¿Qué es la caza de amenazas (threat hunting)?
La caza de amenazas (threat hunting) es la búsqueda proactiva y guiada por hipótesis de atacantes que ya podrían estar dentro de la red, realizada por analistas antes de que suene cualquier alarma. En lugar de esperar la alerta, el cazador parte de la base de que la empresa ya sufrió una intrusión y va tras las señales discretas que las herramientas automáticas no percibieron. Es el complemento humano de la detección automática.
Cómo funciona la caza de amenazas
La caza de amenazas no espera a que suene la alarma. Invierte la lógica: asume que el intruso ya entró y sale a buscarlo, en un ciclo de cuatro etapas que combina la intuición del analista con los datos que la empresa ya registra.
Formular una hipótesis
Todo empieza con una pregunta basada en cómo actúan los atacantes: “si alguien hubiera robado una credencial y se estuviera moviendo por la red, ¿qué rastro dejaría?”. Las tácticas y técnicas de MITRE ATT&CK convierten la corazonada en una hipótesis que se puede probar.
Investigar en los datos
El cazador revisa la telemetría que la empresa ya recopila (endpoints, registros, red y nube) en busca del comportamiento previsto por la hipótesis. Busca el patrón, no una firma conocida, que es justamente lo que la alarma no detecta.
Descubrir y confirmar
La investigación termina de una forma u otra: encuentra al intruso o la actividad oculta y reconstruye lo que tocó, o confirma que la hipótesis no se sostiene. Un “nada encontrado” bien hecho también vale: reduce la incertidumbre.
Responder y reforzar la defensa
Si aparece algo, la amenaza se contiene y se elimina. Y el hallazgo se convierte en una detección automática nueva: la caza de hoy le enseña al sistema a activarse solo la próxima vez. Cada ronda deja la defensa más inteligente.
Fuente: Cyber Encyclopedia de N-able (threat hunting) y el SANS Institute.
Qué busca la caza de amenazas que la alarma no ve
- Actividad que parece legítima: una cuenta válida actuando fuera de su patrón, o el intruso usando las propias herramientas del sistema (living off the land) para que nada de lo que instala active una alerta.
- Señales débiles y dispersas que por sí solas no valen una alarma, pero que juntas cuentan una historia: un inicio de sesión inusual, un proceso raro y un pequeño envío de datos hacia afuera, el mismo día.
- Persistencia latente: un acceso plantado semanas antes, esperando el momento de actuar, sin hacer ruido mientras espera.
- Movimiento lateral lento, un salto a la vez de una máquina a otra, lo bastante despacio como para no llamar la atención.
- Comunicación discreta con el exterior (beaconing), el intruso “llamando a casa” escondido dentro del tráfico normal de la empresa.
Los tres tipos de caza de amenazas
- Guiada por hipótesis (basada en TTP) La más madura: el cazador parte de las tácticas y técnicas conocidas de los atacantes (mapeadas en MITRE ATT&CK) y pregunta “si usaran esta técnica aquí, ¿qué vería?”. Es proactiva de verdad y no depende de ningún indicio previo.
- Guiada por indicio o inteligencia (IOC) Parte de un indicador conocido (una dirección, un archivo, una campaña recién reportada) y verifica si ya apareció en el entorno. Convierte la noticia de un ataque en una búsqueda concreta dentro de casa.
- Guiada por anomalía y aprendizaje automático Parte de una desviación del comportamiento normal señalada por análisis automático o aprendizaje automático; el analista investiga entonces si esa desviación es un ataque o solo lo inusual del día.
Por qué la caza de amenazas importa para el negocio
El problema que la caza de amenazas resuelve es el tiempo. Una vez dentro, un intruso tarda en promedio 29 minutos en empezar a propagarse por la red (CrowdStrike, datos de 2025), pero suele quedarse oculto durante días antes de actuar, justamente porque avanza en silencio. Y aun con la detección interna mejorando, en casi la mitad de las intrusiones (48%) la empresa no es quien las descubre: el aviso llega de afuera, de un cliente, un banco o la policía, o del propio delincuente, en el pedido de rescate (Mandiant M-Trends, 2026). Esperar la alarma es apostar todo el negocio a que una herramienta atrape a un intruso paciente y discreto. La caza de amenazas invierte la apuesta: asume que ya está dentro y sale a encontrarlo primero. No por casualidad se volvió práctica estándar: el 51% de las organizaciones ya la formalizó (SANS, 2024). Cuanto antes se encuentra una intrusión, menor es el daño y el costo.
Cómo poner en marcha la caza de amenazas
Cazar amenazas no exige un laboratorio caro, exige método y la materia prima adecuada. Cinco pasos hacen la práctica viable, incluso para quien no tiene un centro de operaciones propio.
- Adopte la mentalidad de “asuma la intrusión”Deje de preguntar solo “¿sufrimos una intrusión?” y empiece a preguntar “si ya la sufrimos, ¿dónde está el intruso?”. Ese cambio de premisa es lo que separa la caza de la simple espera de la alarma.
- Asegure la materia prima: datos y retenciónNo se caza lo que no se registra. Una telemetría rica de endpoints, red, nube e identidad, guardada el tiempo suficiente, es el terreno donde el cazador busca.
- Use el mapa: MITRE ATT&CKEl catálogo de tácticas y técnicas de los atacantes convierte la corazonada en una hipótesis verificable y da un lenguaje común para describir qué se busca y qué se encuentra.
- Ponga gente calificada, propia o dedicadaLa caza es humana: la herramienta acelera la búsqueda, pero quien plantea la hipótesis e interpreta el hallazgo es el analista. Muchas empresas obtienen esta capacidad mediante un servicio gestionado, junto al equipo interno, sin armar un área desde cero.
- Cierre el ciclo: todo hallazgo se vuelve detecciónEl mayor valor de la caza es aprender de ella: cada descubrimiento debe convertirse en una regla de detección automática nueva. Lo que cazó a mano hoy debe activarse solo mañana.
En la práctica
La detección automática pregunta “¿esto es un ataque que ya conozco?”. La caza de amenazas hace la pregunta que falta: “¿y si el ataque que todavía no conozco ya está aquí dentro?”. Es la diferencia entre cerrar la puerta con llave e ir a verificar si alguien ya entró por ella.
Cómo trata Zamak la caza de amenazas
En Zamak Technologies, la caza de amenazas no es un extra suelto: es parte de la ciberseguridad gestionada, dentro de la Caza y Respuesta a Amenazas (MDR/XDR) del Método Zamak. Los analistas parten de la base de que el intruso ya puede estar dentro, investigan la telemetría con el apoyo de la defensa avanzada de endpoint (EDR) y del mapa MITRE ATT&CK, y convierten cada hallazgo en una detección nueva, alimentados por la inteligencia de amenazas que anticipa las tácticas de los atacantes. Todo junto a su equipo, que sigue al mando: la caza es el refuerzo proactivo que un equipo interno rara vez logra mantener por sí solo, las 24 horas. Empiece por medir dónde está su empresa con el diagnóstico de ciberseguridad.