Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 013

Defensa activa

Revisado porCybersecurity entrepreneur & security researcher

¿Qué es Defensa activa?

Defensa activaEstrategia defensiva que va más allá de la supervisión pasiva para enfrentar, engañar e interrumpir a los adversarios dentro de los propios activos del defensor.


La defensa activa engloba técnicas que aumentan el coste y el riesgo para el atacante sin cruzar la línea del hack-back ilegal. Incluye engaño (honeypots, honeyfiles, cuentas señuelo), threat hunting, interacción en la red, tarpits, documentos con balizas y operaciones de inteligencia (ganancia/pérdida). El marco MITRE Engage formaliza la disciplina, sustituyendo al antiguo proyecto Shield, y agrupa técnicas como recolección, detección, disrupción, tranquilización y motivación. La defensa activa se ejecuta íntegramente sobre activos propios o controlados. Complementa la detección y respuesta tradicionales modelando el comportamiento del atacante, generando telemetría de alta calidad y produciendo inteligencia accionable.

Una forma útil de delimitar la disciplina es el espectro de "molestia, atribución y ataque" (annoyance, attribution, and attack) popularizado por la Active Defense Harbinger Distribution (ADHD) asociada a SANS: solo los dos primeros son lícitos para la mayoría de las organizaciones, mientras que el "ataque" —hackear la propia infraestructura del adversario— generalmente infringe la Computer Fraud and Abuse Act (CFAA) estadounidense y leyes equivalentes en el extranjero. Entre las herramientas prácticas y defendibles se incluyen los tokens canario (Thinkst Canarytokens), tarpits SSH como Endlessh, el histórico tarpit LaBrea y credenciales señuelo plantadas en LSASS o en el navegador para hacer caer a las herramientas de robo de credenciales. Cada una dispara una alerta de alta fidelidad porque un usuario legítimo no tiene ninguna razón para tocarlas jamás, lo que reduce drásticamente los falsos positivos frente a las alertas basadas en firmas.

La interacción también aporta inteligencia: la baliza de un honeyfile puede revelar un punto de exfiltración, y una cuenta señuelo de Active Directory que de repente se autentica delata un movimiento lateral en curso. Los defensores deben sopesar la "ganancia/pérdida de inteligencia" —el riesgo de que interactuar con un adversario lo alerte y queme el engaño— y mantener cada acción dentro de la infraestructura propia para permanecer del lado correcto de la ley.

flowchart LR
  A[Adversario dentro de la red] --> B{¿Toca el señuelo?}
  B -- Sí --> C[Alerta de alta fidelidad]
  B -- No --> D[Monitorización rutinaria]
  C --> E[Enfrentar: tarpit / observar]
  E --> F[Recolectar TTPs e IOCs]
  F --> G[Interrumpir y expulsar]
  G --> H[Alimentar la inteligencia de amenazas]

Ejemplos

  1. 01

    Tarpit que mantiene las conexiones TCP de un escáner abiertas durante minutos.

  2. 02

    Honeyfile con baliza para identificar el destino de la exfiltración.

Preguntas frecuentes

¿Qué es Defensa activa?

Estrategia defensiva que va más allá de la supervisión pasiva para enfrentar, engañar e interrumpir a los adversarios dentro de los propios activos del defensor. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.

¿Qué significa Defensa activa?

Estrategia defensiva que va más allá de la supervisión pasiva para enfrentar, engañar e interrumpir a los adversarios dentro de los propios activos del defensor.

¿Cómo defenderse de Defensa activa?

Las defensas contra Defensa activa combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

¿Cuáles son otros nombres para Defensa activa?

Nombres alternativos comunes: Operaciones defensivas, Engagement adversario.

Términos relacionados

Véase también