicación | Interfaz de usuario, protocolos de alto nivel (HTTP, DNS, SMTP) |
6 | Presentación | Formato de datos, cifrado, compresión |
5 | Sesión | Establecimiento y mantenimiento de sesiones |
4 | Transporte | Segmentación, control de flujo (TCP/UDP) |
3 | Red | Enrutamiento, direccionamiento lógico (IP) |
2 | Enlace de datos | Direccionamiento físico (MAC), detección de errores |
1 | Física | Transmisión de bits, cables, señales |
>> Metodología OSCAR: El Flujo de Trabajo Forense
Cuando detectamos una anomalía, no disparamos a ciegas.
Seguimos la metodología OSCAR, un flujo de trabajo que garantiza que la evidencia sea admisible y el análisis, preciso:
// METODOLOGÍA OSCAR (5 FASES)
1. Obtain (Obtener información) → Identificar el alcance del incidente
2. Strategize (Planificar la Estrategia) → Definir qué evidencia necesitamos y cómo obtenerla
3. Collect Evidence (Recopilar evidencia) → Captura de tráfico, logs, memoria, discos
4. Analyze (Analizar) → Inspección profunda, correlación de eventos, identificación de IoCs
5. Report (Informe) → Documentación técnica y ejecutiva, recomendaciones
0x03: Herramientas de Inspección Profunda - El Poder de Wireshark
Wireshark es la "navaja suiza" del Blue Team, la curva de qaprendizaje es dura, yo reconozco que no lo domino, es importante tener lista de filtros para saber que buscar, esta debe actualizarse y adaptarse, ser revisada a menudo.
No pasa nada por tener una "chuleta" nadie es capaz de memorizar todo, es cierto que la experiencia y las horas que dediques te darán fondo, pero no pasa nada por usar apoyo.
Wireshark y Tshark (CLI) tiene capacidades de inspección profunda de protocolos tanto en vivo como en análisis offline.
El estándar de la industria para los archivos de captura de tráfico es .pcap o .pcapng.
>> Análisis DHCP: El Caso del Paquete Request
Dentro de la fase de Análisis de OSCAR, una tarea crítica es identificar dispositivos mediante el protocolo DHCP (Capa de Red, RFC 2131).
Otro básico, el proceso que consta de 4 pasos:
| Paso | Nombre | Descripción | Valor Forense |
|---|---|---|---|
1 | Discovery | El cliente busca servidores DHCP | Bajo |
2 | Offer | El servidor ofrece configuración IP | Medio |
3 | Request | El cliente solicita formalmente la oferta | CRÍTICO |
4 | ACK | El servidor confirma la asignación | Alto |
NOTA IMPORTANTE
El paquete de DHCP Request es donde un defensor encuentra las piezas de información más útiles:
- Dirección MAC
- Nombre del Host
- IP solicitada (intento de mantener IP previa)
En un escenario de respuesta a incidentes, esta información te permite mapear dispositivos no autorizados o identificar cambios de configuración sospechosos (spoofing de MAC, hostname anómalos).
Nos acostumbramos aherramientas de "boton gordo" pero si no profundizamos en los fundamentos y solo nos fiamos de las mismas estamos vendidos, los ataques, son pura entropía, para mi la defensa es canalizar la entropía y aprender a vivir con ella.
dhcp.option.dhcp == 3
# Columnas a mostrar:
• eth.src (MAC) source=src=origen
• dhcp.option.hostname (host)
• dhcp.option.requested_ip_address (IP solicitada)
0x04: Mapeando al Adversario - Cyber Kill Chain y MITRE ATT&CK
Un defensor que no conoce las etapas de un ataque está condenado a reaccionar tarde.
>> La Cyber Kill Chain (Lockheed Martin)
Este modelo describe el ciclo de vida del ataque en etapas secuenciales.
Interrumpir cualquier eslabón de esta cadena neutraliza la operación del adversario.
| Fase | Descripción | Objetivo Defensivo |
|---|---|---|
| Reconocimiento | Investigación de la víctima (OSINT, escaneo) | Reducir superficie de ataque, honeypots |
| Armamento | Creación del payload (malware + exploit) | Threat Intelligence, firmas de malware |
| Entrega | Transmisión del arma (email, web, USB) | Email filtering, endpoint protection |
| Explotación | Ejecución del código malicioso | Patching, sandboxing, EDR |
| Instalación | Persistencia en el sistema | Application whitelisting, monitoring |
| Comando y Control (C2) | Comunicación con servidor del atacante | Network segmentation, IDS/IPS, DNS filtering |
| Acciones en Objetivos | Exfiltración, destrucción, cifrado | DLP, backups, incident response |
>> MITRE ATT&CK: El Lenguaje Común
ATT&CK clasifica las técnicas observadas en ataques reales.
Es fundamental diferenciar entre:
// TÁCTICA vs TÉCNICA
• Táctica: El "qué" intenta lograr el atacante
• Técnica: El "cómo" lo ejecuta
Existen matrices para Empresa, Móvil y PRE-ATT&CK
INSIGHT ARQUITECTÓNICO
Lo más valioso para un analista es usar estas matrices para identificar "puntos ciegos" en nuestra telemetría.
Al mapear las técnicas de un grupo de amenaza contra nuestras capacidades de detección, visualizamos nuestras debilidades reales.
Diseña ataques, defiende como respuesta.
Tácticas priorizadas:
- Initial Access:
T1566.001: Phishing con archivos adjuntos
T1078: Valid Accounts (credenciales robadas)
- Persistence:
T1053.005: Scheduled Tasks
T1547.001: Registry Run Keys
- Defense Evasion:
T1055: Process Injection
T1070.004: File Deletion
¿Tienes detección para TODAS estas técnicas?
0x05: Técnicas de Reconocimiento y OSINT (PRE-ATT&CK)
El atacante siempre empieza fuera de tu red.
Si entiendes cómo te estudian, puedes detectar el "ruido" previo a la brecha.
Investigar en la zona oscura, hacer labor de inteligencia puede ayudar a futuros ataques, en muchos foros "oscuros" (no diré nombres) te puedes a veces informar, algunos se van mucho de la boca...
>> Ingeniería Social (T1279)
Explotación de la psicología humana.
Los defensores deben conocer los 6 principios de influencia de Cialdini:
| Principio | Mecanismo | Ejemplo tonto de Ataque |
|---|---|---|
| Reciprocidad | Devolver favores recibidos | "Te envío este informe gratis, solo ábrelo" |
| Compromiso | Ser consistente con acciones previas | "Ya confirmaste tu email, ahora verifica tu contraseña" |
| Prueba Social | Hacer lo que otros hacen | "500 empleados ya instalaron este software" |
| Simpatía | Confiar en quien nos agrada | Perfil falso en LinkedIn con conexiones comunes |
| Autoridad | Obedecer a figuras de poder | Email falsificado del CEO (BEC attack) |
| Escasez | Miedo a perder oportunidades | "Última oportunidad para actualizar tu cuenta" |
Herramientas como SEToolkit (Social Engineering Toolkit) permiten simular estos ataques para educar a los usuarios.
Por favor no me menciones la capa 8, harás que te mire mal...
>> Escaneo Activo vs Pasivo
// TIPOS DE ESCANEO
• Escaneo Pasivo (T1253): Búsqueda en fuentes públicas sin interactuar directamente con el objetivo.
(Esto ademas es hasta divertido, rollo en el sofá con la tablet)
Ejemplos: Shodan, Google Dorking, certificados SSL públicos
• Escaneo Activo (T1254): Interacción directa usando herramientas como Nmap, Masscan ( siempre con permisos, estas herramientas no son discretas)
Para identificar defensas específicas como un WAF, los atacantes usan WAFW00F (pero con respuesta de ping también determinas si hay un FW detrás...¿no?
nmap -sS -sV -p 80,443 --script=http-waf-detect target.com
# Identificación específica de WAF
wafw00f https://target.com
# Output esperado:
Checking https://target.com
The site is behind Cloudflare (Cloudflare Inc.)
>> OSINT (T1247): Inteligencia de Fuentes Abiertas
Un analista debe dominar las 5 fases del ciclo OSINT:
// CICLO OSINT (5 FASES)
1. Dirección: Definir objetivos de inteligencia (PIRs - Priority Intelligence Requirements)
2. Colección: Recopilar datos de fuentes abiertas
3. Procesamiento: Filtrar y estructurar la información cruda
4. Análisis: Identificar patrones, correlaciones, amenazas
5. Producción: Generar informes accionables
>> Conjuntos de Datos Críticos para OSINT
| Fuente | Tipo de Inteligencia | Caso de Uso Defensivo |
|---|---|---|
| Shodan | Dispositivos IoT, servicios expuestos | Identificar activos propios expuestos inadvertidamente |
| Spyse | Dominios, IPs, certificados SSL | Monitorear infraestructura de shadow IT |
| GTD | Incidentes de terrorismo global | Análisis de amenazas geopolíticas (START consortium) |
| LinkedIn/Glassdoor | Ofertas de trabajo, tecnologías usadas (T1248) | Identificar qué sistemas específicos busca el adversario |
| Have I Been Pwned | Credenciales comprometidas | Validar si correos corporativos están en brechas (ojo con matices) |
>> Análisis Técnico de Firmware (T1258)
Los atacantes usan binwalk para analizar firmware de dispositivos IoT, extrayendo sistemas de archivos y buscando credenciales hardcodeadas.
Análisis de ingeniería inversa, debes saber interpretar un mínimo, cabeceras, funciones, hasta ensamblador (tiembla).
binwalk -e firmware.bin
# Output típico:
DECIMAL HEXADECIMAL DESCRIPTION
0 0x0 uImage header
64 0x40 LZMA compressed data
1048576 0x100000 Squashfs filesystem
# Buscar credenciales en archivos extraídos
grep -r "password" _firmware.bin.extracted/
LECCIÓN CRÍTICA
Si un atacante puede analizar el firmware de tus cámaras IP, routers o controladores industriales, puede encontrar backdoors de fábrica o credenciales por defecto.
Como defensor, debes hacer este mismo análisis ANTES que el adversario.
¿Atacas cuando realizas estos análisis?
0x06: Inteligencia de Amenazas y la Pirámide del Dolor
La inteligencia estratégica nos permite diferenciar entre:
// CONCEPTOS FUNDAMENTALES
• Amenaza: Peligro potencial
• Vulnerabilidad: Debilidad explotable en un sistema
• Riesgo: La intersección de amenaza × vulnerabilidad × impacto (esto se enseña en la especialidad de FP de ASIR + Ciberseguridad)
>> APT: Amenazas Persistentes Avanzadas
En el ecosistema actual, enfrentamos APTs: actores sigilosos, a menudo estatales, que buscan permanencia prolongada.
Ejemplos que deben estar en tu radar:
| Grupo APT | Atribución | Sectores Objetivo | TTPs Característicos |
|---|---|---|---|
| APT39 | Irán | Telecomunicaciones, viajes | Credential harvesting, backdoors personalizados |
| APT41 | China | Gaming, healthcare, telco | Supply chain attacks, rootkits |
| Muddy Water | Irán | Gobierno, educación | Spear phishing, PowerShell, living-off-the-land |
| Lazarus Group | Corea del Norte | Financiero, criptomonedas | Destructive malware, BEC, ransomware |
>> Protocolos de Intercambio de Inteligencia
Compartimos esta inteligencia mediante estándares de la industria:
// PROTOCOLOS DE THREAT INTELLIGENCE
• STIX (Structured Threat Information Expression): Lenguaje estructurado para describir amenazas.
Define objetos como: Indicator, Malware, TTP, Campaign, Threat Actor
• TAXII (Trusted Automated Exchange of Intelligence Information): Protocolo de transporte automatizado.
Permite compartir feeds de IoCs en tiempo real
• OpenIOC: Framework de Mandiant para documentar Indicadores de Compromiso.
Formato XML que describe artefactos técnicos (hashes, IPs, mutex, registry keys)
>> La Pirámide del Dolor (David J. Bianco)
Para ser realmente resilientes, debemos subir en esta pirámide.
No basta con bloquear un Hash; debemos atacar el método del adversario.
Los niveles de dificultad para el atacante son:
| Nivel (↑ más difícil) | Indicador | Esfuerzo de Cambio | Valor Defensivo |
|---|---|---|---|
| 🔺 TTPs | Tácticas, Técnicas y Procedimientos | CRÍTICO | MUY ALTO |
| 🔻 Tools | Herramientas usadas (Cobalt Strike, Mimikatz) | DESAFIANTE | ALTO |
| 🔻 Network/Host Artifacts | Patrones de tráfico, mutex, registry keys | MOLESTO | MEDIO-ALTO |
| 🔻 Domain Names | Dominios C2, phishing domains | SIMPLE | MEDIO |
| 🔻 IP Addresses | IPs de infraestructura C2 | FÁCIL | BAJO |
| 🔻 Hash Values | MD5, SHA1, SHA256 de malware | TRIVIAL | MUY BAJO |
OBJETIVO ESTRATÉGICO
Detectar TTPs es lo más valioso porque es lo más difícil y costoso de cambiar para el atacante.
Un hash se cambia en segundos con un recompilador; un TTP (como "lateral movement via WMI") requiere rediseñar toda la operación.
0x07: Conclusión y Hoja de Ruta - Hacia una Defensa Proactiva
Saber atacar no es una opción; es la herramienta que te permitirá construir una defensa que no se rompa al primer impacto.
No digo que seas puro atacante con la OSCP que rompa cualquier cosa, no necesitamos a MR.Robot
Pero...como analistas nuestra misión es transformar el conocimiento ofensivo en resiliencia y vigilancia.
>> Roadmap de Acción para el Blue Team
| Fase | Actividad | Herramientas/Frameworks | Resultado Esperado |
|---|---|---|---|
| 1. Análisis Táctico | Practica la disección de tráfico malicioso | Wireshark, PCAP analysis, DHCP/DNS forensics | Identificar patrones de C2 y exfiltración |
| 2. Emulación de Adversarios | Mapea técnicas de grupos APT específicos | MITRE ATT&CK Navigator, threat reports | Perfiles de amenaza personalizados por sector |
| 3. Mapeo de Brechas | Identifica puntos ciegos de telemetría | ATT&CK Navigator + SIEM capabilities matrix | Lista priorizada de brechas defensivas |
| 4. Implementación de Mitigaciones | Aplica controles específicos de MITRE | M1036, M1047, M1026, M1038, etc. | Cobertura de detección >80% para APTs críticos |
💡 MARCO DE MITIGACIONES MITRE
Los controles de mitigación están codificados en la matriz ATT&CK:
M1036- Account Use PoliciesM1047- Audit (logging y monitoreo)M1026- Privileged Account ManagementM1038- Execution Prevention (AppLocker, WDAC)M1049- Antivirus/AntimalwareM1031- Network Intrusion Prevention
>> Adopta la Mentalidad Purple Team
La verdadera excelencia no está en ser solo Blue o solo Red, sino en fusionar ambas perspectivas:
// PRINCIPIOS PURPLE TEAM
• Conoce el arma: Domina y sobretodo entiende las herramientas ofensivas (Nmap, Metasploit, Cobalt Strike, BloodHound) y peleate con un Ubuntu server pelado y vive de la tierra (LOTL).
• Domina el terreno: Entiende tu red a nivel de paquete, flujo y sesión, volvemos a lo mismo, domina y vive de la tierra, explora, se curioso, si no lo eres, dedica tu vida a otra cosa.
• Construye una defensa que el atacante no pueda ignorar: Detección basada en comportamiento, no solo firmas y falsos positivos, EDR mal afinados, esto distrae, si tienes más de un 20% de falsos positivos de DLP, tienes un problema para la fuga de datos, no voy a decir más, he colado JSON por correo corporativo a Google por la jeta, no te diré como, no eran maliciosos eso sí, no me la juego con el pan de mis hijos.
— Filosofía Purple Team y de Sammi xD
CONCLUSIÓN FINAL
El ADN del atacante no contamina al defensor; lo evoluciona.
En un ecosistema donde las APTs operan con presupuestos millonarios y paciencia de años, la única forma de sobrevivir es anticipar, adaptar y atacar primero.
Conoce a tu enemigo, conoce sus armas y conviértete en el adversario que tu organización necesita vencer.
[ EOF ] 2DevNullPoisonXploit
"El mejor defensor es quien conoce todas las formas de atacar"