Cazador de amenazas
¿Qué es Cazador de amenazas?
Cazador de amenazasDefensor sénior que busca proactivamente actividad de adversarios en la telemetría corporativa que ha evadido las detecciones existentes, mediante hipótesis, inteligencia de amenazas y analítica de comportamiento.
Un cazador de amenazas (threat hunter) es un defensor sénior que busca de forma proactiva actividad maliciosa que ha eludido las detecciones automatizadas. El trabajo se basa en hipótesis: partiendo de técnicas de MITRE ATT&CK, informes de inteligencia o anomalías sobre líneas base, el cazador pivota por la telemetría de EDR, SIEM, identidad, cloud y red para confirmar o descartar la presencia de un adversario. Colabora estrechamente con los detection engineers para convertir las cazas exitosas en detecciones duraderas y con los responders cuando una caza pasa a ser una investigación. El rol suele encuadrarse en el SOC o en un equipo de ciberdefensa, reportando al responsable del SOC o al head of detection. Las cualificaciones habituales incluyen varios años en SOC Tier 2/3 o DFIR y certificaciones como GCFA, GCDA, GCIH o CRTO.
● Ejemplos
- 01
Cazar binarios living-off-the-land abusados por afiliados de ransomware en toda la flota EDR.
- 02
Buscar en los logs de auditoría cloud cadenas inusuales de assume-role entre cuentas vinculadas a TTPs recientes de Cozy Bear.
● Preguntas frecuentes
¿Qué es Cazador de amenazas?
Defensor sénior que busca proactivamente actividad de adversarios en la telemetría corporativa que ha evadido las detecciones existentes, mediante hipótesis, inteligencia de amenazas y analítica de comportamiento. Pertenece a la categoría de Roles y carreras en ciberseguridad.
¿Qué significa Cazador de amenazas?
Defensor sénior que busca proactivamente actividad de adversarios en la telemetría corporativa que ha evadido las detecciones existentes, mediante hipótesis, inteligencia de amenazas y analítica de comportamiento.
¿Cómo funciona Cazador de amenazas?
Un cazador de amenazas (threat hunter) es un defensor sénior que busca de forma proactiva actividad maliciosa que ha eludido las detecciones automatizadas. El trabajo se basa en hipótesis: partiendo de técnicas de MITRE ATT&CK, informes de inteligencia o anomalías sobre líneas base, el cazador pivota por la telemetría de EDR, SIEM, identidad, cloud y red para confirmar o descartar la presencia de un adversario. Colabora estrechamente con los detection engineers para convertir las cazas exitosas en detecciones duraderas y con los responders cuando una caza pasa a ser una investigación. El rol suele encuadrarse en el SOC o en un equipo de ciberdefensa, reportando al responsable del SOC o al head of detection. Las cualificaciones habituales incluyen varios años en SOC Tier 2/3 o DFIR y certificaciones como GCFA, GCDA, GCIH o CRTO.
¿Cómo defenderse de Cazador de amenazas?
Las defensas contra Cazador de amenazas combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Cazador de amenazas?
Nombres alternativos comunes: Threat hunter, Cazador de adversarios.
● Términos relacionados
- defense-ops№ 1147
Caza de Amenazas
Búsqueda proactiva basada en hipótesis sobre la telemetría para descubrir amenazas que han eludido las detecciones existentes.
- roles№ 989
Analista de seguridad (SOC Tier 1/2/3)
Profesional de un SOC que monitoriza alertas, investiga incidentes y escala amenazas, con niveles habituales que van desde el triaje en Tier 1 hasta la investigación avanzada en Tier 3.
- roles№ 523
Responder de incidentes
Especialista que lidera o apoya la respuesta técnica a incidentes de seguridad confirmados, ejecutando contención, erradicación, análisis forense y recuperación, en coordinación con legal, comunicación y la dirección.
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza y correlaciona telemetría de seguridad de toda la organización para detectar, investigar, cumplir y reportar.
- defense-ops№ 371
EDR (Detección y Respuesta en Endpoints)
Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.
- defense-ops№ 057
Grupo APT
Actor de amenaza con nombre y seguimiento (habitualmente patrocinado por un Estado) que ejecuta campanas dirigidas, prolongadas y bien recursos contra organizaciones o sectores concretos.