Defensa activa
¿Qué es Defensa activa?
Defensa activaEstrategia defensiva que va más allá de la supervisión pasiva para enfrentar, engañar e interrumpir a los adversarios dentro de los propios activos del defensor.
La defensa activa engloba técnicas que aumentan el coste y el riesgo para el atacante sin cruzar la línea del hack-back ilegal. Incluye engaño (honeypots, honeyfiles, cuentas señuelo), threat hunting, interacción en la red, tarpits, documentos con balizas y operaciones de inteligencia (ganancia/pérdida). El marco MITRE Engage formaliza la disciplina, sustituyendo al antiguo proyecto Shield, y agrupa técnicas como recolección, detección, disrupción, tranquilización y motivación. La defensa activa se ejecuta íntegramente sobre activos propios o controlados. Complementa la detección y respuesta tradicionales modelando el comportamiento del atacante, generando telemetría de alta calidad y produciendo inteligencia accionable.
● Ejemplos
- 01
Tarpit que mantiene las conexiones TCP de un escáner abiertas durante minutos.
- 02
Honeyfile con baliza para identificar el destino de la exfiltración.
● Preguntas frecuentes
¿Qué es Defensa activa?
Estrategia defensiva que va más allá de la supervisión pasiva para enfrentar, engañar e interrumpir a los adversarios dentro de los propios activos del defensor. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Defensa activa?
Estrategia defensiva que va más allá de la supervisión pasiva para enfrentar, engañar e interrumpir a los adversarios dentro de los propios activos del defensor.
¿Cómo funciona Defensa activa?
La defensa activa engloba técnicas que aumentan el coste y el riesgo para el atacante sin cruzar la línea del hack-back ilegal. Incluye engaño (honeypots, honeyfiles, cuentas señuelo), threat hunting, interacción en la red, tarpits, documentos con balizas y operaciones de inteligencia (ganancia/pérdida). El marco MITRE Engage formaliza la disciplina, sustituyendo al antiguo proyecto Shield, y agrupa técnicas como recolección, detección, disrupción, tranquilización y motivación. La defensa activa se ejecuta íntegramente sobre activos propios o controlados. Complementa la detección y respuesta tradicionales modelando el comportamiento del atacante, generando telemetría de alta calidad y produciendo inteligencia accionable.
¿Cómo defenderse de Defensa activa?
Las defensas contra Defensa activa combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Defensa activa?
Nombres alternativos comunes: Operaciones defensivas, Engagement adversario.
● Términos relacionados
- defense-ops№ 293
Tecnología de engaño
Enfoque defensivo que despliega señuelos, migas de pan y activos falsos en todo el entorno para detectar, despistar y estudiar a los atacantes con alta fidelidad.
- network-security№ 485
Honeypot
Sistema o servicio señuelo expuesto deliberadamente para atraer atacantes, observar sus técnicas y desviarlos de los activos productivos.
- defense-ops№ 483
Honeyfile
Documento señuelo colocado en el almacenamiento para generar una alerta si un atacante o usuario interno lo lee, copia o exfiltra.
- defense-ops№ 1147
Caza de Amenazas
Búsqueda proactiva basada en hipótesis sobre la telemetría para descubrir amenazas que han eludido las detecciones existentes.
- defense-ops№ 456
Hack-back
Acción ofensiva de represalia de una víctima privada contra la infraestructura del atacante, generalmente ilegal según la mayoría de las leyes nacionales de uso indebido de sistemas informáticos.
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.