En ciberseguridad, no basta con tener herramientas: es vital saber qué tan bien las estamos usando. El Detection Maturity Level (DML), propuesto por David J. Bianco (el mismo creador de la Pirámide del Dolor), es un modelo que permite a los líderes de seguridad medir y mejorar la efectividad real de sus capacidades de detección.
Este modelo no se enfoca en la cantidad de alertas generadas, sino en la calidad, contexto y utilidad operativa de los datos que obtenemos para responder a incidentes. Para un CISO o CTO, el DML es una brújula estratégica para saber si sus inversiones en SIEM, EDR, NDR o Threat Intelligence están dando frutos reales.
¿Qué es el DML?
El Detection Maturity Level es un marco que categoriza los distintos tipos de datos que una organización puede recolectar para detectar amenazas, clasificándolos desde los más básicos (e.g., hashes, IPs) hasta los más avanzados (e.g., TTPs o técnicas del adversario).
La idea central es que no todos los indicadores son iguales: mientras unos son fáciles de recolectar y usar pero también fáciles de evadir, otros son más complejos, pero más valiosos y resistentes a la evasión.
Niveles del Detection Maturity Level (DML)
| Nivel | Tipo de Indicador | Descripción y Ejemplos Reales | Madurez |
|---|---|---|---|
| 1 | Hash (MD5, SHA1, SHA256) |
Firmas únicas de archivos maliciosos. Son muy fáciles de detectar con antivirus, pero también muy fáciles de evadir. Ejemplo: Hash de un archivo de ransomware detectado en VirusTotal. Una recompilación del malware anula su efectividad. |
Baja |
| 2 | Direcciones IP |
IPs de servidores de comando y control (C2) o exfiltración. Útiles para bloqueos rápidos, pero los atacantes rotan sus IPs fácilmente. Ejemplo: Bloqueo de IP 185.100.87.202 asociada a una botnet. El atacante puede cambiarla con un proxy o VPN. |
Baja |
| 3 | Dominios |
Dominios usados para phishing, C2, payload delivery, etc. Requieren más esfuerzo para cambiar, pero aún son fácilmente reemplazables. Ejemplo: microsoft-support-login[.]com usado en una campaña de credenciales falsas.
|
Media-Baja |
| 4 | Artefactos de Red o del Host |
Información relacionada con el comportamiento del atacante dentro del sistema o red. Más difícil de modificar sin afectar la operación del ataque. Ejemplo: Nombre de archivo win32update.ps1 o rutas como C:\Users\Public\svc-loader.exe.
|
Media |
| 5 | Herramientas del Atacante |
Software usado por actores maliciosos, como Cobalt Strike, Empire, o Mimikatz. Identificar estas herramientas permite mitigar múltiples ataques. Ejemplo: Detectar la firma del beacon de Cobalt Strike o DLLs relacionadas con Meterpreter. |
Media-Alta |
| 6 | Técnicas (MITRE ATT&CK) |
Detectar actividades relacionadas con técnicas específicas como Execution via PowerShell (T1059) o Credential Dumping (T1003). Implica conocer patrones de comportamiento. Ejemplo: Registros que evidencian PowerShell con argumentos sospechosos sin firma digital. |
Alta |
| 7 | Tácticas y Procedimientos |
Este es el nivel más maduro. Requiere monitoreo continuo y capacidades avanzadas para correlacionar eventos, entender contexto y predecir acciones futuras. Ejemplo: Detección de una cadena de ataque basada en spear-phishing, ejecución de scripts y movimiento lateral con RDP, asociado históricamente al grupo APT29. |
Muy Alta |
¿Por qué el DML es clave para los líderes de ciberseguridad?
- Permite evaluar la eficacia real del SOC, más allá de KPIs de volumen.
- Sirve como guía para madurar gradualmente los procesos de detección.
- Ayuda a justificar presupuestos e inversiones orientadas a aumentar visibilidad y contexto.
- Fortalece la defensa en profundidad al enfocarse en lo difícil de evadir.
¿Cómo mejorar tu nivel de DML?
- Usa MITRE ATT&CK para mapear técnicas y ajustar las reglas del SIEM o EDR.
- Incorpora inteligencia de amenazas que incluya TTPs y no solo indicadores básicos.
- Capacita al equipo en threat hunting y análisis de comportamiento.
- Invierte en tecnologías que recojan contexto profundo (como NDR y UEBA).
Conclusión
El Detection Maturity Level (DML) te permite medir no solo cuánto ves, sino qué tan bien entiendes lo que ves. Como líder, moverte hacia niveles más altos significa lograr una defensa que va más allá de la reacción: es anticipación, contexto y resiliencia. Si solo estás operando en los primeros tres niveles, tu visibilidad es limitada y fácilmente evadible.
¿Estás listo para madurar tu estrategia de detección?
Bibliografía y Recursos Recomendados
- David J. Bianco – Detection Maturity Levels (Blog original)
- MITRE ATT&CK – https://attack.mitre.org
- Elastic Security Whitepapers – Elastic Threat Detection Maturity
- Google Chronicle – Detection maturity in cloud-native SIEMs
- SANS Institute – Threat Hunting and Behavioral Analytics
Autor: Héctor Herrera – CEO ActivosTI
