Conocer al enemigo no es una metáfora: es una metodología. El módulo de Operaciones Threat te forma en el análisis, modelado y comprensión de las amenazas cibernéticas desde el punto de vista del defensor que necesita pensar como un atacante. Aprende a identificar quién te ataca, cómo lo hace y por qué, y traduce ese conocimiento en decisiones de seguridad más sólidas y anticipatorias.
Modelado de amenazas y análisis de adversarios cibernéticos
Conceptos fundamentales del modelado de amenazas
Antes de neutralizar una amenaza, necesitas definirla con precisión. Trabaja los fundamentos del modelado de amenazas: identificación y categorización de amenazas, evaluación de riesgos y priorización basada en impacto y probabilidad. Establece un marco de análisis estructurado que te permita tomar decisiones de defensa informadas y reproducibles en cualquier tipo de organización.
Metodologías de modelado: STRIDE, DREAD y MITRE ATT&CK
No existe un único enfoque válido para modelar amenazas. Explora y compara las metodologías más utilizadas por equipos de seguridad profesionales: STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege), DREAD (Damage, Reproducibility, Exploitability, Affected Users, Discoverability) y el framework MITRE ATT&CK. Comprende las ventajas y limitaciones de cada una, y aprende a seleccionar la más adecuada según el contexto de cada análisis.
Análisis de adversarios: inteligencia sobre actores de amenazas
Un modelo de amenaza sin contexto sobre el adversario es incompleto. Aprende a recopilar y estructurar inteligencia sobre actores de amenazas: sus objetivos, motivaciones, capacidades técnicas y patrones de comportamiento. Esta base es imprescindible para desarrollar una defensa orientada al adversario real, no a amenazas genéricas. Un bloque que conecta directamente con el módulo de Operaciones — Ciberinteligencia.
TTPs: tácticas, técnicas y procedimientos de ataque
Fases del ataque cibernético: del reconocimiento a la exfiltración
Las amenazas no se materializan de golpe: siguen patrones. Analiza en detalle las fases del ciclo de vida de un ataque cibernético —reconocimiento, acceso inicial, ejecución de código, persistencia, escalada de privilegios, movimiento lateral, exfiltración y evasión de defensas— e identifica las tácticas y técnicas asociadas a cada una. Este conocimiento es la base para anticipar el comportamiento del atacante y actuar antes de que alcance su objetivo. Complementa este bloque con lo visto en el módulo de Operaciones — Red Team.
Infraestructura C2 y técnicas de ocultación y evasión
Descubre cómo los adversarios construyen y gestionan su infraestructura de comando y control (C2): herramientas habituales, configuraciones, protocolos y métodos de comunicación encubierta. Estudia las técnicas de ocultación y evasión más utilizadas para pasar desapercibidos frente a sistemas de detección, y entiende cómo ese conocimiento puede usarse para mejorar las capacidades defensivas de un equipo Blue Team.
MITRE ATT&CK como framework operativo de defensa
El framework MITRE ATT&CK no es solo una base de datos de técnicas: es una herramienta operativa. Aprende a utilizarlo para mapear las TTPs de un adversario, identificar brechas de cobertura en tus defensas y priorizar las medidas de mitigación con criterios objetivos y basados en evidencia. Una habilidad fundamental que se integra de forma natural con las plataformas SIEM trabajadas en el módulo de Herramientas de Ciberseguridad.
Grupos APT, adversarios estatales y campañas de ataque reales
Actores estatales, organizaciones criminales y hacktivistas
No todos los adversarios son iguales. Analiza las diferencias entre grupos patrocinados por estados, organizaciones del crimen organizado, hacktivistas y grupos de amenazas persistentes avanzadas (APT): sus objetivos estratégicos, sus recursos, sus blancos preferentes y sus métodos característicos. Comprender quién está detrás de un ataque es el primer paso para anticiparlo y atribuirlo correctamente.
Campañas de ataque notables: tácticas, impacto y lecciones aprendidas
Estudia en profundidad campañas de ataque reales llevadas a cabo por algunos de los adversarios más relevantes del panorama actual. Evalúa las TTPs empleadas, el impacto operativo y reputacional de los ataques y extrae lecciones aplicables a la defensa de organizaciones similares. El análisis de casos reales es la forma más eficaz de desarrollar criterio profesional en threat intelligence.
Inteligencia de amenazas e intercambio de información en comunidades de seguridad
La inteligencia de amenazas no se construye en solitario. Comprende cómo se recopilan, procesan y comparten los datos de inteligencia dentro de las comunidades de intercambio de información del sector (ISACs, plataformas MISP, feeds comerciales). Aprende a integrar estas fuentes en las operaciones de seguridad del día a día para tomar decisiones más rápidas y mejor fundamentadas. Un bloque con continuidad directa en el módulo de Intelligence — OSINT.