Introducción
Las evaluaciones de compromiso (CA, Compromise Assessments) son herramientas críticas para descubrir amenazas que ya están dentro de tu infraestructura pero que los sistemas tradicionales de detección no identifican. Según el análisis de Kaspersky en 2025, el 71% de los incidentes afectaron a organizaciones en META (Medio Oriente, Turquía, África), y el 40.7% de los hallazgos de alta severidad surgieron de evaluaciones post-incidente, donde el equipo de respuesta actuó solo sobre un alerta específica sin explorar el resto del entorno.
En este artículo, te mostramos cómo convertir los hallazgos de una CA en acciones concretas para EKS, enfocándonos en tres familias de detección con mayor impacto: persistencia avanzada, movimiento lateral y actividad anómala de procesos. Además, te damos una guía paso a paso para integrar estas mejoras en tu pipeline de seguridad, validando cada paso con comandos y configuraciones exactas.
Qué es y para qué sirve
Una evaluación de compromiso es un análisis independiente que combina:
- Inteligencia de amenazas (incluyendo fuentes darknet).
- Escaneo forense de endpoints (memoria, disco, registros).
- Revisión sistemática de logs de seguridad y tráfico de red.
- Investigación inicial de respuesta a incidentes (IR) si se detecta actividad maliciosa.
El objetivo no es solo detectar malware obvio, sino identificar amenazas persistentes avanzadas (APTs) que usan técnicas de evasión como:
- Persistencia múltiple: cron jobs, WMI subscriptions, claves de registro modificadas.
- Movimiento lateral: credenciales robadas, exploits de Kerberos, Pass-the-Hash.
- Técnicas de evasión: living-off-the-land binaries (LOLBins), fileless malware.
Según los datos de Kaspersky 2025, el 52% de los incidentes de alta severidad se detectan después de 90 días, lo que aumenta el riesgo de exfiltración de datos y daño reputacional. Las evaluaciones proactivas (como auditorías generales o checks de due diligence en fusiones) reducen la probabilidad de hallazgos de alta severidad en un 36%, mientras que las reactivas (post-incidente) tienen un 28% de hallazgos de alta severidad.
Prerequisitos
Para aplicar las mejoras en EKS que mencionamos en esta guía, necesitás:
| Componente | Versión mínima | Acceso/permisos |
|---|---|---|
| **AWS CLI** | 2.13.x o superior |
