Pirámide del Dolor
¿Qué es Pirámide del Dolor?
Pirámide del DolorModelo de David Bianco que clasifica los indicadores de compromiso según cuánto le cuesta al atacante adaptarse cuando los defensores los detectan o bloquean.
La Pirámide del Dolor, presentada por David Bianco en 2013, ordena los indicadores de compromiso (IoCs) desde triviales hasta muy costosos de cambiar para el adversario. De abajo a arriba: hashes (triviales), direcciones IP (fáciles), dominios (simples), artefactos de red y host (molestos), herramientas (desafiantes) y TTPs — tácticas, técnicas y procedimientos (difíciles). Detectar indicadores bajos aporta valor efímero porque los atacantes los rotan rápido; detectar herramientas y TTPs les obliga a rediseñar operaciones. Es muy usada para evaluar programas de detección, priorizar analítica conductual sobre firmas y explicar a la dirección por qué invertir en detección basada en TTP (reglas Sigma, comportamiento EDR) ofrece una defensa más sostenible que bloquear IPs o hashes sueltos.
● Ejemplos
- 01
Escribir una regla Sigma para el comportamiento de kerberoasting, en lugar de depender solo de hashes de muestras pasadas.
- 02
Seguir la reutilización por un adversario de un loader en memoria propio (herramienta) en varias campañas.
● Preguntas frecuentes
¿Qué es Pirámide del Dolor?
Modelo de David Bianco que clasifica los indicadores de compromiso según cuánto le cuesta al atacante adaptarse cuando los defensores los detectan o bloquean. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Pirámide del Dolor?
Modelo de David Bianco que clasifica los indicadores de compromiso según cuánto le cuesta al atacante adaptarse cuando los defensores los detectan o bloquean.
¿Cómo funciona Pirámide del Dolor?
La Pirámide del Dolor, presentada por David Bianco en 2013, ordena los indicadores de compromiso (IoCs) desde triviales hasta muy costosos de cambiar para el adversario. De abajo a arriba: hashes (triviales), direcciones IP (fáciles), dominios (simples), artefactos de red y host (molestos), herramientas (desafiantes) y TTPs — tácticas, técnicas y procedimientos (difíciles). Detectar indicadores bajos aporta valor efímero porque los atacantes los rotan rápido; detectar herramientas y TTPs les obliga a rediseñar operaciones. Es muy usada para evaluar programas de detección, priorizar analítica conductual sobre firmas y explicar a la dirección por qué invertir en detección basada en TTP (reglas Sigma, comportamiento EDR) ofrece una defensa más sostenible que bloquear IPs o hashes sueltos.
¿Cómo defenderse de Pirámide del Dolor?
Las defensas contra Pirámide del Dolor combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- defense-ops№ 527
Indicador de Compromiso (IoC)
Artefacto observable —como un hash, IP, dominio, URL o clave de registro— que sugiere que un sistema ha sido o está siendo comprometido.
- defense-ops№ 1131
Tácticas, Técnicas y Procedimientos (TTPs)
Descripción por capas de cómo opera un actor de amenazas: tácticas (el porqué), técnicas (el cómo) y procedimientos (la implementación concreta).
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- defense-ops№ 1147
Caza de Amenazas
Búsqueda proactiva basada en hipótesis sobre la telemetría para descubrir amenazas que han eludido las detecciones existentes.
- defense-ops№ 1041
Regla Sigma
Firma de deteccion neutral respecto al fabricante, en YAML, para eventos de log que se convierte en consultas para SIEM, EDR o XDR.
- defense-ops№ 266
Inteligencia de Amenazas (CTI)
Conocimiento basado en evidencia sobre los adversarios, sus motivaciones y métodos, utilizado para guiar las decisiones defensivas y priorizar controles.