jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » Internet Connection Discovery

Internet Connection Discovery

Threat-actor 2 min lectura attack-pattern
Fecha
26 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium

Key Points

  • Ping: Verifica si un dispositivo está en la red y responde a paquetes ICMP.
  • Tracert: Identifica rutas de red y posibles puntos de fallo.
  • Solicitudes HTTP: Prueban la accesibilidad de dominios o servidores remotos.
  • Pruebas de ancho de banda: Confirman si el sistema puede transferir datos a larga distancia.
  • Peticiones ICMP no esperadas desde sistemas internos.

Internet Connection Discovery

Descripción de la Tecnica

Internet Connection Discovery (T1016.001) es una técnica utilizada por actores maliciosos para verificar si un sistema comprometido tiene conexión a internet. Este proceso es crítico en fases iniciales de ataque, ya que permite confirmar la capacidad del sistema para comunicarse con servidores de comando y control (C2) antes de realizar actividades más complejas.

La técnica se basa en métodos como Ping, tracert, solicitudes HTTP y pruebas de ancho de banda, que ayudan a los atacantes a identificar la conectividad y la topología de red del sistema objetivo.

Como Funciona

Los actores maliciosos utilizan herramientas de diagnóstico de red para explorar la capacidad de un sistema de comunicarse con internet. Por ejemplo:

  • Ping: Verifica si un dispositivo está en la red y responde a paquetes ICMP.
  • Tracert: Identifica rutas de red y posibles puntos de fallo.
  • Solicitudes HTTP: Prueban la accesibilidad de dominios o servidores remotos.
  • Pruebas de ancho de banda: Confirman si el sistema puede transferir datos a larga distancia.

Estos métodos también sirven para validar que los sistemas comprometidos no están bloqueados por firewalls o políticas de red.

Actores que la Utilizan

Esta técnica es empleada por diversos actores maliciosos, incluyendo grupos APT (Advanced Persistent Threats) y ciberdelincuentes. Los atacantes suelen priorizar sistemas con acceso a internet para facilitar la comunicación con C2 y el descargo de payloads.

Detección

La detección de esta técnica depende de monitoreo anómalo en redes. Se sugiere alertar sobre:

  • Peticiones ICMP no esperadas desde sistemas internos.
  • Solicitudes HTTP a dominios o URLs no relacionadas con la infraestructura.
  • Trazas de red que indican rutas desconocidas o latencias inusuales.
  • Uso inesperado de recursos de ancho de banda para pruebas de conexión.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

Para mitigar el riesgo de esta técnica, se recomienda:

  • Monitorear tráfico de red en tiempo real y detectar anomalías.
  • Implementar políticas de rechazo para solicitudes ICMP no autorizadas.
  • Limitar el acceso a internet en sistemas críticos o no necesarios.
  • Utilizar soluciones de seguridad con capacidades de detección basada en comportamiento (EDR/UEBA).
← Volver al panel de inteligencia

Incidentes recientes

University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin d4ug.site11 Jun 2026 · observable msget.run11 Jun 2026 · observable catalystglobalsolutions.com11 Jun 2026 · observable centrikglobalconsulting.com11 Jun 2026 · observable cydfconsulting.com11 Jun 2026 · observable