Threat Hunting bajo marcos regulatorios: más allá de la detección reactiva

Los marcos normativos más avanzados —NIS2, ENS categoría alta, ISO 27001 en su implementación más madura— no se conforman con la detección reactiva de amenazas. Exigen capacidades proactivas de búsqueda de indicadores de compromiso que pueden no haber disparado ninguna alerta automatizada: es el ámbito del threat hunting, la búsqueda activa de amenazas latentes en la infraestructura.

El threat hunting parte de una hipótesis: ¿podría un atacante haber accedido a nuestros sistemas sin que ninguna alerta se disparara? La respuesta honesta, en la mayoría de organizaciones, es sí. Los atacantes avanzados conocen las firmas de los sistemas de detección y diseñan sus ataques para evitarlas. Solo la búsqueda proactiva en los datos de telemetría puede descubrirlos.

Cómo conectar threat hunting con el cumplimiento normativo

Los ejercicios de threat hunting generan documentación que es directamente relevante para el cumplimiento normativo: demuestran que la organización no se limita a esperar las alertas, sino que busca activamente amenazas que pueden haber eludido los controles automáticos. Esta evidencia de diligencia proactiva es valorada positivamente en auditorías ENS, ISO 27001 y NIS2.

El framework MITRE ATT&CK proporciona el mapa de tácticas y técnicas adversarias sobre el que estructurar las hipótesis de hunting. Cruzar ese mapa con los logs disponibles en el SIEM permite buscar de forma sistemática indicadores de técnicas específicas: movimiento lateral, persistencia, exfiltración de datos. Es la evolución natural de la monitorización reactiva hacia una seguridad verdaderamente proactiva.

Blindara combina detección automatizada con análisis proactivo alineado con MITRE ATT&CK, buscando indicadores de compromiso que no han disparado ninguna alerta — el tipo de diligencia que los marcos regulatorios más maduros valoran explícitamente en sus auditorías.