Pirámide del dolor

La Pirámide del Dolor es un concepto desarrollado por el experto en ciberseguridad David J. Bianco en el año 2013 para clasificar y entender la efectividad de diferentes indicadores de compromiso (IOCs) a la hora de detectar y responder a amenazas.

Su objetivo es medir el impacto que se produce en la infraestructura y capacidad de un atacante cuando una tipología específica de indicadores es bloqueada o detectada por un equipo de seguridad. La pirámide organiza estos indicadores en niveles, de menor a mayor impacto para el atacante.

Los niveles son:

1. Hash – Direcciones IP : Identificadores únicos de archivo, en este caso archivos maliciosos. Indicadores de direcciones IP utilizadas en ataques, pueden ser IPs sueltas o rangos de IPs.
2. Dominios: Son los nombres de dominio y subdominios utilizados para alojar malware o controlar diferentes botnets.
3. URLs: Rutas específicas dentro de dominios utilizados para cargar o distribuir contenido malicioso.
4. Artefactos de Red/Host: Herramientas o archivos específicos empleados en el ataque, como scripts o archivos utilizados en la red o en el host objetivo.
5. Técnicas, Tácticas y Procedimientos (TTPs): Tácticas, técnicas y procedimientos que se han utilizado durante un ataque. Mitigar este tipo de actividades puede ser complejo pero, al hacerlo, obliga al atacante a modificar su ataque.

En resumen, la Pirámide del Dolor esquematiza que, mientras más arriba está en la pirámide aquello que se bloquea, mayor es el esfuerzo requerido por el atacante para llevar a cabo un ataque de manera exitosa.