⚔️ APTs y campañas de amenazas

Perfiles de grupos APT, análisis de campañas, estudio de TTPs, mapeo a MITRE ATT&CK e inteligencia útil para detección, priorización y defensa.

⬅ Volver al portfolio · Ciberinteligencia y análisis de amenazas

Esta sección reúne trabajos orientados a entender quién ataca, cómo opera, qué busca y cómo traducir esa inteligencia a decisiones defensivas.

El objetivo no es solo describir actores o campañas, sino convertir esa información en perfiles útiles, TTPs accionables, detecciones potenciales e indicadores que puedan apoyar labores de análisis, monitorización o priorización del riesgo.

Perfiles de grupos APT APT28 APT29 Objetivos Sectores

Fichas de grupos APT donde se resume su atribución conocida, objetivos, sectores atacados, patrones de actividad y técnicas más representativas.

Objetivo

Construir perfiles claros de actores de amenaza que permitan entender motivaciones, foco de actividad y comportamientos recurrentes.

Qué se trabaja

Atribución, sectores objetivo, campañas asociadas, infraestructura, patrones operativos, TTPs frecuentes y evolución del actor.

Evidencias / entregables

Fichas de actor, resúmenes comparativos, tablas de técnicas y síntesis orientadas a consumo rápido por analistas o defensores.

Valor en entrevista

Muy útil para demostrar capacidad de síntesis, análisis de amenazas y comprensión de actores más allá del indicador suelto.

Muy útil para entrevistas: explica qué diferencia a un simple resumen de un actor de un perfil realmente útil para defensa o inteligencia.
Campañas y casos de estudio Spear phishing Supply chain Cronología Objetivos

Análisis de campañas atribuidas o asociadas a grupos avanzados: cronología, vector de entrada, fases de intrusión, movimiento interno y objetivo final de la operación.

Objetivo

Entender cómo se desarrolla una campaña realista de extremo a extremo y qué señales deja en cada fase.

Qué se trabaja

Cadena de ataque, cronología, acceso inicial, payload, persistencia, movimiento lateral, objetivos operativos e impacto potencial.

Evidencias / entregables

Informe de caso, línea temporal, mapa de fases, resumen ejecutivo y notas de aprendizaje aplicables a defensa.

Valor en entrevista

Muy útil para demostrar que entiendes las campañas como procesos completos, no solo como listas de IoCs o noticias.

  • 📊 Caso 1
    Informe de campaña de spear phishing (PDF)
  • 📊 Caso 2
    Pendiente de subir segundo caso de estudio.
  • 🧩 Ideas útiles
    Aquí encajan muy bien casos de spear phishing, acceso a proveedores, campañas sectoriales o análisis de intrusiones públicas conocidas.
Muy útil para entrevistas: una buena campaña explicada con orden puede darte mucho juego para hablar de detección, respuesta y priorización.
TTPs mapeadas a MITRE ATT&CK MITRE ATT&CK Tácticas Técnicas Subtécnicas

Relación de técnicas observadas o atribuidas a grupos y campañas, mapeadas a MITRE ATT&CK para facilitar comprensión, comparación y posibles casos de uso defensivos.

Objetivo

Traducir inteligencia de amenazas a un marco estructurado que ayude a entender mejor el comportamiento del adversario.

Qué se trabaja

MITRE ATT&CK, tácticas, técnicas, subtécnicas, frecuencia de uso, relación entre actor y comportamiento y lectura defensiva del mapeo.

Evidencias / entregables

Tabla TTPs por grupo o campaña, resúmenes tácticos y posibles líneas de detección o revisión de cobertura.

Valor en entrevista

Muy útil para mostrar que sabes usar MITRE con sentido y no solo como una referencia teórica.

Muy útil para entrevistas: queda muy bien explicar cómo usarías MITRE para revisar cobertura defensiva o detectar huecos de visibilidad.
IoCs y reglas de detección IoCs Sigma YARA Detección

Indicadores de compromiso y ejemplos de reglas orientadas a SIEM, EDR o análisis de malware, construidos a partir de campañas o comportamientos observados.

Objetivo

Traducir inteligencia a artefactos más accionables que puedan servir como apoyo a detección o hunting básico.

Qué se trabaja

IoCs, dominios, IPs, hashes, patrones, Sigma, YARA, utilidad y limitaciones de la detección basada en indicadores.

Evidencias / entregables

Listados de IoCs, reglas de ejemplo, lógica de detección, notas de contexto y advertencias sobre vigencia o falsos positivos.

Valor en entrevista

Muy útil para enseñar que entiendes la diferencia entre inteligencia contextual y detección basada en señales concretas.

Muy útil para entrevistas: si explicas bien las limitaciones de los IoCs, esta sección gana mucho nivel.
Inteligencia aplicada a priorización y defensa Priorización Defensa Cobertura Use cases

Enfoque orientado a convertir inteligencia de amenazas en decisiones prácticas: priorizar controles, ajustar monitorización, revisar exposición o proponer casos de uso.

Objetivo

Demostrar que la inteligencia no se queda en análisis pasivo, sino que puede apoyar decisiones defensivas concretas.

Qué se trabaja

Priorización por sector, exposición, controles relevantes, detecciones sugeridas, cobertura ATT&CK y ajuste de monitorización.

Evidencias / entregables

Resumen defensivo, recomendaciones priorizadas, casos de uso, revisión de cobertura y propuestas de mejora.

Valor en entrevista

Este bloque te puede diferenciar mucho porque demuestra que conviertes análisis en decisiones útiles para seguridad.

Muy útil para entrevistas: este puede ser uno de los bloques más fuertes si lo orientas a “qué haría yo con esta inteligencia en un entorno real”.