El monitoreo tradicional avisa cuando algo ya pasó.
El threat hunting te prepara para detectar patrones que no gatillan una alerta inmediata.
Es una práctica de investigación diaria, con hipótesis y priorización de riesgo.
En qué se diferencia
No estás buscando “ataques famosos” una vez al mes.
Estás revisando tu entorno con una pregunta concreta:
- ¿Qué comportamiento no encaja con la normalidad de mi negocio?
Si no tienes esa hipótesis, estás revisando por rutina, no por inteligencia.
El punto de partida en 3 preguntas
- ¿Qué activo protege más valor? datos de clientes, pagos, operaciones.
- ¿Dónde sería más rentable para un atacante actuar primero?
- ¿Qué señales te indicarían que alguien está moviéndose sin autoridad?
Con esas respuestas, diseña tus búsquedas semanales.
Un ciclo simple para empezar
- Define hipótesis de riesgo.
- Analiza logs autenticación, cambios de privilegios y salidas anómalas.
- Contrasta con una línea base de comportamiento normal.
- Documenta hallazgos y prioriza por impacto.
- Convierte cada hallazgo en una mejora de control.
Tip práctico: empieza con dos hipótesis activas por semana, no con diez.
Qué puede revisar un equipo pequeño
No necesitas un equipo complejo para iniciar.
Con un pequeño equipo puedes cubrir:
- cuentas con privilegios altos;
- accesos en horario no usual;
- cambios de configuración no aprobados;
- actividad repetitiva entre subredes internas.
Cómo medir madurez
Mide progreso con tres indicadores:
- porcentaje de hipótesis validadas;
- tiempo de cierre de hallazgos;
- reducción de alertas de bajo valor tras cada ciclo de mejora.