Ir al contenido
Detección y Respuesta

¿Qué es la caza de amenazas (threat hunting)?

La caza de amenazas (threat hunting) es la búsqueda proactiva y guiada por hipótesis de atacantes que ya podrían estar dentro de la red, realizada por analistas antes de que suene cualquier alarma. En lugar de esperar la alerta, el cazador parte de la base de que la empresa ya sufrió una intrusión y va tras las señales discretas que las herramientas automáticas no percibieron. Es el complemento humano de la detección automática.

Zamak TechnologiesActualizado el 12 de julio de 2026

Cómo funciona la caza de amenazas

La caza de amenazas no espera a que suene la alarma. Invierte la lógica: asume que el intruso ya entró y sale a buscarlo, en un ciclo de cuatro etapas que combina la intuición del analista con los datos que la empresa ya registra.

1

Formular una hipótesis

Todo empieza con una pregunta basada en cómo actúan los atacantes: “si alguien hubiera robado una credencial y se estuviera moviendo por la red, ¿qué rastro dejaría?”. Las tácticas y técnicas de MITRE ATT&CK convierten la corazonada en una hipótesis que se puede probar.

2

Investigar en los datos

El cazador revisa la telemetría que la empresa ya recopila (endpoints, registros, red y nube) en busca del comportamiento previsto por la hipótesis. Busca el patrón, no una firma conocida, que es justamente lo que la alarma no detecta.

3

Descubrir y confirmar

La investigación termina de una forma u otra: encuentra al intruso o la actividad oculta y reconstruye lo que tocó, o confirma que la hipótesis no se sostiene. Un “nada encontrado” bien hecho también vale: reduce la incertidumbre.

4

Responder y reforzar la defensa

Si aparece algo, la amenaza se contiene y se elimina. Y el hallazgo se convierte en una detección automática nueva: la caza de hoy le enseña al sistema a activarse solo la próxima vez. Cada ronda deja la defensa más inteligente.

Fuente: Cyber Encyclopedia de N-able (threat hunting) y el SANS Institute.

Qué busca la caza de amenazas que la alarma no ve

  • Actividad que parece legítima: una cuenta válida actuando fuera de su patrón, o el intruso usando las propias herramientas del sistema (living off the land) para que nada de lo que instala active una alerta.
  • Señales débiles y dispersas que por sí solas no valen una alarma, pero que juntas cuentan una historia: un inicio de sesión inusual, un proceso raro y un pequeño envío de datos hacia afuera, el mismo día.
  • Persistencia latente: un acceso plantado semanas antes, esperando el momento de actuar, sin hacer ruido mientras espera.
  • Movimiento lateral lento, un salto a la vez de una máquina a otra, lo bastante despacio como para no llamar la atención.
  • Comunicación discreta con el exterior (beaconing), el intruso “llamando a casa” escondido dentro del tráfico normal de la empresa.

Los tres tipos de caza de amenazas

  • Guiada por hipótesis (basada en TTP) La más madura: el cazador parte de las tácticas y técnicas conocidas de los atacantes (mapeadas en MITRE ATT&CK) y pregunta “si usaran esta técnica aquí, ¿qué vería?”. Es proactiva de verdad y no depende de ningún indicio previo.
  • Guiada por indicio o inteligencia (IOC) Parte de un indicador conocido (una dirección, un archivo, una campaña recién reportada) y verifica si ya apareció en el entorno. Convierte la noticia de un ataque en una búsqueda concreta dentro de casa.
  • Guiada por anomalía y aprendizaje automático Parte de una desviación del comportamiento normal señalada por análisis automático o aprendizaje automático; el analista investiga entonces si esa desviación es un ataque o solo lo inusual del día.

Por qué la caza de amenazas importa para el negocio

29 min
es el tiempo promedio que tarda un intruso, una vez dentro, en saltar al resto de la red (CrowdStrike, datos de 2025)
48%
de las intrusiones no las descubre la propia empresa: el aviso llega de afuera o del propio atacante (Mandiant M-Trends, 2026)
51%
de las organizaciones ya formalizó una metodología de caza de amenazas, frente al 35% del año anterior (SANS, 2024)

El problema que la caza de amenazas resuelve es el tiempo. Una vez dentro, un intruso tarda en promedio 29 minutos en empezar a propagarse por la red (CrowdStrike, datos de 2025), pero suele quedarse oculto durante días antes de actuar, justamente porque avanza en silencio. Y aun con la detección interna mejorando, en casi la mitad de las intrusiones (48%) la empresa no es quien las descubre: el aviso llega de afuera, de un cliente, un banco o la policía, o del propio delincuente, en el pedido de rescate (Mandiant M-Trends, 2026). Esperar la alarma es apostar todo el negocio a que una herramienta atrape a un intruso paciente y discreto. La caza de amenazas invierte la apuesta: asume que ya está dentro y sale a encontrarlo primero. No por casualidad se volvió práctica estándar: el 51% de las organizaciones ya la formalizó (SANS, 2024). Cuanto antes se encuentra una intrusión, menor es el daño y el costo.

Cómo poner en marcha la caza de amenazas

Cazar amenazas no exige un laboratorio caro, exige método y la materia prima adecuada. Cinco pasos hacen la práctica viable, incluso para quien no tiene un centro de operaciones propio.

  1. Adopte la mentalidad de “asuma la intrusión”Deje de preguntar solo “¿sufrimos una intrusión?” y empiece a preguntar “si ya la sufrimos, ¿dónde está el intruso?”. Ese cambio de premisa es lo que separa la caza de la simple espera de la alarma.
  2. Asegure la materia prima: datos y retenciónNo se caza lo que no se registra. Una telemetría rica de endpoints, red, nube e identidad, guardada el tiempo suficiente, es el terreno donde el cazador busca.
  3. Use el mapa: MITRE ATT&CKEl catálogo de tácticas y técnicas de los atacantes convierte la corazonada en una hipótesis verificable y da un lenguaje común para describir qué se busca y qué se encuentra.
  4. Ponga gente calificada, propia o dedicadaLa caza es humana: la herramienta acelera la búsqueda, pero quien plantea la hipótesis e interpreta el hallazgo es el analista. Muchas empresas obtienen esta capacidad mediante un servicio gestionado, junto al equipo interno, sin armar un área desde cero.
  5. Cierre el ciclo: todo hallazgo se vuelve detecciónEl mayor valor de la caza es aprender de ella: cada descubrimiento debe convertirse en una regla de detección automática nueva. Lo que cazó a mano hoy debe activarse solo mañana.

En la práctica

La detección automática pregunta “¿esto es un ataque que ya conozco?”. La caza de amenazas hace la pregunta que falta: “¿y si el ataque que todavía no conozco ya está aquí dentro?”. Es la diferencia entre cerrar la puerta con llave e ir a verificar si alguien ya entró por ella.

Cómo trata Zamak la caza de amenazas

En Zamak Technologies, la caza de amenazas no es un extra suelto: es parte de la ciberseguridad gestionada, dentro de la Caza y Respuesta a Amenazas (MDR/XDR) del Método Zamak. Los analistas parten de la base de que el intruso ya puede estar dentro, investigan la telemetría con el apoyo de la defensa avanzada de endpoint (EDR) y del mapa MITRE ATT&CK, y convierten cada hallazgo en una detección nueva, alimentados por la inteligencia de amenazas que anticipa las tácticas de los atacantes. Todo junto a su equipo, que sigue al mando: la caza es el refuerzo proactivo que un equipo interno rara vez logra mantener por sí solo, las 24 horas. Empiece por medir dónde está su empresa con el diagnóstico de ciberseguridad.

Preguntas frecuentes sobre la caza de amenazas

¿Cuál es la diferencia entre la caza de amenazas y la detección automática?
La detección automática (de un EDR o un SIEM) espera a que una regla o firma se active y entonces avisa. La caza de amenazas hace lo contrario: asume que algo pasó y va a buscar de forma activa, guiada por hipótesis, lo que ninguna alarma señaló. Las dos se complementan: la caza encuentra lo que se escapó y le enseña a la herramienta a atraparlo la próxima vez.
¿Necesito un SOC o un MDR para cazar amenazas?
La caza es una disciplina, no un producto: se puede hacer con un centro de operaciones (SOC) propio o contratarla como parte de un servicio gestionado de detección y respuesta (MDR/XDR). Para la mayoría de las empresas, el servicio gestionado es el camino, porque entrega analistas y guardia permanente sin el costo de armar un equipo interno.
¿La caza de amenazas es automatizada?
Las herramientas aceleran la caza: consultan la telemetría en segundos y usan aprendizaje automático para señalar anomalías. Pero el núcleo es humano: quien plantea la hipótesis, lee el contexto y decide si es un ataque es el analista. La automatización alimenta la caza y recibe de vuelta las detecciones que ella crea.
¿Cuál es la diferencia entre la caza de amenazas y la inteligencia de amenazas (threat intelligence)?
La inteligencia de amenazas es el conocimiento sobre los atacantes y sus tácticas, el insumo. La caza de amenazas es el acto de buscar a esos atacantes dentro de su propio entorno, muchas veces usando esa inteligencia como punto de partida. Una informa; la otra investiga.
¿Una empresa pequeña necesita caza de amenazas?
La necesita, y suele ser la menos protegida: rara vez tiene detección proactiva, así que un intruso puede pasar meses sin ser notado. La empresa pequeña obtiene la caza mediante un servicio gestionado, y consigue vigilancia de nivel enterprise sin armar un centro de operaciones.
¿Qué encuentra la caza de amenazas que las herramientas dejan pasar?
Al intruso paciente y silencioso: el que usa credenciales válidas y las herramientas legítimas del propio sistema, avanza despacio y se queda días o semanas por debajo del umbral que activaría una alarma. Es justamente ese perfil, el que no hace ruido, el que la caza existe para encontrar.