Escenario inicial: ¿Qué pasó aquí?
El equipo de Respuesta a Incidentes (RI) detecta una actividad sospechosa en uno de
los endpoints corporativos. A simple vista, parece un archivo adjunto recibido por
correo, y se recolecta la muestra ejecutable sospechosa.

Sin conocer aún el contexto, RI lo remite al equipo de Análisis de Malware (MA) para
entender el comportamiento.
Malware Analysis: El despiece técnico
El equipo de MA realiza un análisis estático y dinámico. Identifican que se trata de un
documento malicioso con macros, que descarga una carga útil codificada en Base64
y luego ejecuta una DLL. Se detectan conexiones hacia dominios poco conocidos,
uso de procesos living-off-the-land (como regsvr32.exe) y posible exfiltración de
información.

De este análisis se obtienen:
• Indicadores de compromiso (IoCs): hashes, dominios, IPs, user-agents, etc.
• Indicadores de ataque (IoAs): técnicas utilizadas, comportamiento del
malware, artefactos creados.
Estos datos son regresados al equipo de CTI para realizar una atribución inicial.

CTI: Contextualizar para entender y actuar
Con base en los IoCs y TTPs observados, el equipo de CTI comienza a investigar:
• Se comparan los comportamientos con reportes públicos en MITRE ATT&CK y
repositorios como Any.run, VirusTotal, Malpedia.
• Se identifica que las TTPs coinciden con campañas recientes de APT-C-36
(Blind Eagle) (por ejemplo), un grupo conocido por operar en LATAM y usar
correos con documentos señuelo.
• Nota: Para la charla, se usará un caso real y actual, con un malware activo al
momento de la presentación, con el objetivo de mostrar una investigación viva
y útil.
Se encuentran artefactos similares pivotando en VT y Any.run, lo que permite
extender la red de indicadores.

Con esta información:
• Se genera un perfil del actor con motivación, objetivos y alcance geográfico.
• Se crea un paquete de inteligencia técnica y táctica para los equipos
operativos.

SOC y Threat Hunting: Acción y contención
El equipo de CTI transfiere los IoCs al SOC, para que:
• Se bloqueen dominios e IPs en los firewalls y proxies.
• Se agreguen reglas en EDR para detección temprana de procesos anómalos.
Paralelamente, se comparten IoAs y TTPs al equipo de Threat Hunting, para que:
• Realicen búsquedas proactivas en logs históricos de endpoints.
• Detecten compromisos previos que no hayan generado alertas.
• Identifiquen infraestructura similar aún no bloqueada.
Cierre del ciclo: ¿Mucho trabajo para nada?
Gracias a esta colaboración fluida:
• Se atribuye el incidente a un actor específico
• Se bloquea infraestructura maliciosa antes de que otros usuarios caigan.
• Se encuentran posibles otros casos activos dentro de la organización.
• Se refuerzan controles preventivos gracias al conocimiento táctico y
estratégico adquirido.
Y lo más importante: el incidente inicial se transforma en inteligencia que fortalece el
sistema completo.

Conclusiones
Lo que en un inicio fue “una muestra sospechosa más”, se convirtió en una cadena de
acciones que blindó a la organización. CTI no trabaja aislado: su valor está en
conectar los puntos entre áreas técnicas, entregar contexto, y hacer que el
conocimiento se traduzca en acciones concretas.
Quizá parezca mucho trabajo... pero definitivamente no es para nada