{"id":154495,"date":"2025-07-31T08:15:44","date_gmt":"2025-07-31T15:15:44","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=154495"},"modified":"2025-08-25T09:29:45","modified_gmt":"2025-08-25T16:29:45","slug":"unit-42-attribution-framework","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/","title":{"rendered":"Presentamos el marco de atribuci\u00f3n de Unit\u00a042"},"content":{"rendered":"<h2><a id=\"post-154495-_heading=h.dl3x0v49ydmi\"><\/a>Resumen ejecutivo<\/h2>\n<p>La atribuci\u00f3n de actores de amenazas se ha considerado tradicionalmente m\u00e1s un arte que una ciencia, y suele depender en gran medida de unos pocos investigadores de amenazas para confirmar la actividad observada. Este enfoque es insostenible y contribuye a la confusi\u00f3n a la hora de nombrar a los grupos que representan una amenaza. Hemos abordado esta cuesti\u00f3n creando el marco de atribuci\u00f3n de Unit\u00a042, al tiempo que aprovechamos el excelente trabajo del <a href=\"https:\/\/apps.dtic.mil\/sti\/citations\/ADA586960\" target=\"_blank\" rel=\"noopener\">Modelo Diamante de an\u00e1lisis de intrusiones<\/a>.<\/p>\n<p>El marco de atribuci\u00f3n de Unit\u00a042 proporciona un enfoque sistem\u00e1tico para analizar los datos de amenazas. Este marco facilita la atribuci\u00f3n de las actividades observadas a actores de amenazas formalmente identificados, grupos de amenazas temporales o cl\u00fasteres de actividad. Un componente esencial es la integraci\u00f3n del <a href=\"https:\/\/www.sans.org\/blog\/enhance-your-cyber-threat-intelligence-with-the-admiralty-system\" target=\"_blank\" rel=\"noopener\">Sistema Admiralty<\/a> en el que asignamos puntuaciones predeterminadas de confiabilidad y credibilidad a cada objeto probatorio. Esta metodolog\u00eda permite a los investigadores ajustar las puntuaciones seg\u00fan su criterio; es fundamental para el seguimiento de las amenazas y aumenta la eficacia de la recopilaci\u00f3n y el an\u00e1lisis de informaci\u00f3n.<\/p>\n<ul>\n<li>Confiabilidad: eval\u00faa la confiabilidad de la fuente, incluida su capacidad para proporcionar informaci\u00f3n precisa.<\/li>\n<li>Credibilidad: determina si hay otras fuentes que puedan confirmar la informaci\u00f3n.<\/li>\n<\/ul>\n<p>Aplicamos este marco a una amplia gama de datos de amenazas, entre los que se incluyen:<\/p>\n<ul>\n<li>T\u00e1cticas, t\u00e9cnicas y procedimientos (TTP)<\/li>\n<li>Herramientas, comandos y configuraciones de conjuntos de herramientas<\/li>\n<li>An\u00e1lisis de c\u00f3digo malintencionado e ingenier\u00eda inversa<\/li>\n<li>Coherencia en la seguridad operativa (OPSEC)<\/li>\n<li>An\u00e1lisis cronol\u00f3gico<\/li>\n<li>Infraestructura de red<\/li>\n<li>Victimolog\u00eda y selecci\u00f3n de objetivos<\/li>\n<\/ul>\n<p>A medida que recopilamos y analizamos estos datos sobre amenazas, inicialmente los rastreamos como cl\u00fasteres de actividad. Hacemos un seguimiento de estos grupos a lo largo del tiempo. Si identificamos superposiciones, las combinamos seg\u00fan corresponda. A medida que obtenemos m\u00e1s informaci\u00f3n, elevamos los cl\u00fasteres a grupos de amenazas temporales. Declaramos un grupo de amenazas con nombre (mediante nuestro <a href=\"https:\/\/unit42.paloaltonetworks.com\/unit-42-threat-group-naming-update\/\" target=\"_blank\" rel=\"noopener\">esquema de nomenclatura de constelaciones<\/a>) solo cuando se alcanza una visibilidad suficiente. Esta progresi\u00f3n sistem\u00e1tica evita la asignaci\u00f3n prematura de nombres y garantiza un modelo coherente para asignar nombres a los grupos.<\/p>\n<table style=\"width: 95.7788%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Temas relacionados con Unit\u00a042<\/b><\/td>\n<td style=\"width: 206.475%;\"><strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/nomenclature-es-la\/\" target=\"_blank\" rel=\"noopener\">Nomenclature<\/a>,<\/strong> <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/bookworm-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>Bookworm<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/stately-taurus-es-la\/\" target=\"_blank\" rel=\"noopener\">Stately Taurus<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-154495-_heading=h.7vi82dr6np9t\"><\/a>Niveles de atribuci\u00f3n<\/h2>\n<p>La inteligencia de amenazas es esencial para que las partes interesadas tomen decisiones informadas en materia de seguridad, ya que ofrece informaci\u00f3n tanto t\u00e1ctica como estrat\u00e9gica. La atribuci\u00f3n aporta valor en numerosos niveles. Incluso sin identificar de forma definitiva al actor espec\u00edfico o al pa\u00eds de origen, los distintos grados de atribuci\u00f3n pueden seguir arrojando resultados valiosos. El marco de atribuci\u00f3n de Unit\u00a042 describe tres\u00a0niveles distintos:<\/p>\n<ul>\n<li>Cl\u00fasteres de actividad<\/li>\n<li>Grupos de amenazas temporales<\/li>\n<li>Actores de amenazas identificados<\/li>\n<\/ul>\n<p>En la Figura\u00a01 se ilustran estos niveles de atribuci\u00f3n en una l\u00ednea temporal, desde los cl\u00fasteres de actividad hasta un actor de amenazas identificado.<\/p>\n<figure id=\"attachment_154529\" aria-describedby=\"caption-attachment-154529\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-154529 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/es-LA_Attribution-Framework-Redo-1-786x371.png\" alt=\"Diagrama de flujo que representa el an\u00e1lisis de amenazas de ciberseguridad a lo largo del tiempo, que incluye &quot;Cl\u00fasteres de actividad&quot; con etiquetas como IoC y TTP, que dan lugar a &quot;Grupos de amenazas temporales&quot; identificados como TGR-CR-0147 y TGR-CR-0185, y que concluye con un &quot;actor de amenazas identificado&quot; denominado Stinky\u00a0Libra, representado por un gr\u00e1fico estilizado. El proceso se mide a lo largo del tiempo. \" width=\"1000\" height=\"472\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/es-LA_Attribution-Framework-Redo-1-786x371.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/es-LA_Attribution-Framework-Redo-1-768x363.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/es-LA_Attribution-Framework-Redo-1.png 951w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-154529\" class=\"wp-caption-text\">Figura 1. El marco de atribuci\u00f3n de Unit 42: tres niveles de actividad rastreada.<\/figcaption><\/figure>\n<h3><a id=\"post-154495-_heading=h.lk4bk7o94o2e\"><\/a>Nivel\u00a01: Cl\u00fasteres de actividad<\/h3>\n<p>La atribuci\u00f3n comienza asignando la actividad observada a un cl\u00faster, ya sea creando uno nuevo o vinculando la actividad a uno ya existente. Durante la investigaci\u00f3n de una actividad malintencionada o una intrusi\u00f3n, los analistas de amenazas recopilan diversos tipos de informaci\u00f3n, entre los que se incluyen:<\/p>\n<ul>\n<li>Infraestructura (por ejemplo, direcciones IP, dominios, URL)<\/li>\n<li>Capacidades (por ejemplo, malware, herramientas, TTP)<\/li>\n<li>V\u00edctimas y objetivos (por ejemplo, organizaciones, industrias, regiones, superposiciones temporales)<\/li>\n<\/ul>\n<p>Un \u00fanico evento aislado no suele ser suficiente para formar un grupo de actividades. Aunque a veces permitimos que observaciones singulares sean cl\u00fasteres de actividad, en la mayor\u00eda de los casos exigimos al menos dos o, preferiblemente, m\u00e1s eventos u observables relacionados. \u201cRelacionado\u201d podr\u00eda significar:<\/p>\n<ul>\n<li>Indicadores de vulneraci\u00f3n compartidos (IoC)<\/li>\n<li>TTP similares<\/li>\n<li>Dirigido a la misma organizaci\u00f3n o industria<\/li>\n<li>Que ocurre en un breve per\u00edodo de tiempo<\/li>\n<\/ul>\n<p>A continuaci\u00f3n, seguimos los siguientes pasos:<\/p>\n<ul>\n<li>Explicar claramente los motivos por los que se agrupan estos eventos en un cl\u00faster.<\/li>\n<li>Explicar las caracter\u00edsticas comunes y por qu\u00e9 creemos que est\u00e1n relacionadas m\u00e1s all\u00e1 de una simple coincidencia.<\/li>\n<\/ul>\n<p>Esta justificaci\u00f3n es fundamental para la transparencia y permite que otros comprendan nuestro razonamiento.<\/p>\n<p>Por ejemplo, podr\u00edamos observar los siguientes eventos:<\/p>\n<ul>\n<li>Evento\u00a01: un correo electr\u00f3nico de phishing dirigido a una instituci\u00f3n financiera que contiene un archivo adjunto malintencionado con un archivo que tiene un hash SHA256 espec\u00edfico.<\/li>\n<li>Evento\u00a02: una instituci\u00f3n financiera diferente que informa de una infecci\u00f3n por malware con el mismo hash SHA256.<\/li>\n<li>Evento\u00a03: Inteligencia de fuentes abiertas (OSINT) procedente de una entrada de blog que vincula este hash SHA256 con una supuesta campa\u00f1a de phishing.<\/li>\n<\/ul>\n<p>Estos eventos ser\u00edan suficientes para crear un cl\u00faster de actividad. Este ejemplo contiene varios eventos relacionados (es decir, phishing e infecci\u00f3n por malware) con IoC superpuestos (es decir, hash SHA256) y posibles v\u00edctimas superpuestas (es decir, instituciones financieras). La OSINT proporciona contexto adicional.<\/p>\n<p>Nombramos los cl\u00fasteres de actividad bas\u00e1ndonos en su motivaci\u00f3n evaluada por medio del prefijo CL-, seguido de una etiqueta de motivaci\u00f3n y un n\u00famero \u00fanico. Las etiquetas de motivaci\u00f3n son:<\/p>\n<ul>\n<li>UNK: motivaci\u00f3n desconocida<\/li>\n<li>STA: motivaci\u00f3n patrocinada por el Estado<\/li>\n<li>CRI: motivaci\u00f3n delictiva<\/li>\n<li>MIX: una combinaci\u00f3n de STA y CRI<\/li>\n<\/ul>\n<p>Un ejemplo de nombre de cl\u00faster de actividad sospechosa de estar patrocinada por un Estado ser\u00eda CL-STA-0001.<\/p>\n<p><strong>Lo que no es necesario para un cl\u00faster de actividades:<\/strong><\/p>\n<ul>\n<li>Atribuci\u00f3n de alta confianza: no necesitamos saber qui\u00e9n est\u00e1 detr\u00e1s de la actividad para crear un cl\u00faster. Los cl\u00fasteres de actividad sirven para agrupar actividades relacionadas, incluso si se desconoce el actor.<\/li>\n<li>Mapeo completo del ciclo de vida del ataque: no necesitamos comprender todo el ciclo de vida del ataque en la fase de cl\u00faster. Podemos formar cl\u00fasteres de actividad bas\u00e1ndonos en informaci\u00f3n parcial.<\/li>\n<\/ul>\n<table>\n<thead>\n<tr>\n<th>\n<p style=\"text-align: left;\"><strong>Nota:<\/strong> En inteligencia de amenazas, \u00abcl\u00faster de actividad\u00bb y \u00abcampa\u00f1a\u00bb son t\u00e9rminos relacionados que se utilizan para describir la actividad del adversario. Estos t\u00e9rminos denotan diferentes niveles de organizaci\u00f3n y comprensi\u00f3n.<\/p>\n<p style=\"text-align: left;\">Un <strong>cl\u00faster de actividad<\/strong> se refiere a una colecci\u00f3n de comportamientos observados, IoC y TTP que parecen estar conectados. En esta fase inicial del an\u00e1lisis, falta el contexto completo de un esfuerzo coordinado, lo que significa que no se comprende claramente el objetivo general ni el ciclo de vida completo del ataque. La atribuci\u00f3n puede ser baja o incierta.<\/p>\n<p style=\"text-align: left;\">Una <strong>campa\u00f1a<\/strong> representa un mayor nivel de organizaci\u00f3n y comprensi\u00f3n. Implica una serie de actividades coordinadas, con frecuencia atribuidas a un actor o grupo espec\u00edfico que representa una amenaza, llevadas a cabo con un objetivo definido (por ejemplo, espionaje, beneficio econ\u00f3mico, interrupci\u00f3n). Una campa\u00f1a implica un esfuerzo deliberado y planificado con un objetivo claro. Esto suele abarcar un per\u00edodo de tiempo espec\u00edfico y comprende varias fases, como el reconocimiento, la intrusi\u00f3n y la explotaci\u00f3n.<\/p>\n<p style=\"text-align: left;\">Consideremos una analog\u00eda con un rompecabezas:<\/p>\n<ul>\n<li style=\"text-align: left;\">Un <strong>cl\u00faster de actividad<\/strong> es como tener unas cuantas piezas de un rompecabezas que parecen encajar, pero sin la tapa de la caja no sabemos cu\u00e1l es la imagen final.<\/li>\n<li style=\"text-align: left;\">Una <strong>campa\u00f1a<\/strong> es como tener muchas piezas de un rompecabezas y comprender el panorama general (el objetivo), al tiempo que se observa c\u00f3mo encajan las piezas para formar una imagen coherente (las actividades coordinadas).<\/li>\n<\/ul>\n<\/th>\n<\/tr>\n<\/thead>\n<\/table>\n<h3><a id=\"post-154495-_heading=h.viwwagcvi56z\"><\/a>Nivel\u00a02: Grupo de amenaza temporal<\/h3>\n<p>Los grupos de amenazas temporales representan el segundo nivel de atribuci\u00f3n. Este concepto nos permite elevar los cl\u00fasteres de actividad a una categor\u00eda m\u00e1s establecida cuando estamos seguros de que un \u00fanico actor est\u00e1 involucrado en la actividad de amenazas. Esto es cierto incluso cuando no disponemos de informaci\u00f3n suficiente para atribuir la actividad a un actor de amenazas concreto.<\/p>\n<p>El establecimiento de grupos de amenazas temporales permite un seguimiento y an\u00e1lisis m\u00e1s centrados de las operaciones de un actor de amenazas mientras desarrollamos a\u00fan m\u00e1s el panorama de inteligencia.<\/p>\n<p>Antes de poder migrar un cl\u00faster de actividad a un grupo de amenazas temporal, es esencial realizar comprobaciones rigurosas de los datos de inteligencia recopilados para garantizar que la agrupaci\u00f3n refleje con precisi\u00f3n un \u00fanico actor de amenazas distinto. Un componente esencial para crear un grupo de amenazas temporal es el mapeo de la actividad de amenazas identificadas seg\u00fan el m\u00e9todo formal de an\u00e1lisis de intrusiones conocido como el <a href=\"https:\/\/apps.dtic.mil\/sti\/pdfs\/ADA586960.pdf\" target=\"_blank\" rel=\"noopener\">Modelo Diamante<\/a>.<\/p>\n<p>Una investigaci\u00f3n exhaustiva permitir\u00e1 comprender con mayor detalle la actividad de uno o varios cl\u00fasteres, m\u00e1s all\u00e1 de las similitudes superficiales. Este an\u00e1lisis m\u00e1s profundo es esencial para migrar con confianza un cl\u00faster de actividad a un grupo de amenazas temporal y sentar las bases para una posible atribuci\u00f3n futura a un actor de amenazas identificado. La documentaci\u00f3n meticulosa de los resultados y los fundamentos es esencial para garantizar la transparencia y la reproducibilidad.<\/p>\n<p>Para minimizar la posibilidad de atribuir eventos oportunistas no relacionados al mismo actor de amenazas, observamos la actividad durante al menos seis\u00a0meses. Esta duraci\u00f3n proporciona, idealmente, suficientes observaciones directas a trav\u00e9s del trabajo de casos para demostrar un comportamiento persistente y confirmar que la actividad observada pertenece al mismo grupo.<\/p>\n<p>Denominamos a los grupos de amenazas temporales en funci\u00f3n de su motivaci\u00f3n evaluada con el prefijo TGR-, seguido de una etiqueta de motivaci\u00f3n y un n\u00famero \u00fanico. Las etiquetas de motivaci\u00f3n son las siguientes:<\/p>\n<ul>\n<li>UNK: motivaci\u00f3n desconocida<\/li>\n<li>STA: motivaci\u00f3n patrocinada por el Estado<\/li>\n<li>CRI: motivaci\u00f3n delictiva<\/li>\n<li>MIX: una combinaci\u00f3n de STA y CRI<\/li>\n<\/ul>\n<p>Por ejemplo, el nombre de un grupo de amenazas temporal sospechoso de estar patrocinado por un Estado es similar a TGR-STA-0001.<\/p>\n<h3><a id=\"post-154495-_heading=h.1xkzkgmxw4qi\"><\/a>Nivel\u00a03: Actor\/pa\u00eds responsable de la amenaza identificado<\/h3>\n<p>Cuando se produce una intrusi\u00f3n, solemos querer identificar a los autores. Sin embargo, la atribuci\u00f3n requiere una cuidadosa consideraci\u00f3n para mitigar los sesgos inherentes.<\/p>\n<p>Asociar p\u00fablicamente un ataque con un actor de amenazas espec\u00edfico o un pa\u00eds de origen puede tener repercusiones significativas. Por ejemplo, los actores de amenazas destructivas podr\u00edan lanzar ataques de represalia. Si una asociaci\u00f3n es incorrecta, esto podr\u00eda llevar a los consumidores de inteligencia a establecer prioridades err\u00f3neas en los controles de seguridad.<\/p>\n<p>Cualquier menci\u00f3n p\u00fablica de una asociaci\u00f3n entre una actividad y un actor de amenazas identificado debe incluir un lenguaje estimativo adecuado para transmitir nuestros niveles de confianza con respecto a dicha conexi\u00f3n. Esto evita atribuciones err\u00f3neas dentro de la comunidad y el malgasto de recursos por parte de nuestros grupos de inter\u00e9s.<\/p>\n<p>Promover un grupo de amenazas temporal a actor de amenazas con nombre (es decir, darle <a href=\"https:\/\/unit42.paloaltonetworks.com\/unit-42-threat-group-naming-update\/\" target=\"_blank\" rel=\"noopener\">un nombre de Unit\u00a042 Constellation<\/a>) es un paso significativo que requiere una evaluaci\u00f3n de alta confianza y pruebas convincentes. Esto requiere pruebas s\u00f3lidas procedentes de varias fuentes confiables, entre ellas telemetr\u00eda interna, socios de confianza e informaci\u00f3n de OSINT corroborada. Asignamos la actividad a los cuatro v\u00e9rtices del modelo Diamante (adversario, infraestructura, capacidad, v\u00edctima) con diversos elementos rastreados para cada uno de los v\u00e9rtices.<\/p>\n<h3><a id=\"post-154495-_heading=h.tu5ri28orgy4\"><\/a>Determinaci\u00f3n de la motivaci\u00f3n: Ciberdelincuencia frente a estado-naci\u00f3n frente a mixto<\/h3>\n<p>Como parte del proceso de atribuci\u00f3n, debemos tener en cuenta:<\/p>\n<ul>\n<li>Las motivaciones del actor de amenazas, cuando sea posible, basadas en sus actividades (por ejemplo, robo de datos confidenciales, destrucci\u00f3n de sistemas, exigencia de rescate).<\/li>\n<li>Victimolog\u00eda<\/li>\n<li>Posibles superposiciones con actividades conocidas<\/li>\n<\/ul>\n<p>Determinar esta motivaci\u00f3n proporciona la etiqueta dentro del cl\u00faster de actividad o el nombre del grupo de amenazas temporales, pasando del estado inicial desconocido (UNK) a ciberdelincuencia (CRI) o estado-naci\u00f3n (STA), o mixto (MIX) para una combinaci\u00f3n de ambos. Las etiquetas CRI, STA y MIX se aplican a cl\u00fasteres de actividad y grupos de amenazas temporales, ya que debemos conocer la motivaci\u00f3n de un grupo antes de clasificarlo como un actor de amenazas con nombre.<\/p>\n<h2><a id=\"post-154495-_heading=h.locwn88uvmri\"><\/a>Normas m\u00ednimas para los niveles de atribuci\u00f3n<\/h2>\n<p>Aplicamos un conjunto de est\u00e1ndares m\u00ednimos para cada nivel de atribuci\u00f3n con el fin de garantizar el rigor anal\u00edtico, la credibilidad y la precisi\u00f3n de nuestros informes de inteligencia.<\/p>\n<p>A continuaci\u00f3n, describimos algunas de las consideraciones que hemos establecido para gestionar la promoci\u00f3n de la actividad a trav\u00e9s de nuestro marco de atribuci\u00f3n. Las agrupamos por tipo de an\u00e1lisis y luego describimos c\u00f3mo se desarrollan las consideraciones en cada nivel de atribuci\u00f3n.<\/p>\n<h3><a id=\"post-154495-_heading=h.a6kjruupyc8f\"><\/a>An\u00e1lisis TTP<\/h3>\n<ul>\n<li><strong>Cl\u00fasteres de actividad<\/strong>\n<ul>\n<li><em>Agrupaciones de TTP similares:<\/em> esto incluye el uso de la misma familia de malware, t\u00e9cnicas de explotaci\u00f3n o infraestructura de comando y control (C2).<\/li>\n<\/ul>\n<\/li>\n<li><strong>Grupos de amenazas temporales<\/strong>\n<ul>\n<li><em>TTP en detalle<\/em>: vamos m\u00e1s all\u00e1 de las clasificaciones generales de t\u00e1cticas y t\u00e9cnicas de <a href=\"https:\/\/attack.mitre.org\/\" target=\"_blank\" rel=\"noopener\">MITRE ATT&amp;CK\u00ae<\/a> y nos centramos en los detalles y artefactos asociados al nivel procedimental: las herramientas, comandos y configuraciones concretas que se emplean.<\/li>\n<li><em>Herramientas de infraestructura personalizadas: <\/em>herramientas o scripts personalizados utilizados para gestionar o interactuar con la infraestructura del grupo (por ejemplo, una herramienta propia para gestionar la infraestructura o una red de bots).<\/li>\n<li><em>Configuraciones de infraestructura \u00fanicas:<\/em> configuraciones inusuales o \u00fanicas de componentes comunes de infraestructura (por ejemplo, una configuraci\u00f3n espec\u00edfica y no est\u00e1ndar de un servidor web utilizado para la comunicaci\u00f3n C2).<\/li>\n<li><em>An\u00e1lisis cronol\u00f3gico de la evoluci\u00f3n de TTP: <\/em>examinamos el desarrollo cronol\u00f3gico del uso de TTP dentro del cl\u00faster. Un patr\u00f3n TTP continuo y en constante evoluci\u00f3n a lo largo del tiempo suele indicar que un \u00fanico actor est\u00e1 perfeccionando sus m\u00e9todos. En sentido contrario, los cambios repentinos o importantes podr\u00edan indicar la presencia de diferentes actores o campa\u00f1as.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Actores de amenazas identificados<\/strong>\n<ul>\n<li><em>TTP distintas y bien definidas:<\/em> El actor de amenazas identificado debe mostrar un conjunto de TTP distintas y bien definidas que lo diferencien de otros actores conocidos. Esto podr\u00eda incluir malware \u00fanico, herramientas personalizadas, t\u00e9cnicas de explotaci\u00f3n espec\u00edficas o un ciclo de vida de ataque caracter\u00edstico. Cuanto m\u00e1s singulares y coherentes sean las TTP, m\u00e1s s\u00f3lidos ser\u00e1n los argumentos a favor de un actor distinto.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h3><a id=\"post-154495-_heading=h.ucrgvyugy9bu\"><\/a>An\u00e1lisis de infraestructura y herramientas<\/h3>\n<ul>\n<li><strong>Cl\u00fasteres de actividad <\/strong>\n<ul>\n<li><em>IoC superpuestos: <\/em>direcciones IP compartidas, nombres de dominio, hash de archivos u otros indicadores.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Grupos de amenazas temporales <\/strong>\n<ul>\n<li><em>M\u00e1s all\u00e1 de las direcciones IP y los dominios:<\/em> nos centramos en las relaciones entre los elementos de infraestructura, como los proveedores de alojamiento compartido o los patrones de registro. Utilizamos estos desplazamientos de infraestructura para descubrir actividades relacionadas adicionales.<\/li>\n<li><em>Registros Whois y (p)DNS:<\/em> analizamos los registros Whois y (p)DNS de los dominios sospechosos. Buscamos patrones en la informaci\u00f3n de los registrantes y los servidores de nombres, as\u00ed como otros detalles que puedan vincular infraestructuras aparentemente dispares.<\/li>\n<li><em>Similitudes entre los c\u00f3digos:<\/em> si hay malware involucrado, vamos m\u00e1s all\u00e1 de las comparaciones de hash. Analizamos el c\u00f3digo en busca de similitudes en cuanto a estructura, funcionalidad y caracter\u00edsticas \u00fanicas. Buscamos la reutilizaci\u00f3n de c\u00f3digo, bibliotecas compartidas u otros indicios reveladores de un desarrollador o c\u00f3digo base com\u00fan.<\/li>\n<li><em>Configuraci\u00f3n de la herramienta:<\/em> Examinamos la configuraci\u00f3n de cualquier herramienta utilizada por el actor. Las configuraciones \u00fanicas, los m\u00f3dulos personalizados o los ajustes espec\u00edficos pueden ser indicadores claros de un \u00fanico actor.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Actores de amenazas identificados <\/strong>\n<ul>\n<li><em>An\u00e1lisis de infraestructura: <\/em>realizamos un an\u00e1lisis exhaustivo de la infraestructura, en el que vinculamos la actividad del grupo con elementos espec\u00edficos de la infraestructura (direcciones IP, dominios o servidores). Demostramos un uso constante de esta infraestructura a lo largo del tiempo y, en el mejor de los casos, la vinculamos exclusivamente a las operaciones del grupo.<\/li>\n<li><em>An\u00e1lisis de malware: <\/em>si hay malware involucrado, realizamos un an\u00e1lisis en profundidad para identificar caracter\u00edsticas \u00fanicas del c\u00f3digo, bases de c\u00f3digo compartidas o v\u00ednculos con otras familias de malware conocidas utilizadas por el grupo.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h3><a id=\"post-154495-_heading=h.vkgwrawk8kod\"><\/a>Selecci\u00f3n de objetivos y victimolog\u00eda<\/h3>\n<ul>\n<li><strong>Cl\u00fasteres de actividad <\/strong>\n<ul>\n<li><em>V\u00edctimas comunes:<\/em> dirigirse a organizaciones del mismo sector o regi\u00f3n geogr\u00e1fica, o con perfiles similares.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Grupos de amenazas temporales <\/strong>\n<ul>\n<li><em>Un an\u00e1lisis m\u00e1s detallado de los perfiles de las v\u00edctimas: <\/em>identificamos caracter\u00edsticas organizativas espec\u00edficas, tecnolog\u00edas utilizadas o tipos de datos objetivo que conectan a las v\u00edctimas. Buscamos patrones que vayan m\u00e1s all\u00e1 de las clasificaciones generales. Por ejemplo: \u00bfExiste alguna vulnerabilidad com\u00fan que est\u00e9 explotando un actor de amenazas y que pueda indicar que el ataque es oportunista, bas\u00e1ndose en la superficie de ataque de las v\u00edctimas?<\/li>\n<li><em>Motivos de la selecci\u00f3n de objetivos: <\/em>investigamos los motivos subyacentes de la selecci\u00f3n de objetivos. \u00bfLa elecci\u00f3n de las v\u00edctimas se ajusta a un objetivo concreto, como el espionaje, el beneficio econ\u00f3mico o la interrupci\u00f3n? Comprender el motivo detr\u00e1s de la selecci\u00f3n de objetivos proporciona informaci\u00f3n crucial sobre la identidad y los objetivos del actor.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Actores de amenazas identificados <\/strong>\n<ul>\n<li><em>Motivaci\u00f3n y patrones de selecci\u00f3n: <\/em>desarrollamos una comprensi\u00f3n clara de la motivaci\u00f3n y los patrones de selecci\u00f3n de objetivos del actor de amenazas. \u00bfCu\u00e1les son sus objetivos (como espionaje, ganancia econ\u00f3mica o interrupci\u00f3n)? \u00bfCu\u00e1les son sus objetivos t\u00edpicos (sectores, zonas geogr\u00e1ficas, organizaciones)? Una comprensi\u00f3n bien definida de los motivos y objetivos del actor de amenazas refuerza la atribuci\u00f3n y proporciona un contexto valioso.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h3><a id=\"post-154495-_heading=h.bcj0mta94r96\"><\/a>An\u00e1lisis temporal<\/h3>\n<ul>\n<li><strong>Cl\u00fasteres de actividad <\/strong>\n<ul>\n<li><em>Proximidad temporal:<\/em> eventos que ocurren en un per\u00edodo de tiempo relativamente corto.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Grupos de amenazas temporales <\/strong>\n<ul>\n<li><em>Eventos geopol\u00edticos o del sector: <\/em>correlacionamos la cronolog\u00eda de actividades con eventos externos, como acontecimientos geopol\u00edticos o conferencias espec\u00edficas del sector. \u00bfCoincide la actividad con alg\u00fan evento que pueda proporcionar contexto o sugerir un motivo?<\/li>\n<\/ul>\n<\/li>\n<li><strong>Actores de amenazas identificados <\/strong>\n<ul>\n<li><em>Operaciones sostenidas:<\/em> Observamos una actividad constante y sostenida por parte del actor de amenazas durante un prolongado per\u00edodo de tiempo en varias campa\u00f1as. Esto demuestra un compromiso a largo plazo con las operaciones y reduce la probabilidad de atribuir err\u00f3neamente actividades oportunistas de corta duraci\u00f3n u operaciones de bandera falsa.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h3><a id=\"post-154495-_heading=h.oqgwhbrlieiu\"><\/a>Otras consideraciones para la atribuci\u00f3n<\/h3>\n<p><strong>Seguimiento OPSEC: <\/strong>analizamos las pr\u00e1cticas OPSEC de un actor de amenazas. \u00bfCometen errores recurrentes o muestran patrones \u00fanicos en sus intentos por permanecer en el anonimato? Estas huellas digitales OPSEC pueden ser valiosas para la atribuci\u00f3n. Entre los errores m\u00e1s destacados se incluyen:<\/p>\n<ul>\n<li>Errores tipogr\u00e1ficos en el c\u00f3digo y los comandos.<\/li>\n<li>Dejar el nombre de usuario de un desarrollador en el c\u00f3digo o en los metadatos de un archivo.<\/li>\n<li>Infraestructura abierta.<\/li>\n<\/ul>\n<p><strong>Ausencia de pruebas contradictorias: <\/strong>Tenemos cuidado con la presencia de pruebas contradictorias que podr\u00edan refutar la hip\u00f3tesis del actor de amenazas \u00fanico. Por ejemplo, los cambios dr\u00e1sticos en las TTP o los objetivos de un cl\u00faster de actividades podr\u00edan indicar la presencia de varios actores de amenazas o un cambio en las operaciones. Estos casos merecen una investigaci\u00f3n m\u00e1s profunda antes de promover un cl\u00faster de actividad a grupo de amenazas temporal.<\/p>\n<p><strong>Volumen de datos excepcionalmente alto: <\/strong>la promoci\u00f3n podr\u00eda justificarse si se dispone de un volumen significativo de datos de amenazas de alta calidad antes de lo habitual. Esto podr\u00eda suceder, por ejemplo, despu\u00e9s de un incidente grave en el que un an\u00e1lisis forense exhaustivo o la recopilaci\u00f3n de inteligencia de amenazas revelen una gran cantidad de informaci\u00f3n sobre un actor previamente desconocido. Este calendario acelerado se justifica cuando los datos proporcionan una comprensi\u00f3n exhaustiva de las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP), la infraestructura y las motivaciones del actor. El cl\u00faster de actividad debe exhibir actividad en varios v\u00e9rtices del Modelo Diamante.<\/p>\n<p><strong>Escasez de datos: <\/strong>si los datos siguen siendo escasos despu\u00e9s de un per\u00edodo de observaci\u00f3n prolongado, la reclasificaci\u00f3n como grupo de amenaza temporal podr\u00eda ser prematura. El seguimiento continuo y la recopilaci\u00f3n de datos son fundamentales en tales situaciones. Ejerce su criterio para determinar el plazo adecuado para continuar con la observaci\u00f3n, ponderando factores como:<\/p>\n<ul>\n<li>La naturaleza de la amenaza<\/li>\n<li>Impacto potencial<\/li>\n<li>Fuentes de inteligencia disponibles<\/li>\n<\/ul>\n<p>El objetivo es recopilar datos suficientes para atribuir con certeza la autor\u00eda a un \u00fanico actor antes de designarlo formalmente como grupo de amenazas temporal.<\/p>\n<h2><a id=\"post-154495-_heading=h.sbwfj1aairp8\"><\/a>Evaluaci\u00f3n de la calidad, la validez y la confianza<\/h2>\n<p>A lo largo de todo el ciclo de vida de la inteligencia, reevaluamos peri\u00f3dicamente la calidad, la validez y los niveles de confianza de nuestra inteligencia de amenazas. Antes de crear un cl\u00faster de actividades, ascenderlo a grupo de amenazas temporal o nombrar formalmente a un actor de amenazas, reevaluamos nuestra investigaci\u00f3n y realizamos varias comprobaciones para asegurarnos de que el cl\u00faster de actividad es v\u00e1lido, significativo y se basa en informaci\u00f3n confiable.<\/p>\n<ul>\n<li><strong>Verificaci\u00f3n de la fuente <\/strong>\n<ul>\n<li><em>Confiabilidad de las fuentes:<\/em> Evaluamos la confiabilidad de las fuentes de informaci\u00f3n. Damos prioridad a fuentes confiables, como telemetr\u00eda interna, socios verificados e investigadores de seguridad de renombre. Somos cautelosos con la informaci\u00f3n procedente de fuentes poco confiables o con antecedentes de informaci\u00f3n inexacta. Siempre que es posible, pasamos de fuentes secundarias (por ejemplo, un art\u00edculo period\u00edstico) a informes t\u00e9cnicos originales. A continuaci\u00f3n, aplicamos calificaciones de confiabilidad de la fuente (A-F) y calificaciones de credibilidad (1-6).<\/li>\n<li><em>Corroboraci\u00f3n:<\/em> Buscamos la corroboraci\u00f3n de varias fuentes independientes y externas siempre que sea posible. Si la informaci\u00f3n proviene de una sola fuente, especialmente si es poco confiable, la tratamos con escepticismo y buscamos pruebas adicionales.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Validez del indicador <\/strong>\n<ul>\n<li><em>Contexto de los IoC: <\/em>evaluamos el contexto en el que se observaron los IoC. Los IoC sin contexto (por ejemplo, un hash de archivo sin conocer ninguna informaci\u00f3n adicional) tienen un valor limitado. Debemos comprender c\u00f3mo se obtuvieron los IoC y qu\u00e9 representan.<\/li>\n<li><em>Exclusividad de los IoC:<\/em> evaluamos la exclusividad de los IoC. Las herramientas comunes, los exploits disponibles p\u00fablicamente o la infraestructura gen\u00e9rica son indicadores d\u00e9biles. Damos prioridad a los IoC exclusivos o poco comunes, especialmente aquellos vinculados con actores de amenazas espec\u00edficos o familias de malware.<\/li>\n<li><em>Volatilidad de los IoC: <\/em>consideramos la volatilidad de los IoC. Las direcciones IP y los nombres de dominio pueden cambiar r\u00e1pidamente, lo que los hace menos confiables para el seguimiento a largo plazo. Los hash de malware y las TTP suelen ser m\u00e1s persistentes.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Consistencia TTP <\/strong>\n<ul>\n<li><em>Patrones establecidos: <\/em>Comparamos las TTP observadas con los patrones establecidos de los actores de amenazas conocidos. \u00bfLas TTP coinciden con alg\u00fan grupo conocido? \u00bfHay alguna desviaci\u00f3n significativa que suscite dudas?<\/li>\n<li><em>Coherencia interna:<\/em> Comprobamos la coherencia interna dentro de las TTP observadas. \u00bfLas t\u00e1cticas y las t\u00e9cnicas tienen sentido juntas? \u00bfHay alguna contradicci\u00f3n o incoherencia que sugiera que la actividad podr\u00eda no estar relacionada?<\/li>\n<\/ul>\n<\/li>\n<li><strong>An\u00e1lisis de v\u00edctimas <\/strong>\n<ul>\n<li><em>Patrones de selecci\u00f3n de objetivos:<\/em> analizamos los patrones de selecci\u00f3n de v\u00edctimas. \u00bfLas v\u00edctimas comparten alguna caracter\u00edstica com\u00fan (sector, ubicaci\u00f3n geogr\u00e1fica, tama\u00f1o de la organizaci\u00f3n)? \u00bfLos patrones de selecci\u00f3n de objetivos coinciden con los motivos u objetivos conocidos del presunto autor?<\/li>\n<li><em>Banderas falsas:<\/em> consideramos la posibilidad de que se trate de una operaci\u00f3n de bandera falsa. \u00bfParece que la selecci\u00f3n de v\u00edctimas est\u00e1 deliberadamente dise\u00f1ada para enga\u00f1ar a los analistas y culpar a otro actor?<\/li>\n<\/ul>\n<\/li>\n<li><strong>Estimaci\u00f3n de las evaluaciones de confianza <\/strong>\n<ul>\n<li><em>Evaluaciones de confianza: <\/em>resumimos estas consideraciones en una \u00fanica y clara evaluaci\u00f3n de confianza.<\/li>\n<li><em>Lenguaje estimativo: <\/em>Seguimos el est\u00e1ndar de <a href=\"https:\/\/www.misp-project.org\/taxonomies.html#_estimative_language\" target=\"_blank\" rel=\"noopener\">lenguaje estimativo<\/a> establecido por la comunidad de inteligencia de los Estados Unidos.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h3><a id=\"post-154495-_heading=h.olv1bua8zjzy\"><\/a>Verificaci\u00f3n de fuentes con el sistema Admiralty<\/h3>\n<p>El <a href=\"https:\/\/www.sans.org\/blog\/enhance-your-cyber-threat-intelligence-with-the-admiralty-system\" target=\"_blank\" rel=\"noopener\">Sistema Admiralty<\/a> proporciona los valores posibles para la confiabilidad de la fuente y la credibilidad de la informaci\u00f3n, as\u00ed como palabras clave y descripciones de los valores que se pueden aprovechar al redactar informes de inteligencia. En la Tabla 1 se incluyen las calificaciones, palabras clave y descripciones utilizadas en nuestra implementaci\u00f3n del Sistema Admiralty para la confiabilidad de las fuentes.<\/p>\n<table style=\"width: 100.611%;\">\n<tbody>\n<tr>\n<td style=\"text-align: center; width: 112.237%;\" colspan=\"3\"><strong>Confiabilidad de la fuente<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 13.1228%; text-align: center;\"><strong>Clasificaci\u00f3n<\/strong><\/td>\n<td style=\"width: 17.7569%; text-align: center;\"><strong>Palabras clave<\/strong><\/td>\n<td style=\"width: 81.3576%; text-align: center;\"><strong>Descripci\u00f3n<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 13.1228%; text-align: center;\">A<\/td>\n<td style=\"width: 17.7569%;\">Confiable<\/td>\n<td style=\"width: 81.3576%;\">No hay duda sobre la autenticidad, confiabilidad o competencia de la fuente. Historial de total confiabilidad.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 13.1228%; text-align: center;\">B<\/td>\n<td style=\"width: 17.7569%;\">Normalmente confiable<\/td>\n<td style=\"width: 81.3576%;\">Dudas menores. Historial de informaci\u00f3n mayoritariamente v\u00e1lida.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 13.1228%; text-align: center;\">C<\/td>\n<td style=\"width: 17.7569%;\">Bastante confiable<\/td>\n<td style=\"width: 81.3576%;\">Dudas. Proporcion\u00f3 informaci\u00f3n v\u00e1lida en el pasado.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 13.1228%; text-align: center;\">D<\/td>\n<td style=\"width: 17.7569%;\">No suele ser confiable<\/td>\n<td style=\"width: 81.3576%;\">Dudas importantes. Proporcion\u00f3 informaci\u00f3n v\u00e1lida en el pasado.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 13.1228%; text-align: center;\">E<\/td>\n<td style=\"width: 17.7569%;\">Poco confiable<\/td>\n<td style=\"width: 81.3576%;\">Carece de autenticidad, confiabilidad y competencia. Historial de informaci\u00f3n no v\u00e1lida.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 13.1228%; text-align: center;\">F<\/td>\n<td style=\"width: 17.7569%;\">Confiabilidad desconocida<\/td>\n<td style=\"width: 81.3576%;\">No hay suficiente informaci\u00f3n para evaluar la confiabilidad. Puede que no sea confiable.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla\u00a01. Escala Admiralty para determinar la confiabilidad de una fuente de informaci\u00f3n.<\/span><\/p>\n<p>Internamente, definimos puntuaciones predeterminadas para fuentes rutinarias. Por ejemplo, establecemos los datos de telemetr\u00eda con una puntuaci\u00f3n de confiabilidad predeterminada de \u201cA\u201d. Podemos ajustar la puntuaci\u00f3n a la baja en los casos en los que encontremos pruebas de una posible interferencia con el registro u otras omisiones defensivas que podr\u00edan haber afectado a la telemetr\u00eda.<\/p>\n<p>La credibilidad de la informaci\u00f3n puede oscilar entre 1 y 6 y se eval\u00faa por separado de la confiabilidad de la fuente.<\/p>\n<p>En la Tabla 2 se incluyen las calificaciones, palabras clave y descripciones utilizadas en nuestra implementaci\u00f3n de la Escala Admiralty para la credibilidad de la informaci\u00f3n.<\/p>\n<table style=\"width: 100.663%; height: 192px;\">\n<tbody>\n<tr style=\"height: 24px;\">\n<td style=\"text-align: center; height: 24px; width: 108.161%;\" colspan=\"3\"><strong>Credibilidad de la informaci\u00f3n<\/strong><\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"text-align: center; height: 24px; width: 12.0859%;\"><strong>Clasificaci\u00f3n<\/strong><\/td>\n<td style=\"text-align: center; height: 24px; width: 16.0544%;\"><strong>Palabras clave<\/strong><\/td>\n<td style=\"text-align: center; height: 24px; width: 80.0211%;\"><strong>Descripci\u00f3n<\/strong><\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"height: 24px; width: 12.0859%; text-align: center;\">1<\/td>\n<td style=\"height: 24px; width: 16.0544%;\">Confirmado<\/td>\n<td style=\"height: 24px; width: 80.0211%;\">Confirmado por otras fuentes independientes. L\u00f3gico en s\u00ed mismo. En coherencia con otra informaci\u00f3n sobre el tema.<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"height: 24px; width: 12.0859%; text-align: center;\">2<\/td>\n<td style=\"height: 24px; width: 16.0544%;\">Probablemente cierto<\/td>\n<td style=\"height: 24px; width: 80.0211%;\">No confirmado. L\u00f3gico en s\u00ed mismo. En coherencia con otra informaci\u00f3n sobre el tema.<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"height: 24px; width: 12.0859%; text-align: center;\">3<\/td>\n<td style=\"height: 24px; width: 16.0544%;\">Posiblemente cierto<\/td>\n<td style=\"height: 24px; width: 80.0211%;\">No confirmado. Razonablemente l\u00f3gico en s\u00ed mismo. Coincide con otra informaci\u00f3n sobre el tema.<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"height: 24px; width: 12.0859%; text-align: center;\">4<\/td>\n<td style=\"height: 24px; width: 16.0544%;\">Dudosamente cierto<\/td>\n<td style=\"height: 24px; width: 80.0211%;\">No confirmado. Posible, pero no l\u00f3gico. No hay m\u00e1s informaci\u00f3n sobre el tema.<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"height: 24px; width: 12.0859%; text-align: center;\">5<\/td>\n<td style=\"height: 24px; width: 16.0544%;\">Improbable<\/td>\n<td style=\"height: 24px; width: 80.0211%;\">No confirmado. No es l\u00f3gico en s\u00ed mismo. Contradicho por otra informaci\u00f3n sobre el tema.<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"height: 24px; width: 12.0859%; text-align: center;\">6<\/td>\n<td style=\"height: 24px; width: 16.0544%;\">Dif\u00edcil de decir<\/td>\n<td style=\"height: 24px; width: 80.0211%;\">No existe ninguna base para evaluar la validez de la informaci\u00f3n.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla\u00a02. Escala Admiralty para determinar la credibilidad de la informaci\u00f3n.<\/span><\/p>\n<p>Internamente, establecimos puntuaciones de credibilidad predeterminadas para una amplia gama de artefactos de inteligencia, tales como:<\/p>\n<ul>\n<li>Los tipos de IoC est\u00e1ndar (por ejemplo, hash de archivos, dominios, direcciones IP, direcciones de correo electr\u00f3nico)<\/li>\n<li>Elementos clave que utilizan los investigadores de amenazas para rastrear grupos (por ejemplo, informaci\u00f3n de registro, detalles del certificado TLS).<\/li>\n<\/ul>\n<p>Una vez m\u00e1s, se trata de puntuaciones predeterminadas, y nuestros analistas pueden reducir o aumentar la puntuaci\u00f3n de cada artefacto en funci\u00f3n de sus conclusiones. Por ejemplo, una direcci\u00f3n IP tiene por defecto una calificaci\u00f3n de credibilidad de 4 (Dudosamente cierto) porque las direcciones IP pueden alojar muchos servicios no relacionados y cambiar r\u00e1pidamente su asociaci\u00f3n con sitios y servicios espec\u00edficos. Sin embargo, los investigadores de amenazas pueden aumentar la puntuaci\u00f3n bas\u00e1ndose en pruebas espec\u00edficas, incluidas situaciones en las que la direcci\u00f3n IP est\u00e1 codificada de forma fija en una configuraci\u00f3n de malware con telemetr\u00eda C2 activa, en un caso de respuesta a incidentes activo.<\/p>\n<p>Tanto la confiabilidad como el nivel de credibilidad de las fuentes influyen directamente en nuestro proceso de atribuci\u00f3n. Por ejemplo, una fuente de informaci\u00f3n con clasificaci\u00f3n \u201cA2\u201d tendr\u00e1 una influencia mucho mayor en la confianza de la atribuci\u00f3n que una fuente con confiabilidad \u201cC3\u201d.<\/p>\n<h2><a id=\"post-154495-_heading=h.ayyedkt5xtdc\"><\/a>Aplicaci\u00f3n del marco de atribuci\u00f3n<\/h2>\n<p>Nuestro seguimiento a largo plazo de la actividad de Stately Taurus nos permite vislumbrar la evoluci\u00f3n de un cl\u00faster de actividad hasta convertirse en un grupo de amenazas identificado. En 2015, publicamos un art\u00edculo de investigaci\u00f3n de amenazas en el que analiz\u00e1bamos nuestro descubrimiento del <a href=\"https:\/\/unit42.paloaltonetworks.com\/bookworm-trojan-a-model-of-modular-architecture\/\" target=\"_blank\" rel=\"noopener\">troyano Bookworm<\/a> junto con un segundo art\u00edculo titulado <a href=\"https:\/\/unit42.paloaltonetworks.com\/attack-campaign-on-the-government-of-thailand-delivers-bookworm-trojan\/\" target=\"_blank\" rel=\"noopener\">Campa\u00f1a de ataques contra el Gobierno de Tailandia distribuye el troyano Bookworm<\/a>.<\/p>\n<p>En aquel momento, no cont\u00e1bamos con el marco de atribuci\u00f3n, por lo que los art\u00edculos no mencionan los cl\u00fasteres de actividad. Sin embargo, mostramos esa evoluci\u00f3n en nuestro art\u00edculo <a href=\"https:\/\/unit42.paloaltonetworks.com\/stately-taurus-attacks-se-asian-government\/\" target=\"_blank\" rel=\"noopener\">Stately Taurus<\/a> de 2023, donde asignamos un cl\u00faster de actividad a la actividad de 2015 y lo vinculamos a Stately Taurus. A continuaci\u00f3n, en 2025, aprovechando nuestro marco de atribuci\u00f3n, completamos el v\u00ednculo entre <a href=\"https:\/\/unit42.paloaltonetworks.com\/stately-taurus-uses-bookworm-malware\/\" target=\"_blank\" rel=\"noopener\">Stately Taurus y el malware Bookworm<\/a>.<\/p>\n<p>Al analizar Stately Taurus, observamos superposiciones entre partes de la infraestructura de los actores de amenazas y los sistemas utilizados por una variante del malware Bookworm. En la Figura\u00a02 se muestran los hash SHA256 asociados con la variante del malware Bookworm en relaci\u00f3n con la infraestructura utilizada por Stately Taurus.<\/p>\n<figure id=\"attachment_154507\" aria-describedby=\"caption-attachment-154507\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-154507 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-486401-154495-2.jpeg\" alt=\"Diagrama que muestra el flujo de datos entre nodos identificados por hash SHA256, conectados por flechas. El malware se representa en rojo y el grupo de amenazas Stately\u00a0Taurus en azul. \" width=\"800\" height=\"803\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-486401-154495-2.jpeg 1067w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-486401-154495-2-438x440.jpeg 438w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-486401-154495-2-697x700.jpeg 697w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-486401-154495-2-300x300.jpeg 300w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-486401-154495-2-768x771.jpeg 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-154507\" class=\"wp-caption-text\">Figura 2. Diagramas de enlaces de artefactos de inteligencia de amenazas que vinculan el malware Bookworm (nodos rojos) con Stately Taurus (nodos azules).<\/figcaption><\/figure>\n<p>Agregamos todos los IoC, TTP y otros artefactos de inteligencia rastreados a nuestra hoja de puntuaci\u00f3n del marco de atribuci\u00f3n interno que se muestra en la Figura\u00a03. Tambi\u00e9n proporcionamos detalles en la columna de an\u00e1lisis, incluidas las justificaciones de cualquier cambio en la puntuaci\u00f3n sugerida por defecto.<\/p>\n<figure id=\"attachment_154518\" aria-describedby=\"caption-attachment-154518\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-154518 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-489236-154495-3.png\" alt=\"Hoja de c\u00e1lculo con diversos tipos de amenazas a la ciberseguridad, clasificadas por modelo de dominio, tipo, fuente de atribuci\u00f3n, valor, an\u00e1lisis, superposici\u00f3n, fuentes compatibles y disponibilidad manual. Incluye columnas sobre vectores, capacidad, infraestructura y malware, con informaci\u00f3n sobre organizaciones gubernamentales e investigaci\u00f3n p\u00fablica.\" width=\"1000\" height=\"362\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-489236-154495-3.png 1676w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-489236-154495-3-786x285.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-489236-154495-3-768x278.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-489236-154495-3-1536x556.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-154518\" class=\"wp-caption-text\">Figura 3. Ejemplo de los indicadores de vulneraci\u00f3n (IoC) Stately Taurus y Bookworm en una hoja de puntuaci\u00f3n del marco de atribuci\u00f3n.<\/figcaption><\/figure>\n<p>Implementamos un peque\u00f1o Comit\u00e9 de Revisi\u00f3n del marco de atribuci\u00f3n para revisar los resultados. Este comit\u00e9 aprovecha los conocimientos de los miembros de varios equipos de investigaci\u00f3n internos para debatir los resultados y garantizar su precisi\u00f3n. El comit\u00e9 de revisi\u00f3n tambi\u00e9n se asegura de que no hayamos pasado por alto ninguna oportunidad de ampliar el panorama de inteligencia antes de promover un cl\u00faster de actividad a un grupo de amenazas temporal o un grupo de amenazas temporal a un actor de amenazas identificado.<\/p>\n<h2><a id=\"post-154495-_heading=h.qkiio5kay59k\"><\/a>Conclusi\u00f3n<\/h2>\n<p>El marco de atribuci\u00f3n de Unit\u00a042 ofrece un enfoque estructurado para analizar los datos sobre amenazas. Esta metodolog\u00eda permite atribuir la actividad observada a actores de amenazas identificados, cl\u00fasteres de actividad o grupos de amenazas temporales con diferentes niveles de confianza. Es esencial para el seguimiento a largo plazo y mejora la eficiencia de la recopilaci\u00f3n y el an\u00e1lisis de inteligencia de amenazas.<\/p>\n<p>Esperamos que este marco ofrezca a nuestros consumidores de inteligencia suficiente transparencia sobre nuestras pr\u00e1cticas internas. Adem\u00e1s, esperamos que sirva de modelo para otros equipos de investigaci\u00f3n de amenazas, contribuyendo a la continua maduraci\u00f3n de la profesi\u00f3n de inteligencia de amenazas.<\/p>\n<p>Para obtener m\u00e1s informaci\u00f3n sobre los grupos de amenazas formales de Unit\u00a042, consulte nuestro art\u00edculo <a href=\"https:\/\/unit42.paloaltonetworks.com\/threat-actor-groups-tracked-by-palo-alto-networks-unit-42\/\" target=\"_blank\" rel=\"noopener\">Grupos de actores de amenazas rastreados por Unit\u00a042<\/a>.<\/p>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00080005045107<\/li>\n<\/ul>\n<h2><a id=\"post-154495-_heading=h.uxbrwcj2i46o\"><\/a>Recursos adicionales<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.sans.org\/blog\/enhance-your-cyber-threat-intelligence-with-the-admiralty-system\" target=\"_blank\" rel=\"noopener\">Mejore su inteligencia de ciberamenazas con el sistema Admiralty<\/a>: blog de SANS<\/li>\n<li><a href=\"https:\/\/apps.dtic.mil\/sti\/pdfs\/ADA586960.pdf\" target=\"_blank\" rel=\"noopener\">El modelo Diamante de an\u00e1lisis de intrusiones<\/a>: Centro de Informaci\u00f3n T\u00e9cnica de Defensa (DTIC), Departamento de Defensa de los Estados Unidos (DoD)<\/li>\n<li><a href=\"https:\/\/www.misp-project.org\/taxonomies.html#_estimative_language\" target=\"_blank\" rel=\"noopener\">Taxonom\u00edas MISP: Lenguaje estimativo<\/a>: proyecto de plataforma para el intercambio de informaci\u00f3n sobre malware (MISP)<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/threat-actor-groups-tracked-by-palo-alto-networks-unit-42\/\" target=\"_blank\" rel=\"noopener\">Grupos de actores de amenazas rastreados por Unit\u00a042 de Palo Alto Networks<\/a>: Unit\u00a042, Palo Alto Networks<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Descubran las capas del marco de atribuci\u00f3n de Unit 42. Ofrecemos una visi\u00f3n privilegiada del sistema utilizado para asignar atribuciones a los grupos de amenazas.<\/p>\n","protected":false},"author":160,"featured_media":148865,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8802,8739,8829,8838,8811],"tags":[9485,9486,9487,9488],"product_categories":[8890],"coauthors":[9414,888,935],"class_list":["post-154495","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-nation-state-cyberattacks-es-la","category-cybercrime-es-la","category-threat-actor-groups-es-la","category-threat-research-es-la","category-ransomware-es-la","tag-advanced-persistent-threat-es-la","tag-bookworm-es-la","tag-nomenclature-es-la","tag-stately-taurus-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Presentamos el marco de atribuci\u00f3n de Unit\u00a042<\/title>\n<meta name=\"description\" content=\"Descubran las capas del marco de atribuci\u00f3n de Unit 42. Ofrecemos una visi\u00f3n privilegiada del sistema utilizado para asignar atribuciones a los grupos de amenazas.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Presentamos el marco de atribuci\u00f3n de Unit\u00a042\" \/>\n<meta property=\"og:description\" content=\"Descubran las capas del marco de atribuci\u00f3n de Unit 42. Ofrecemos una visi\u00f3n privilegiada del sistema utilizado para asignar atribuciones a los grupos de amenazas.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-07-31T15:15:44+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-08-25T16:29:45+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Generic-A-1920x900-1.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Andy Piazza, Kyle Wilhoit, Robert Falcone\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Presentamos el marco de atribuci\u00f3n de Unit\u00a042","description":"Descubran las capas del marco de atribuci\u00f3n de Unit 42. Ofrecemos una visi\u00f3n privilegiada del sistema utilizado para asignar atribuciones a los grupos de amenazas.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/","og_locale":"es_LA","og_type":"article","og_title":"Presentamos el marco de atribuci\u00f3n de Unit\u00a042","og_description":"Descubran las capas del marco de atribuci\u00f3n de Unit 42. Ofrecemos una visi\u00f3n privilegiada del sistema utilizado para asignar atribuciones a los grupos de amenazas.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/","og_site_name":"Unit 42","article_published_time":"2025-07-31T15:15:44+00:00","article_modified_time":"2025-08-25T16:29:45+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Generic-A-1920x900-1.png","type":"image\/png"}],"author":"Andy Piazza, Kyle Wilhoit, Robert Falcone","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/"},"author":{"name":"Kyle Wilhoit","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/c986f820098c7e362343e3c23639d7ab"},"headline":"Presentamos el marco de atribuci\u00f3n de Unit\u00a042","datePublished":"2025-07-31T15:15:44+00:00","dateModified":"2025-08-25T16:29:45+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/"},"wordCount":5392,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Generic-A-1920x900-1.png","keywords":["Advanced Persistent Threat","Bookworm","nomenclature","Stately Taurus"],"articleSection":["Ciberataques de estado-naci\u00f3n","Ciberdelito","Grupos de actores de amenazas","Investigaci\u00f3n de amenazas","Ransomware"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/","name":"Presentamos el marco de atribuci\u00f3n de Unit\u00a042","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Generic-A-1920x900-1.png","datePublished":"2025-07-31T15:15:44+00:00","dateModified":"2025-08-25T16:29:45+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/c986f820098c7e362343e3c23639d7ab"},"description":"Descubran las capas del marco de atribuci\u00f3n de Unit 42. Ofrecemos una visi\u00f3n privilegiada del sistema utilizado para asignar atribuciones a los grupos de amenazas.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Generic-A-1920x900-1.png","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Generic-A-1920x900-1.png","width":1920,"height":900,"caption":"Pictorial representation of Unit 42 threat attribution system. Illustration featuring a white triangle centered within an abstract cosmic background of purple and blue swirls and stars."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Presentamos el marco de atribuci\u00f3n de Unit\u00a042"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/c986f820098c7e362343e3c23639d7ab","name":"Kyle Wilhoit","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Kyle Wilhoit"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/kyle-wilhoit\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/154495","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/160"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=154495"}],"version-history":[{"count":1,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/154495\/revisions"}],"predecessor-version":[{"id":154543,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/154495\/revisions\/154543"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/148865"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=154495"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=154495"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=154495"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=154495"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=154495"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}