Tema 13

13. Detección basada en firmas, anomalías, reputación, comportamiento e inteligencia de amenazas

Detectar no es mirar un solo indicador. Una defensa madura combina firmas conocidas, patrones anómalos, reputación, comportamiento e inteligencia de amenazas para interpretar mejor lo que ocurre.

Objetivo Comprender los principales métodos de detección
Enfoque Firmas, anomalías, reputación, comportamiento e inteligencia
Resultado Interpretar alertas con más contexto y menos ruido

13.1 Introducción

Un IDS/IPS necesita criterios para decidir cuándo algo merece atención. Esos criterios pueden basarse en firmas conocidas, desviaciones del comportamiento normal, reputación de destinos, patrones de actividad o inteligencia de amenazas.

Ningún método es perfecto. Las firmas son buenas para amenazas conocidas, pero pueden fallar ante variantes nuevas. La detección de anomalías puede descubrir comportamientos raros, pero también generar falsos positivos. La reputación aporta contexto, pero depende de fuentes actualizadas.

Por eso, en la práctica se combinan varios enfoques. El objetivo no es alertar por todo, sino generar señales útiles que permitan investigar y responder.

13.2 Qué es un método de detección

Un método de detección es una forma de identificar actividad potencialmente maliciosa o riesgosa. Define qué se observa, qué patrón se busca y qué acción se toma cuando hay coincidencia.

En IDS/IPS, un método de detección puede analizar:

  • Contenido de paquetes.
  • Encabezados y metadatos.
  • Frecuencia de conexiones.
  • Puertos y protocolos usados.
  • Dominios, URLs o direcciones IP.
  • Comportamiento de usuarios, equipos o servicios.
  • Indicadores externos de amenazas.

13.3 Detección basada en firmas

La detección por firmas busca patrones conocidos. Una firma describe una característica asociada a una amenaza, explotación, malware, escaneo o técnica de ataque.

Ejemplos de firmas:

  • Una cadena específica dentro de una petición HTTP.
  • Un patrón de explotación contra una vulnerabilidad conocida.
  • Una secuencia particular de bytes asociada a malware.
  • Un comportamiento de escaneo con características conocidas.
  • Un encabezado o comando usado por una herramienta ofensiva.
Las firmas son muy útiles para detectar amenazas conocidas, pero dependen de actualización y ajuste.

13.4 Ventajas y límites de las firmas

Ventajas Limitaciones
Son precisas cuando el patrón está bien definido. Pueden fallar ante variantes nuevas o modificadas.
Permiten clasificar amenazas conocidas. Necesitan actualizaciones frecuentes.
Son útiles para IPS porque algunas tienen alta confianza. Pueden generar falsos positivos si son demasiado generales.
Facilitan priorización por vulnerabilidad o técnica. No detectan todo lo desconocido.

13.5 Detección basada en anomalías

La detección de anomalías busca desviaciones respecto de lo que se considera normal. En lugar de buscar un patrón malicioso exacto, observa comportamientos raros.

Ejemplos de anomalías:

  • Un servidor que nunca navega por internet empieza a conectarse a muchos dominios externos.
  • Una estación de trabajo intenta acceder a cientos de puertos internos.
  • Un usuario inicia tráfico a horarios inusuales.
  • Un servicio transfiere mucho más volumen de datos que lo habitual.
  • Una aplicación cambia repentinamente su patrón de destinos.

Este enfoque puede detectar actividad no conocida, pero requiere entender el comportamiento normal del entorno.

13.6 Línea base de comportamiento

Para detectar anomalías se necesita una línea base. La línea base describe cómo se comportan normalmente usuarios, servidores, aplicaciones y redes.

Una línea base puede incluir:

  • Puertos habituales.
  • Volumen normal de tráfico.
  • Horarios de actividad.
  • Destinos frecuentes.
  • Protocolos esperados.
  • Relaciones normales entre aplicaciones.

Sin línea base, cualquier comportamiento raro puede parecer peligroso o cualquier actividad peligrosa puede parecer normal.

13.7 Reputación

La detección por reputación utiliza información sobre direcciones IP, dominios, URLs, archivos o certificados conocidos por estar asociados a actividad maliciosa o riesgosa.

Ejemplos:

  • Conexión hacia una IP asociada a comando y control.
  • Consulta DNS a un dominio reportado por campañas de phishing.
  • Descarga desde una URL catalogada como maliciosa.
  • Comunicación con infraestructura anónima o de baja confianza.

La reputación aporta contexto rápido, pero puede cambiar. Una IP maliciosa hoy puede dejar de usarse mañana, y un servicio legítimo puede ser abusado temporalmente.

13.8 Detección basada en comportamiento

La detección por comportamiento analiza secuencias de acciones, no solo indicadores aislados. Busca entender si una actividad encaja con una técnica de ataque o con un abuso de acceso.

Ejemplo: un equipo primero escanea puertos, luego intenta autenticarse en varios servidores, después accede a recursos compartidos y finalmente inicia una transferencia grande. Cada evento separado puede parecer menor, pero juntos forman un patrón preocupante.

Este enfoque es muy útil para detectar movimiento lateral, abuso de credenciales, reconocimiento interno y actividad posterior a un compromiso.

13.9 Inteligencia de amenazas

La inteligencia de amenazas, o threat intelligence, es información procesada sobre amenazas, actores, técnicas, indicadores, campañas y vulnerabilidades. Su objetivo es mejorar decisiones defensivas.

Puede incluir:

  • Indicadores de compromiso, como IP, dominios, hashes o URLs.
  • Tácticas, técnicas y procedimientos de atacantes.
  • Vulnerabilidades explotadas activamente.
  • Campañas de phishing o malware.
  • Contexto sobre sectores o tecnologías atacadas.

La inteligencia útil no es solo una lista de indicadores. Debe tener contexto, fuente, vigencia y aplicabilidad al entorno.

13.10 Indicadores de compromiso

Los indicadores de compromiso, o IoC por Indicators of Compromise, son datos que pueden señalar actividad maliciosa.

Indicador Ejemplo Uso defensivo
IP Dirección asociada a malware Alertar o bloquear conexiones.
Dominio Dominio usado en phishing Bloquear resolución o navegación.
URL Ruta de descarga maliciosa Detectar o bloquear acceso web.
Hash Identificador de archivo Detectar malware en endpoints o gateways.
Certificado Certificado usado por infraestructura maliciosa Enriquecer detección de conexiones cifradas.

13.11 Indicadores vs. comportamiento

Los indicadores suelen ser concretos y fáciles de bloquear, pero también pueden volverse obsoletos rápido. El comportamiento es más difícil de evadir, pero también más difícil de detectar sin contexto.

Enfoque Ventaja Limitación
Indicadores Son concretos y accionables. Caducan rápido o pueden ser compartidos por servicios legítimos.
Comportamiento Detecta técnicas aunque cambien IP o dominio. Requiere más contexto y análisis.

13.12 Severidad y confianza

Una alerta debe evaluarse por severidad y confianza. La severidad indica impacto potencial. La confianza indica qué tan probable es que la alerta represente una amenaza real.

Ejemplos:

  • Alta severidad y alta confianza: explotación conocida bloqueada contra un servidor vulnerable.
  • Alta severidad y baja confianza: comportamiento raro pero sin evidencia suficiente.
  • Baja severidad y alta confianza: escaneo bloqueado sin impacto aparente.
  • Baja severidad y baja confianza: evento informativo con poco contexto.

Esta distinción ayuda a priorizar y evita tratar todas las alertas como si fueran iguales.

13.13 Combinación de métodos

La detección mejora cuando se combinan métodos. Una alerta aislada puede ser débil, pero varias señales juntas pueden formar un caso sólido.

Ejemplo combinado:

  1. Un equipo realiza conexiones DNS a un dominio de baja reputación.
  2. Luego inicia tráfico HTTPS hacia una IP reportada por inteligencia de amenazas.
  3. Después transfiere un volumen inusual de datos.
  4. El IDS detecta un patrón de herramienta conocida.
  5. El SIEM correlaciona eventos y eleva la prioridad.

13.14 Reglas de detección y contexto local

Una regla de detección genérica no siempre entiende el contexto de una organización. Por ejemplo, una herramienta de administración remota puede ser legítima para un equipo de soporte y sospechosa para una estación común.

Por eso es importante ajustar reglas según:

  • Inventario de activos.
  • Roles de servidores.
  • Redes y zonas de seguridad.
  • Usuarios o grupos autorizados.
  • Horarios habituales.
  • Aplicaciones permitidas.

13.15 Ciclo de vida de una detección

Una detección no debería crearse y olvidarse. Debe revisarse con el tiempo.

  1. Identificar una amenaza o necesidad de visibilidad.
  2. Crear o activar regla de detección.
  3. Probar con datos reales o laboratorio.
  4. Medir falsos positivos y falsos negativos.
  5. Ajustar umbrales, condiciones o excepciones.
  6. Definir respuesta esperada.
  7. Revisar periódicamente utilidad y vigencia.

13.16 Ejemplo práctico: detección de escaneo interno

Un IDS observa que una estación de trabajo intenta conectarse a muchos puertos de varios servidores internos en pocos minutos.

Posibles señales:

  • Muchas conexiones fallidas.
  • Puertos variados.
  • Destinos múltiples.
  • Origen que normalmente no realiza ese comportamiento.

La respuesta puede incluir revisar el endpoint, validar si hay una herramienta autorizada, correlacionar con autenticación y verificar si luego hubo intentos de explotación.

13.17 Ejemplo práctico: reputación y exfiltración

Un servidor interno empieza a comunicarse con un dominio de baja reputación y transfiere un volumen de datos inusual durante la madrugada.

Una sola señal podría no ser suficiente. Pero la combinación de reputación, horario, volumen y origen aumenta la prioridad de investigación.

Acciones recomendadas:

  • Revisar logs DNS y firewall.
  • Identificar proceso o aplicación que generó la conexión.
  • Correlacionar con EDR o logs del host.
  • Evaluar bloqueo temporal del destino.
  • Determinar si hubo transferencia de datos sensibles.

13.18 Errores frecuentes

  • Depender solo de firmas: limita detección ante variantes o ataques nuevos.
  • Alertar sin contexto: genera ruido y dificulta priorización.
  • Usar inteligencia sin validar vigencia: algunos indicadores caducan rápido.
  • No crear línea base: dificulta distinguir anomalías reales de actividad normal.
  • Bloquear por reputación sin análisis: puede afectar servicios legítimos compartidos.
  • No revisar detecciones antiguas: reglas obsoletas pierden valor o generan falsos positivos.

13.19 Lista de verificación inicial

  • Activar firmas relevantes para tecnologías usadas en el entorno.
  • Deshabilitar o ajustar firmas irrelevantes.
  • Construir línea base de tráfico normal.
  • Usar reputación con fuentes confiables y actualizadas.
  • Combinar indicadores con comportamiento y contexto.
  • Definir severidad y confianza para alertas.
  • Correlacionar IDS/IPS con firewall, DNS, EDR e identidad.
  • Revisar falsos positivos frecuentes.
  • Documentar excepciones y motivos.
  • Revisar periódicamente la utilidad de las detecciones.

13.20 Ideas clave para recordar

  • Las firmas detectan patrones conocidos, pero necesitan actualización.
  • Las anomalías ayudan a descubrir comportamientos inesperados.
  • La reputación aporta contexto sobre destinos, dominios, URLs y archivos.
  • El comportamiento permite detectar secuencias sospechosas, no solo eventos aislados.
  • La inteligencia de amenazas debe ser vigente, confiable y aplicable.
  • Combinar métodos mejora detección y priorización.

13.21 Conclusión

La detección efectiva combina distintas fuentes y métodos. Firmas, anomalías, reputación, comportamiento e inteligencia de amenazas aportan perspectivas diferentes. Cuanto mejor se integran con el contexto local, más útiles son para detectar y responder.

En el próximo tema estudiaremos sensores de red y de host: NIDS, HIDS, NIPS, HIPS y telemetría defensiva.

Volver al índice