Threat Intelligence
Diamond Model
threat intelligence
análisis de intrusiones

Modelo del Diamante en ciberseguridad: análisis CTI

Qué es el Modelo del Diamante del análisis de intrusiones: los cuatro vértices y cómo se relaciona con Cyber Kill Chain y MITRE ATT&CK.

Secra6 de julio de 202610 min de lectura

El Modelo del Diamante del análisis de intrusiones (Diamond Model of Intrusion Analysis) es el marco de inteligencia de amenazas que estructura cada evento malicioso en torno a cuatro vértices conectados: adversario, capacidad, infraestructura y víctima. Lo formalizaron Sergio Caltagirone, Andrew Pendergast y Christopher Betz en 2013, y desde entonces se ha convertido en una de las tres lentes analíticas que un equipo de CTI cruza de forma habitual. Su aportación diferencial no es describir una intrusión, sino permitir el pivotaje: partir de un vértice conocido (un dominio de mando y control, por ejemplo) para descubrir los otros tres y las relaciones entre eventos.

Lo esencial

  • El Modelo del Diamante describe cada intrusión con cuatro vértices: adversario, capacidad, infraestructura y víctima.
  • Cada evento añade seis meta-características: marca temporal, fase, resultado, dirección, metodología y recursos.
  • Su valor diferencial es el pivotaje: partir de un vértice conocido para descubrir los demás y encadenar eventos.
  • Complementa a la Cyber Kill Chain (fases secuenciales) y a la Pirámide del Dolor (coste de cada indicador).
  • Los hallazgos se traducen a técnicas de MITRE ATT&CK y alimentan hipótesis de threat hunting.

Qué es el Modelo del Diamante del análisis de intrusiones

La unidad atómica del modelo es el evento: una actividad concreta en la que un adversario usa una capacidad sobre una infraestructura contra una víctima. Cada evento se dibuja como un rombo con esos cuatro vértices en las esquinas. Encadenando eventos por fases se obtiene un hilo de actividad (activity thread), y agrupando hilos que comparten vértices se reconstruye una campaña. Frente a un feed plano de indicadores, el diamante conserva las relaciones, que es justo lo que hace falta para atribuir y anticipar.

El modelo se apoya en dos ejes que cruzan el rombo. El eje socio-político une al adversario con la víctima y captura el porqué: motivación, intención y la relación persistente entre quien ataca y quien es atacado. El eje tecnológico une la capacidad con la infraestructura y captura el cómo: qué herramienta se apoya en qué recursos de red. Este marco encaja en la fase de análisis del ciclo de inteligencia de amenazas, donde los datos procesados se convierten en inteligencia valorada.

Los cuatro vértices del Modelo del Diamante

Cada vértice es una categoría de evidencia que el analista rellena y enriquece a medida que avanza la investigación.

VérticeQué representaEjemplos de evidencia
AdversarioEl operador y, si difiere, el cliente que se beneficiaAlias de grupo (APT29), país, motivación, TTP recurrentes
CapacidadLas herramientas y técnicas del adversarioMalware, exploits de un CVE, scripts, credenciales válidas
InfraestructuraLos recursos de red para entregar la capacidad y controlar el objetivoDominios C2, direcciones IP, certificados TLS, servidores de staging
VíctimaLa persona, activo o red objetivoOrganización, sector, host comprometido, buzón, cuenta

Un principio central del modelo es que siempre existe un adversario, aunque sea desconocido. Un vértice vacío no invalida el evento: señala una brecha de conocimiento y marca hacia dónde dirigir el pivotaje. Esa es la diferencia entre un indicador aislado y una pieza de inteligencia con contexto, un matiz que también aparece al distinguir IOC frente a IOA.

Las meta-características de cada evento

Además de los cuatro vértices, cada evento se anota con seis meta-características que aportan el contexto temporal y analítico:

  • Marca temporal: cuándo se observó el evento, imprescindible para ordenar los hilos de actividad y calcular la vida útil de una infraestructura.
  • Fase: en qué momento del ataque ocurre. Aquí el modelo se apoya en un marco secuencial como la Cyber Kill Chain, ya que un evento aislado rara vez logra el objetivo.
  • Resultado: éxito, fracaso o desconocido, a menudo mapeado al impacto sobre confidencialidad, integridad o disponibilidad.
  • Dirección: el sentido del evento a través del rombo (por ejemplo infraestructura hacia víctima, o víctima hacia infraestructura), útil sobre todo en detección de red.
  • Metodología: la clase general de actividad, como spear phishing, escaneo de puertos o exfiltración por DNS.
  • Recursos: lo que el adversario necesita para sostener el evento, desde software y conocimiento hasta fondos, acceso o facilidades.

Estas anotaciones convierten el diamante de un dibujo estático en una estructura consultable, que es lo que permite correlacionar cientos de eventos sin perder el hilo.

Diamond Model frente a Cyber Kill Chain y Pirámide del Dolor

Los tres marcos no compiten: responden a preguntas distintas y un analista de CTI los cruza en cada investigación.

MarcoPregunta que respondeEje principalUso típico
Modelo del Diamante¿Quién, con qué, desde dónde y contra quién?Relación y pivotajeAtribución y descubrimiento de infraestructura
Cyber Kill Chain¿En qué fase del ataque estamos?Secuencia temporalSituar detecciones y romper la cadena
Pirámide del Dolor¿Cuánto cuesta al adversario cambiar este indicador?Coste económicoPriorizar qué indicadores convertir en detección

La Cyber Kill Chain aporta precisamente la meta-característica de fase: sitúa cada evento del diamante en una secuencia de reconocimiento, entrega, explotación, instalación, mando y control y acciones sobre objetivos. La Pirámide del Dolor de David Bianco, en cambio, ordena los indicadores por lo que le cuesta al adversario reemplazarlos: un hash es trivial de cambiar, una IP o un dominio son fáciles, pero sus tácticas, técnicas y procedimientos (TTP) son dolorosos de rediseñar. Por eso el objetivo final es empujar la detección hacia la cúspide, hacia el comportamiento.

El Modelo del Diamante ocupa la capa de pivotaje y atribución. Mientras la Kill Chain te dice en qué punto de la intrusión estás y la Pirámide del Dolor qué indicadores merecen convertirse en regla, el diamante te dice cómo se conectan los eventos entre sí y cómo saltar de un vértice conocido a los desconocidos.

Ejemplo práctico: una intrusión mapeada en los cuatro vértices

Tomemos la campaña de la cadena de suministro de SolarWinds (SUNBURST, 2020) para ver el pivotaje en acción. El punto de partida realista para un defensor no es el adversario, sino la capacidad detectada en su propia red.

  • Capacidad: una DLL troyanizada, SolarWinds.Orion.Core.BusinessLayer.dll, firmada con un certificado legítimo de SolarWinds e insertada en una actualización oficial de Orion. El backdoor permanecía inactivo entre 12 y 14 días antes de activarse.
  • Infraestructura: pivotando desde la capacidad, el análisis del binario revela una baliza inicial hacia avsvmcloud[.]com, que usaba un algoritmo de generación de dominios (DGA) para codificar datos de la víctima en el subdominio. El DNS pasivo y los certificados compartidos permiten descubrir infraestructura de segunda etapa relacionada.
  • Adversario: el solapamiento de TTP con actividad previa y la reutilización de infraestructura llevan a atribuir la campaña a UNC2452, más tarde vinculado a APT29 (el servicio de inteligencia exterior ruso, SVR). La atribución se expresa siempre con nivel de confianza, nunca como certeza.
  • Víctima: alrededor de 18.000 clientes descargaron la actualización comprometida, pero solo un subconjunto reducido (agencias federales de Estados Unidos, empresas tecnológicas y de seguridad) fue seleccionado para actividad práctica de segunda etapa mediante el loader TEARDROP y balizas de Cobalt Strike.

El recorrido ilustra el poder del modelo: partiendo de un único artefacto (la DLL) se pivota a la infraestructura, de ahí al adversario y, cruzando telemetría, se acota qué víctimas pasaron de infectadas a realmente explotadas.

De los vértices a MITRE ATT&CK y al threat hunting

El diamante organiza la evidencia, pero para comunicarla y accionarla los equipos la traducen al lenguaje común de MITRE ATT&CK. Cada capacidad e infraestructura observada se mapea a técnicas concretas:

Observación en el diamanteTécnica ATT&CK
Actualización de Orion troyanizadaT1195.002 Compromiso de la cadena de suministro de software
DLL firmada con certificado válidoT1553.002 Firma de código
Baliza a avsvmcloud[.]com por DNST1071.004 Protocolo de capa de aplicación: DNS
Subdominios generados por DGAT1568.002 Resolución dinámica: DGA

Este mapeo cierra el bucle hacia la defensa. Las TTP de la parte alta de la Pirámide del Dolor se convierten en hipótesis de threat hunting: si un adversario usa exfiltración por DNS, el cazador busca volúmenes anómalos de consultas hacia dominios recién registrados, en lugar de esperar a que aparezca un hash conocido. Las capacidades identificadas alimentan reglas YARA para localizar el malware en el parque, y reglas Sigma para detectarlo en el SIEM. En el lado ofensivo, el mismo diamante sirve para diseñar escenarios realistas en un ejercicio de Red Team, replicando las TTP de un adversario concreto para validar la detección de forma controlada.

Preguntas frecuentes

¿Cuáles son los cuatro vértices del Modelo del Diamante?

Adversario, capacidad, infraestructura y víctima. El adversario es quien ataca, la capacidad son sus herramientas y técnicas, la infraestructura son los recursos de red que utiliza y la víctima es el objetivo. Cada evento de intrusión conecta esos cuatro elementos, y siempre se asume que hay un adversario aunque de momento sea desconocido.

¿En qué se diferencia el Modelo del Diamante de la Cyber Kill Chain?

La Cyber Kill Chain describe la intrusión como una secuencia de fases en el tiempo, desde el reconocimiento hasta las acciones sobre objetivos. El Modelo del Diamante describe las relaciones entre los actores y recursos de cada evento y habilita el pivotaje entre vértices. Son complementarios: la fase de la kill chain es, de hecho, una de las meta-características de cada evento del diamante.

¿Qué es el pivotaje en el Modelo del Diamante?

El pivotaje es el proceso de partir de un vértice conocido para descubrir los demás. Por ejemplo, desde una muestra de malware (capacidad) se puede llegar al servidor C2 (infraestructura) mediante análisis, y desde ese servidor, con DNS pasivo, a otros dominios y víctimas relacionadas. Es la principal ventaja analítica del modelo y la base de la atribución.

¿Cómo se relaciona el Modelo del Diamante con MITRE ATT&CK?

El diamante estructura la evidencia y ATT&CK le da un vocabulario común. Las capacidades e infraestructuras observadas en los vértices se mapean a técnicas concretas de ATT&CK (por ejemplo T1071.004 para C2 por DNS), lo que permite medir cobertura de detección y comunicar las TTP sin ambigüedad entre los equipos de CTI, SOC y Red Team.

¿Sirve el Modelo del Diamante para la atribución?

Sí, es una de sus aplicaciones principales. Al cruzar el eje socio-político (adversario y víctima) con la reutilización de infraestructura y de TTP entre eventos, el analista construye una hipótesis de atribución. Eso sí, la atribución seria siempre se expresa con niveles de confianza y evita afirmar certezas a partir de indicios parciales.

Recursos relacionados

Modelo del Diamante con Secra

En Secra integramos el Modelo del Diamante en nuestro servicio de inteligencia de amenazas: mapeamos cada intrusión en sus cuatro vértices, pivotamos sobre infraestructura y capacidades para descubrir campañas relacionadas, y traducimos los hallazgos a técnicas MITRE ATT&CK y a reglas de detección accionables en tu SOC.

Conoce nuestro servicio de threat intelligence y convierte cada intrusión en inteligencia que reduce riesgo.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Compartir artículo