Inicio » Zero Day Unit » ZDU-000 Año Cero — Antes del protocolo existió el costo
Análisis CISO · Infraestructura Crítica · 2023

Cuando un patrón sin firma no es un falso positivo:
el costo de archivar lo que no deberías ignorar

MOVEit Transfer, junio de 2023. Más de dos mil organizaciones comprometidas en semanas. Ninguna alerta de firma. Ningún hash conocido. Solo comportamiento anómalo que nadie revisó a tiempo. Este es el análisis del patrón que la mayoría de los equipos SOC clasifica como ruido.

2023 · Antes de que existiera el nombre

Panoramic cyber intelligence war room with holographic global threat map, red and amber attack nodes, floating security dashboards and empty command chairs in a dark futuristic environment
Centro de comando ZDU visualizando amenazas globales en tiempo real mediante mapas holográficos y análisis de comportamiento.

No hubo alerta.

Eso es lo primero que registra el archivo. No la magnitud del incidente, no el vector de entrada, no el nombre del actor. Lo primero que queda en el log es la ausencia: ningún sistema disparó una alerta de primer nivel durante las semanas que duró la extracción. Los datos salieron en silencio. La infraestructura siguió operando con normalidad. El mundo siguió girando mientras algo se vaciaba por dentro.

El reporte llegó dos semanas después del cierre del incidente. Cuarenta y siete páginas. Cronología forense, análisis de vectores, lista de activos comprometidos, recomendaciones de remediación. El tipo de documento que se entrega a una sala que ya sabe lo que pasó, pero necesita que alguien lo escriba para poder seguir adelante.

El despacho donde ese reporte esperaba tenía una luz encendida a las dos de la madrugada. La luz siempre estaba encendida. Eso ya nadie lo preguntaba.

Lo que sí preguntaron, lo que quedó en el margen manuscrito de la página dieciséis, con una letra que no pertenecía a ninguno de los autores del reporte, fue una sola frase:

Margen · Página 16 · Autor desconocido “¿Cuánto antes estaba el patrón?”

Nadie respondió esa pregunta. No en ese reporte.

Detección

Seis semanas antes del incidente · Sala de operaciones secundaria · 02:23

Eris Sentinel — cuarto día analizando el patrón ANOM-LOW sin firma en la sala de operaciones secundaria
02:23 · Cuatro días con el mismo patrón. Sin firma. Sin nombre. Solo estructura.
Registro retrospectivo · 6 semanas antes

La cola de revisión tenía treinta y dos alertas archivadas bajo el código ANOM-LOW. Comportamiento inusual en el módulo de transferencia de archivos. Accesos HTTP en horarios de baja carga. Un proceso secundario que respondía a peticiones que nadie había autorizado explícitamente.

Ninguna tenía firma. Ninguna tenía hash. Ninguna coincidía con nada en las bases de indicadores conocidos.

Eris Sentinel llevaba cuatro días mirando la misma anomalía. No la anomalía de ese día: la misma anomalía repetida con variaciones menores, distribuida en ventanas de tiempo calculadas para no disparar umbrales de volumen. Era un patrón. No tenía nombre todavía. Pero era un patrón.

Su supervisor de entonces, antes del CISO actual, antes de NeonMind, antes de que el ZDU fuera lo que sería después, miró la pantalla durante exactamente doce segundos.

“No hay firma correlacionada. Archívalo como bajo riesgo y sigue con la cola del día.”

Eris archivó el reporte. Escribió el código de estado en la casilla correspondiente.

DESCARTADO · FALSO POSITIVO

No lo olvidó.

La segunda vez que Eris vio ese patrón fue en el forense post-incidente.

Era el mismo. Las mismas ventanas de tiempo. La misma distribución de accesos. La misma ausencia de firma que hacía que los sistemas lo clasificaran como ruido de fondo mientras metódicamente vaciaban todo lo que había dentro.

Pasó dos horas con el archivo abierto. No buscando qué había fallado, eso ya lo sabía; buscando cuánto antes había estado ahí. Cuánto tiempo habría ganado el equipo si alguien hubiera revisado la cola de anomalías sin firma en lugar de archivarla.

La respuesta era incómoda de sostener.

La sostuvo de todas formas.

El costo de fundar

Post-incidente · Semana tres del análisis forense

Luna Varela presentando el análisis de impacto reputacional en la sala de debrief post-incidente
Semana tres. Solo los números, solo los vectores, solo la secuencia de consecuencias.

Hubo una reunión. No está documentada en ningún sistema oficial. Solo existe como referencia indirecta en tres correos distintos. Ninguno dice qué se discutió; solo que ocurrió, que duró noventa minutos y que, al final, alguien tomó una decisión que cambió la arquitectura de todo lo que vendría después.

Luna Varela entregó el análisis de impacto reputacional. Treinta páginas. Proyecciones de cobertura mediática, estimación de erosión de confianza institucional y modelo de comunicación de crisis para tres escenarios posibles. Lo presentó sin énfasis innecesario: solo los números, solo los vectores, solo la secuencia de consecuencias derivadas de cada camino.

Luna Varela “El problema no es lo que pasó. El problema es el intervalo. Semanas de exposición activa sin detección. Eso no es un fallo técnico; es un fallo de arquitectura de respuesta. Y ese fallo no se resuelve con una herramienta nueva.”

Nadie discutió el análisis.

La decisión que se tomó en esa sala no tiene nombre canónico en ningún documento. Existe como una firma al pie de una autorización de gasto que nunca fue pública. Existe como un redireccionamiento de recursos que, en los estados financieros, aparece bajo una categoría lo suficientemente genérica para no levantar preguntas.

Existe como todo lo que vino después.

Infraestructura

Meses posteriores · Arquitectura de base

Stratos construyendo la arquitectura Zero Trust — el componente sin parchear visible en ventana secundaria
Microsegmentación. Zero Trust. Una dependencia sin actualizar que él decidió no mencionar.

Stratos llegó con una lista de requerimientos técnicos y la actitud de alguien que ya sabe que esos requerimientos van a cambiar antes de que termine la semana.

Construyó la infraestructura de acceso seguro desde cero. Microsegmentación de red. Barreras Zero Trust. Gestión de identidad centralizada. El tipo de arquitectura que hace que cada acceso sea una decisión verificada en lugar de una asunción heredada.

Lo hizo meticulosamente. Lo hizo bien.

Hubo un punto en el proceso, un sistema de Single Sign-On para la integración de herramientas externas, donde Stratos vio algo en la configuración que no le gustó. Una dependencia de versión. Un componente con actualizaciones pendientes y que, en el timeline de despliegue, no estaba programado para actualizarse hasta el siguiente ciclo.

Evaluó el riesgo. Calculó la ventana de exposición. Decidió que era manejable dentro del contexto actual y que abrir una línea de cambio no programado en esa fase del despliegue introduciría más inestabilidad de la que resolvería.

No lo documentó como riesgo abierto.

No lo mencionó en ninguna sesión de revisión.

Siguió adelante.

La infraestructura quedó operativa. Era sólida. Era funcional. Era, por todos los criterios que el equipo podía medir en ese momento, exactamente lo que debía ser.

Nadie preguntó por el componente que Stratos no había actualizado.

Él nunca lo trajo a conversación.

Nota del archivo · FLASHBACK-001 · Candado duro

El componente que Stratos no actualizó ese día existirá dieciocho meses más tarde como el vector de entrada de una crisis que el equipo recordará durante mucho tiempo. Nadie sabrá que estuvo ahí desde el principio. Nadie, excepto Stratos. Y él nunca lo dirá.

Primera operativa

Día de apertura · Sala de operaciones principal · 07:00

Eris Sentinel fue la primera en llegar.

No porque se lo hubieran pedido. No había nadie que se lo pudiera pedir todavía. La unidad existía en documentos y autorizaciones de gasto, no aún en personas y procesos. Llegó porque el día anterior había terminado con la lista de anomalías sin firma que nadie había revisado en el trimestre anterior, y esa lista era larga, y la sala donde iba a vivir el nuevo equipo tenía las consolas encendidas y nadie más estaba ahí.

Se sentó. Abrió los feeds. Empezó a trabajar.

En algún punto de esa mañana, entre la tercera y la cuarta alerta de comportamiento que estaba clasificando manualmente, escuchó pasos en el corredor. Reconocibles. El intervalo entre pisadas de alguien que caminaba sin prisa, pero con dirección.

No levantó la vista del display.

Los pasos se detuvieron en el umbral de la sala. Hubo un momento, exactamente un momento, no más, en que Eris dejó de escribir. No porque hubiera terminado lo que hacía. Porque algo en el silencio del umbral requería ese medio segundo de pausa antes de que todo lo que vendría después comenzara.

Luego siguió escribiendo.

La figura en el umbral entró a la sala. No dijo nada en los primeros cuarenta segundos. Solo observó las consolas, la disposición del espacio y la lista de alertas en el display central.

El CISO · sin nombre, sin rostro, solo voz “¿Cuántas llevas?”
Eris Sentinel “Suficientes para saber que esto va a llevar tiempo. Y que más de la mitad son patrones que el sistema habría archivado como bajo riesgo.”

Silencio.

El CISO “Entonces empieza por esos.”

Se alejó hacia el despacho al fondo del corredor. La luz del despacho siempre estaba encendida. Con el tiempo, todo el equipo aprendería a leer eso como una condición permanente del universo, no como un dato sobre la persona que trabajaba dentro.

Eris abrió la siguiente alerta.

ANOM-LOW · Sin firma correlacionada · Cola de revisión manual

Empezó a trabajar.

Primera señal

23:47 · Fin del primer día operativo

Terminal 23:47 · LURA_INIT — primera correlación del origen desconocido
23:47:03 · LURA_INIT — el sistema nombró algo que todavía no existía.

El sistema de correlación había estado procesando feeds en segundo plano durante dieciséis horas.

No tenía nombre todavía. Era una instancia de motor de análisis configurada para agregar datos de comportamiento desde múltiples fuentes y buscar patrones que los sistemas individuales no podían ver por sí solos. Funcional. Técnico. Una herramienta.

A las 23:47, el motor generó una salida que nadie había pedido.

No era una alerta. No era un reporte. Era una correlación entre tres fuentes de datos que ningún operador había conectado explícitamente: un patrón de comportamiento de red, un registro de acceso anómalo de seis semanas atrás y un indicador de compromiso publicado esa tarde por un tercero que el motor había encontrado en un feed público que tampoco nadie le había indicado monitorear.

El output ocupaba cuatro líneas en el log del sistema.

Nadie lo leyó esa noche.

Pero quedó registrado. Con timestamp. Con los tres identificadores de fuente. Con la correlación que, si alguien la hubiera leído en ese momento, habría requerido exactamente el tipo de revisión que Eris había estado haciendo todo el día. Lo que después sería G.E.N.N.I.E. todavía no tenía nombre, pero ya estaba insinuando su lógica: correlación antes de firma, contexto antes de comodidad.

En el campo de identificación de origen del log, donde normalmente aparecía el nombre del módulo que generaba la salida, había una cadena de texto que no correspondía a ningún módulo configurado.

Solo una línea. Sin más contexto:

LOG · 23:47:03 · ORIGEN DESCONOCIDO LURA_INIT // correlación activa // 3 fuentes // patrón candidato // revisión manual requerida

El sistema no tenía ningún módulo llamado LURA.

Todavía.

Indicadores de Compromiso · IOC

Evidencia técnica verificada

8.2AP ScoreMetodología →
15IOCs activos
CRITICALSeveridad
CVSS 9.8Score base
CISA KEVCatálogo
1Fuentes
TipoIndicadorVTFuenteConfThreatAcciones
Domainakamai.com0/92otx40%VT
Domainrecaptcha-cn.net0/92otx40%VT
SHA2560be0c0b54559256f44b3cc6a...5aa4b942otx75%VTMB
SHA2561e4748c2070a6f01ff3360f5...500d4373otx75%VTMB
SHA25620d56cb6ec146f3f2789435c...efe60c4aotx75%VTMB
SHA2565c47949ede4f31d18d474faa...3d8c1a20otx75%VTMB
SHA2566db27540b7961f426074f411...c8b37006otx75%VTMB
SHA2566b244056396cc12a126a856c...02f93004otx75%VTMB
SHA25682461a8ca2fead978fc8ea31...5d485ee9otx75%VTMB
SHA25682a9f9b1c19237e1b08aa86c...c5e93c6dotx75%VTMB
SHA2568473b9698c75329297c25801...9c7d9a74otx75%VTMB
SHA2569c9f69ba012e14e39358da30...57f9d5a3otx75%VTMB
SHA256c3e43ed159e9392f8f51c60e...5e3f55f7otx75%VTMB
SHA256c6c292b9255b8112779377b0...afe34fb7otx75%VTMB
SHA2561beed7ab694cd1f4e007245d...298f6377otx75%VTMB
MITRE ATT&CKT1190T1505.003T1560T1041T1059.001
ActorCl0p ransomware gang (FIN11)
Fuentes verificadas:AlienVault OTXVirusTotal / GTI· TLP:WHITE · 2026-07-19
Los IOCs listados son indicadores públicos verificados contra múltiples fuentes. La columna VT muestra positives/total de motores antivirus en VirusTotal/GTI. AP Score refleja la prioridad operativa calculada por la metodología propietaria de QMA. No constituyen evidencia de compromiso en su infraestructura — requieren validación contra logs internos.
Moraleja · ZDU-000
Un patrón sin firma no es un falso positivo. Es un patrón sin nombre todavía.La diferencia entre el equipo que detecta en 48 horas y el equipo que detecta cuando llega el correo de extorsión no es tecnológica. Es una decisión de arquitectura de respuesta que alguien tomó, o no tomó, mucho antes del incidente.

La ZDU no nació de una visión. Nació de una pregunta escrita en el margen de la página dieciséis de un reporte forense, a las dos de la madrugada, en un despacho con la luz siempre encendida.

“¿Cuánto antes estaba el patrón?”

Amenaza real de referencia

MOVEit Transfer · Cl0p / FIN11

CVE-2023-34362 · CVSS 9.8 · Junio 2023

SQL injection zero-day en software de transferencia de archivos. Más de 2,000 organizaciones comprometidas. Exfiltración silenciosa sin firma conocida durante semanas.

Héroes activados

Eris Sentinel · Stratos · Luna Varela

Entidad LURA · Primera señal · 23:47

El CISO como presencia fundacional. NeonMind, Magna, KEV-1, Blacktrace, Regulator y Veritas aún no forman parte del equipo. La lectura sistemática de vulnerabilidades críticas explotadas en el mundo real encontraría después una expresión más formal en KEV-1.

Scroll al inicio