{"id":28957,"date":"2026-02-19T11:51:11","date_gmt":"2026-02-19T17:51:11","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=28957"},"modified":"2026-02-18T11:57:27","modified_gmt":"2026-02-18T17:57:27","slug":"practical-value-of-cyberthreat-attribution","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/28957\/","title":{"rendered":"El valor pr\u00e1ctico de la atribuci\u00f3n de ciberamenazas"},"content":{"rendered":"

No todos los profesionales de la ciberseguridad creen que vale la pena el esfuerzo de averiguar exactamente qui\u00e9n mueve los hilos detr\u00e1s del malware que afecta a su empresa. El algoritmo t\u00edpico de investigaci\u00f3n de incidentes funciona m\u00e1s o menos as\u00ed: el analista encuentra un archivo sospechoso \u2192 si el antivirus no lo detect\u00f3, lo coloca en un entorno de pruebas para probarlo \u2192 confirma alguna actividad maliciosa \u2192 a\u00f1ade el hash a la lista de bloqueo \u2192 va a tomar un caf\u00e9. Estos son los pasos por seguir para muchos profesionales de la ciberseguridad, en especial cuando est\u00e1n saturados de alertas o no tienen las habilidades forenses para desentra\u00f1ar un ataque complejo pieza por pieza. Sin embargo, cuando se trata de un ataque dirigido, este enfoque es un boleto de ida hacia el desastre, y este es el motivo.<\/p>\n

Si un atacante va en serio, rara vez se queda con un solo vector de ataque. Existe una buena posibilidad de que el archivo malicioso ya haya desempe\u00f1ado su papel en un ataque de varias etapas y ahora sea casi in\u00fatil para el atacante. Mientras tanto, el adversario ya se ha instalado en lo profundo de la infraestructura corporativa y est\u00e1 ocupado operando con un conjunto de herramientas completamente diferente. Si quiere eliminar la amenaza para siempre, el equipo de seguridad debe descubrir y neutralizar toda la cadena de ataque.<\/p>\n

Pero \u00bfc\u00f3mo se puede hacer esto de manera r\u00e1pida y efectiva antes de que los atacantes logren causar un da\u00f1o real? Una forma es sumergirse en el contexto. Al analizar un solo archivo, un experto puede identificar exactamente qui\u00e9n est\u00e1 atacando a su empresa, descubrir con rapidez qu\u00e9 otras herramientas y t\u00e1cticas emplea ese grupo espec\u00edfico y luego analizar la infraestructura en busca de amenazas relacionadas. Hay muchas herramientas de inteligencia de amenazas para hacer esto, pero te mostrar\u00e9 c\u00f3mo funciona con nuestro Kaspersky Threat Intelligence Portal<\/a>.<\/p>\n

Un ejemplo pr\u00e1ctico de por qu\u00e9 es importante la atribuci\u00f3n<\/h2>\n

Digamos que cargamos un malware que hemos descubierto en un portal de inteligencia de amenazas y nos enteramos de que, por ejemplo, el grupo MysterySnail<\/em> lo utiliza a menudo. \u00bfQu\u00e9 nos dice eso realmente? Veamos la informaci\u00f3n disponible:<\/p>\n

\"Informaci\u00f3n<\/a>

Informaci\u00f3n del grupo MysterySnail<\/p><\/div>\n

En primer lugar, estos atacantes tienen como objetivo las instituciones gubernamentales tanto en Rusia como en Mongolia. Es un grupo de habla china que generalmente se enfoca en el espionaje. Seg\u00fan su perfil, se implantan en la infraestructura y se mantienen ocultos hasta que encuentran algo que vale la pena robar. Tambi\u00e9n sabemos que suelen aprovechar la vulnerabilidad CVE-2021-40449<\/em>. \u00bfQu\u00e9 tipo de vulnerabilidad es esa?<\/p>\n

\"Detalles<\/a>

Detalles de la vulnerabilidad CVE-2021-40449<\/p><\/div>\n

Como podemos ver, es una vulnerabilidad de escalada de privilegios, lo que significa que se usa despu\u00e9s de que los piratas inform\u00e1ticos ya se han infiltrado en la infraestructura. Esta vulnerabilidad tiene una clasificaci\u00f3n de gravedad alta y se explota mucho en entornos reales. Entonces, \u00bfqu\u00e9 software es realmente vulnerable?<\/p>\n

\"Software<\/a>

Software vulnerable<\/p><\/div>\n

Microsoft Windows. Es hora de volver a comprobar si el parche que corrige esta vulnerabilidad realmente se ha instalado. Muy bien, adem\u00e1s de la vulnerabilidad, \u00bfqu\u00e9 m\u00e1s sabemos sobre los piratas inform\u00e1ticos? Resulta que tienen una forma peculiar de verificar las configuraciones de red: se conectan al sitio p\u00fablico 2ip.ru:<\/p>\n

\"Detalles<\/a>

Detalles de la t\u00e9cnica<\/p><\/div>\n

Tiene sentido a\u00f1adir una regla de correlaci\u00f3n al SIEM para detectar ese tipo de comportamiento.<\/p>\n

Ahora es el momento de leer m\u00e1s sobre este grupo y recopilar indicadores de compromiso adicionales (IOC) para la supervisi\u00f3n de SIEM, as\u00ed como reglas YARA (descripciones de texto estructuradas que se utilizan para identificar malware) listas para usar. Esto nos ayudar\u00e1 a rastrear todos los tent\u00e1culos de este kraken que ya se han infiltrado en la infraestructura corporativa y nos garantizar\u00e1 que podamos interceptarlos r\u00e1pidamente si intentan entrar de nuevo.<\/p>\n

\"Informes<\/a>

Informes adicionales de MysterySnail<\/p><\/div>\n

Kaspersky Threat Intelligence Portal proporciona una tonelada de informes adicionales sobre ataques MysterySnail, cada uno completo con una lista de IOC y reglas YARA. Estas reglas de YARA se pueden usar para analizar todos los endpoints, y esos IOC se pueden sumar a la SIEM para una supervisi\u00f3n constante. Ya que estamos, revisemos los informes para ver c\u00f3mo estos atacantes manejan la exfiltraci\u00f3n de datos y qu\u00e9 tipo de datos suelen buscar. Ahora s\u00ed podemos tomar medidas para evitar el ataque.<\/p>\n

Y as\u00ed, MysterySnail, la infraestructura ahora est\u00e1 equipada para encontrarte y responder de inmediato. \u00a1No m\u00e1s espionaje!<\/p>\n

M\u00e9todos de atribuci\u00f3n de malware<\/h2>\n

Antes de ahondar en m\u00e9todos espec\u00edficos, debemos dejar una cosa en claro: para que la atribuci\u00f3n funcione de verdad, la inteligencia de amenazas proporcionada necesita una base de conocimientos masiva de las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) que usan los actores de la amenaza. El alcance y la calidad de estas bases de datos pueden variar much\u00edsimo entre proveedores. En nuestro caso, incluso antes de crear nuestra herramienta, pasamos a\u00f1os rastreando grupos conocidos en varias campa\u00f1as y registrando sus TTP, y hoy en d\u00eda seguimos actualizando activamente esa base de datos.<\/p>\n

Con una base de datos de TTP implementada, se pueden implementar los siguientes m\u00e9todos de atribuci\u00f3n:<\/p>\n

    \n
  1. Atribuci\u00f3n din\u00e1mica: se identifican TTP mediante el an\u00e1lisis din\u00e1mico de archivos espec\u00edficos y luego se compara ese conjunto de TTP con los de grupos de pirater\u00eda conocidos.<\/li>\n
  2. Atribuci\u00f3n t\u00e9cnica: se buscan superposiciones de c\u00f3digo entre archivos espec\u00edficos y fragmentos de c\u00f3digo que se sabe que son utilizados por ciertos grupos de pirater\u00eda en su malware.<\/li>\n<\/ol>\n

    Atribuci\u00f3n din\u00e1mica<\/h3>\n

    La identificaci\u00f3n de TTP durante el an\u00e1lisis din\u00e1mico es relativamente sencilla de implementar. De hecho, esta funcionalidad ha sido un elemento b\u00e1sico de todos los entornos de pruebas modernos durante mucho tiempo. Por supuesto, todos nuestros entornos de pruebas tambi\u00e9n identifican los TTP durante el an\u00e1lisis din\u00e1mico de una muestra de malware:<\/p>\n

    \"Los<\/a>

    Los TTP de una muestra de malware<\/p><\/div>\n

    La base de este m\u00e9todo es la categorizaci\u00f3n de la actividad de malware utilizando el marco MITRE ATT&CK. Los informes de entornos de pruebas generalmente contienen una lista de los TTP detectados. Si bien estos son datos muy \u00fatiles, no son suficientes para hacer una atribuci\u00f3n completa a un grupo espec\u00edfico. Tratar de identificar a los autores de un ataque usando solo este m\u00e9todo se parece mucho a la antigua par\u00e1bola india de los ciegos y el elefante<\/a>: las personas con los ojos vendados tocan diferentes partes de un elefante e intentan deducir lo que tienen frente a ellos a partir de eso. El que toca la trompa cree que es una pit\u00f3n, el que toca el costado est\u00e1 seguro de que es una pared, y as\u00ed sucesivamente.<\/p>\n

    \"Ciegos<\/a>

    Ciegos y un elefante<\/p><\/div>\n

    Atribuci\u00f3n t\u00e9cnica<\/h3>\n

    El segundo m\u00e9todo de atribuci\u00f3n se maneja a trav\u00e9s del an\u00e1lisis de c\u00f3digo est\u00e1tico (pero ten en cuenta que este tipo de atribuci\u00f3n siempre es problem\u00e1tica). La idea central aqu\u00ed es agrupar incluso los archivos de malware que se superponen ligeramente en funci\u00f3n de determinadas caracter\u00edsticas \u00fanicas. Antes de que pueda comenzar el an\u00e1lisis, se debe desensamblar la muestra de malware. El problema es que, junto con los bits informativos y \u00fatiles, el c\u00f3digo recuperado est\u00e1 muy contaminado. Si el algoritmo de atribuci\u00f3n tiene en cuenta estos elementos no informativos, cualquier muestra de malware acabar\u00e1 pareci\u00e9ndose a una gran cantidad de archivos leg\u00edtimos, lo que hace que realizar una atribuci\u00f3n de calidad sea imposible. Por otro lado, intentar atribuir el malware \u00fanicamente en funci\u00f3n de los fragmentos \u00fatiles pero utilizando un m\u00e9todo matem\u00e1ticamente primitivo solo har\u00e1 que la tasa de falsos positivos se dispare. Adem\u00e1s, se debe analizar cualquier resultado de atribuci\u00f3n en busca de similitudes con archivos leg\u00edtimos, y la calidad de esa verificaci\u00f3n suele depender en gran medida de las capacidades t\u00e9cnicas del proveedor.<\/p>\n

    <\/a>El enfoque de Kaspersky para la atribuci\u00f3n<\/h3>\n

    Nuestros productos hacen uso de una base de datos \u00fanica de malware asociada con grupos de pirater\u00eda espec\u00edficos, desarrollada a lo largo de m\u00e1s de 25\u00a0a\u00f1os. Adem\u00e1s de eso, utilizamos un algoritmo de atribuci\u00f3n patentado<\/a> basado en el an\u00e1lisis est\u00e1tico de c\u00f3digo desensamblado. Esto nos permite determinar (con alta precisi\u00f3n e incluso con un porcentaje de probabilidad espec\u00edfico) qu\u00e9 tan similar es un archivo analizado a las muestras conocidas de un grupo en particular. De esta manera, podemos formar un veredicto bien fundamentado que atribuya el malware a un actor de amenazas espec\u00edfico. Los resultados se comparan con una base de datos de miles de millones de archivos leg\u00edtimos para filtrar los falsos positivos. Si se encuentra una coincidencia con alguno de ellos, el veredicto de atribuci\u00f3n se ajusta en consecuencia. Este enfoque es el eje principal de Kaspersky Threat Attribution Engine, que alimenta el servicio de atribuci\u00f3n de amenazas en el Kaspersky Threat Intelligence Portal<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

    \u00bfPor qu\u00e9 es \u00fatil atribuir malware a un grupo de piratas inform\u00e1ticos espec\u00edfico?<\/p>\n","protected":false},"author":2792,"featured_media":28958,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[427,3360,293],"class_list":{"0":"post-28957","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ataques","11":"tag-inteligencia-de-amenazas","12":"tag-servicios"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/28957\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/practical-value-of-cyberthreat-attribution\/30133\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/25194\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/13167\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/practical-value-of-cyberthreat-attribution\/30010\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/practical-value-of-cyberthreat-attribution\/31823\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/practical-value-of-cyberthreat-attribution\/30444\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/practical-value-of-cyberthreat-attribution\/41238\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/practical-value-of-cyberthreat-attribution\/14248\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/55217\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/practical-value-of-cyberthreat-attribution\/23591\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/practical-value-of-cyberthreat-attribution\/24713\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/practical-value-of-cyberthreat-attribution\/33159\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/practical-value-of-cyberthreat-attribution\/30222\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/practical-value-of-cyberthreat-attribution\/35894\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/practical-value-of-cyberthreat-attribution\/35550\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/inteligencia-de-amenazas\/","name":"inteligencia de amenazas"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28957","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2792"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=28957"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28957\/revisions"}],"predecessor-version":[{"id":28968,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28957\/revisions\/28968"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/28958"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=28957"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=28957"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=28957"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}