Structured Analytic Techniques: ACH, Key Assumptions y Red Hat Analysis

Los analistas CTI cometen errores no por falta de datos, sino por cómo procesan los datos que tienen. Las SAT existen para corregir eso

La inteligencia de amenazas no es solo recolectar IOCs. Es interpretar evidencias incompletas, ambiguas y a veces contradictorias para producir conclusiones accionables. El análisis es la fase donde más errores se cometen, y casi nunca por falta de datos.

Los errores de análisis son cognitivos. Confirmation bias, anchoring, mirror imaging. Sesgos que afectan a analistas experimentados tanto como a juniors. Las Structured Analytic Techniques (SAT) son la respuesta de la comunidad de inteligencia a este problema: métodos formales que obligan al analista a externalizar su razonamiento, hacerlo transparente y confrontarlo con alternativas.

Origen: ICD 203 y Richards Heuer

Las SAT están documentadas en dos fuentes canónicas:

ICD 203 (Intelligence Community Directive 203). Emitido por el Director of National Intelligence de EE.UU. Establece estándares analíticos para toda la comunidad de inteligencia, incluyendo el uso obligatorio de SAT en productos de inteligencia con impacto en decisiones de política.

Richards J. Heuer, Psychology of Intelligence Analysis (1999). El libro fundacional. Heuer, analista de la CIA durante décadas, catalogó los sesgos cognitivos que afectan al análisis de inteligencia y propuso métodos estructurados para mitigarlos. Su trabajo dio origen a ACH.

Randolph Pherson y Richards Heuer, Structured Analytic Techniques for Intelligence Analysis (2010, 3a ed. 2020). El catálogo completo: más de 50 técnicas agrupadas por propósito (descomposición, diagnóstico, imaginación, evaluación).

Analysis of Competing Hypotheses (ACH)

ACH es la técnica más usada en CTI. Su propósito: evitar que el analista se enamore de una hipótesis y busque solo evidencias que la confirmen.

Los 8 pasos de ACH

Paso 1: Identificar las hipótesis.

No solo las hipótesis probables. Incluir las improbables pero posibles. En CTI, esto significa considerar:

• H1: El ataque es de APT28 (GRU, Rusia)
• H2: El ataque es de APT29 (SVR, Rusia)
• H3: El ataque es de un grupo criminal que usa herramientas de APT28
• H4: El ataque es una operación de false flag
• H5: El ataque es de un insider con acceso privilegiado

Paso 2: Listar las evidencias y argumentos.

Cada pieza de evidencia se lista sin asignarla a ninguna hipótesis aún.

ID	Evidencia
E1	Malware X-Agent detectado en la red
E2	C2 en infraestructura asociada a APT28 por Mandiant
E3	Hora de compilación del binario: zona horaria UTC+3
E4	Víctima es ministerio de defensa europeo
E5	Técnica T1566.001 (spearphishing) como vector inicial
E6	Exfiltración vía DNS tunneling (T1071.004)
E7	El atacante cometió errores de OPSEC inusuales para un APT

Paso 3: Construir la matriz.

Para cada evidencia, evaluar su consistencia con cada hipótesis.

Evidencia	H1 (APT28)	H2 (APT29)	H3 (Criminal)	H4 (False flag)	H5 (Insider)
E1: X-Agent	CC	I	C	C	N
E2: Infra APT28	CC	I	C	C	N
E3: UTC+3	C	C	C	C	N
E4: Min. defensa	CC	CC	N	C	C
E5: Spearphishing	C	C	C	C	II
E6: DNS tunneling	C	C	C	C	N
E7: Errores OPSEC	I	I	CC	C	C

Leyenda: CC = Muy consistente, C = Consistente, N = Neutral, I = Inconsistente, II = Muy inconsistente.

Paso 4: Refinar la matriz.

Revisar cada celda. Buscar evidencias que discriminen entre hipótesis. Las evidencias que son consistentes con todas las hipótesis (E3, E5, E6) no aportan poder discriminante.

Paso 5: Sacar conclusiones provisionales.

No buscar la hipótesis con más evidencias a favor. Buscar la hipótesis con menos evidencias en contra. En la matriz anterior:

• H1 (APT28): 1 evidencia inconsistente (E7)
• H3 (Criminal): 1 evidencia neutral (E4), pero E7 es muy consistente
• H4 (False flag): sin inconsistencias, pero es la hipótesis "comodín"

Paso 6: Analizar la sensibilidad.

¿Qué pasa si una evidencia clave resulta incorrecta? Si E2 (infraestructura asociada a APT28) es una atribución errónea de Mandiant, H1 pierde una de sus evidencias más fuertes.

Paso 7: Reportar conclusiones con niveles de confianza.

"Con confianza moderada (probable, 63-85%), evaluamos que el ataque fue conducido por APT28 (H1). Sin embargo, la hipótesis de un grupo criminal usando herramientas de APT28 (H3) no puede descartarse debido a los errores de OPSEC observados (E7)."

Paso 8: Identificar indicadores para monitorizar.

Definir qué nueva evidencia cambiaría la conclusión:

• Si se descubre que el C2 fue alquilado en un foro criminal → H3 gana peso
• Si se detecta más actividad contra ministerios OTAN → H1 gana peso
• Si el malware tiene bugs que un APT no cometería → H3 gana peso

Key Assumptions Check (KAC)

KAC es la técnica para validar las premisas que el analista da por ciertas sin cuestionarlas. En CTI, las assumptions son peligrosas porque muchas son implícitas.

Proceso

1. Listar todas las assumptions. Tanto explícitas como implícitas.
2. Clasificar cada assumption.
   • ¿Es verificable o especulativa?
   • ¿En qué evidencia se basa?
   • ¿Qué impacto tiene si es incorrecta?
3. Evaluar la vulnerabilidad. Las assumptions con alto impacto y baja base evidencial son las más peligrosas.

Ejemplo: KAC aplicado a atribución de ransomware

Assumption	Tipo	Base	Impacto si falsa
"LockBit 3.0 siempre es operado por afiliados russoparlantes"	Especulativa	Informes históricos	ALTO: podría ser un afiliado no ruso
"La nota de rescate en ruso indica origen ruso"	Verificable	Análisis lingüístico	ALTO: false flag lingüístico documentado
"El pago fue a una wallet BTC conocida de LockBit"	Verificable	Blockchain analysis	MEDIO: wallets se reutilizan entre grupos
"La víctima fue seleccionada por su sector"	Especulativa	Patrón histórico	BAJO: podría ser oportunismo

Las dos primeras assumptions son las más peligrosas: alto impacto si son incorrectas y base evidencial débil.

Red Hat Analysis

Red Hat Analysis consiste en ponerse en la posición del adversario para evaluar la coherencia de tu análisis. No es un ejercicio técnico (eso es Red Teaming). Es un ejercicio cognitivo.

Preguntas del Red Hat Analysis

1. Si yo fuera el adversario, ¿este ataque tendría sentido estratégico?

   • ¿El objetivo es coherente con mis intereses conocidos?
   • ¿El timing coincide con eventos geopolíticos relevantes?
   • ¿El riesgo de exposición es aceptable para mí?

2. ¿Qué haría yo diferente si quisiera que pareciera obra de otro grupo?

   • ¿Usaría herramientas públicamente asociadas a otro actor?
   • ¿Dejaría pistas de idioma deliberadas?
   • ¿Atacaría un objetivo que no me interesa realmente?

3. ¿Qué espero que haga el defensor después de descubrir el ataque?

   • ¿Quiero que me atribuyan la operación (intimidación)?
   • ¿Quiero que atribuyan a otro (distracción)?
   • ¿Quiero que no detecten la operación en absoluto?

Aplicación práctica

Un equipo CTI atribuye un ataque a APT41 porque usa ShadowPad y ataca al sector tecnológico. Red Hat Analysis pregunta:

• Si APT41 sabe que ShadowPad les delata, ¿por qué no usaron otra herramienta?
• Posibilidad 1: No les importa ser identificados (la misión es más importante)
• Posibilidad 2: Usaron ShadowPad deliberadamente para que crean que es APT41, cuando en realidad es otro grupo
• Posibilidad 3: Reutilizaron ShadowPad porque funciona y el coste de desarrollar algo nuevo supera el riesgo de atribución

Cada posibilidad cambia el análisis. Red Hat Analysis no da respuestas, pero obliga a considerar escenarios que el analista descartaría por inercia.

Desarrollo de indicadores

Las SAT generan un producto secundario valioso: indicadores para monitorización continua. No son IOCs técnicos, sino indicadores analíticos.

Tipo	Ejemplo	Uso
Indicador confirmatorio	"Si APT28 ataca otro ministerio OTAN en 30 días"	Refuerza H1
Indicador refutatorio	"Si el C2 aparece en un foro criminal de venta"	Debilita H1, refuerza H3
Indicador de cambio	"Si el grupo cambia de víctimas de defensa a financiero"	Invalida assumption sobre motivación
Indicador de engaño	"Si aparecen artefactos en idioma no ruso en un sample posterior"	Alerta de posible false flag

Análisis de escenarios

El análisis de escenarios extiende ACH al futuro. En lugar de preguntar "¿qué pasó?", pregunta "¿qué podría pasar?".

Método de los 4 escenarios

Para una campaña APT activa:

Escenario	Descripción	Probabilidad	Impacto
Escalada	El grupo amplía objetivos a sector energético	30%	CRÍTICO
Persistencia	El grupo mantiene acceso silencioso durante meses	45%	ALTO
Cambio de herramientas	El grupo abandona X-Agent y adopta nuevo implant	20%	MEDIO
Cese de operaciones	El grupo es desarticulado o cambia de prioridades	5%	BAJO

Cada escenario tiene indicadores de alerta temprana que el equipo debe monitorizar.

Detección de engaño

Las operaciones de engaño (deception) en ciberataques son cada vez más sofisticadas. Las SAT ayudan a detectarlas.

Señales de alerta

• Evidencia demasiado conveniente. Un PDB path en cirílico, timestamps en zona horaria de Moscú, strings en ruso. Si todo apunta a un actor conocido de forma obvia, puede ser deliberado.
• Inconsistencia entre sofisticación y OPSEC. Un grupo que usa exploits 0-day pero deja el C2 sin protección. La sofisticación técnica y operacional deberían ser coherentes.
• Atribución prematura. Si una fuente publica atribución a las pocas horas de un incidente, antes de que sea técnicamente posible hacer un análisis completo, la atribución es sospechosa.
• Victimología incoherente. Un grupo de espionaje militar que ataca una pizzería. La víctima no encaja con los intereses conocidos del actor atribuido.

Sesgos cognitivos en CTI

Los sesgos más frecuentes en análisis de amenazas:

Confirmation bias (sesgo de confirmación)

El analista busca evidencias que confirmen su hipótesis inicial y descarta las que la contradicen. Si cree que el ataque es de APT28, interpreta cada evidencia ambigua a favor de APT28.

Mitigación: ACH obliga a evaluar cada evidencia contra todas las hipótesis.

Anchoring (anclaje)

El primer dato que recibe el analista ancla todo el análisis posterior. Si el primer reporte dice "APT28", todas las evidencias posteriores se interpretan en ese marco.

Mitigación: Presentar evidencias en orden aleatorio, no en el orden en que se descubrieron.

Mirror imaging (proyección)

Asumir que el adversario piensa como tú. "Yo no atacaría un domingo, así que el ataque del domingo no es de un APT." Los actores estatales tienen calendarios, motivaciones y restricciones diferentes.

Mitigación: Red Hat Analysis obliga a considerar la perspectiva del adversario.

Groupthink (pensamiento grupal)

El equipo converge en una conclusión sin disidencia real. Nadie quiere ser el que contradice al analista senior.

Mitigación: Asignar explícitamente un "devil's advocate" en cada sesión de análisis. Su trabajo es atacar la hipótesis dominante.

Availability bias (sesgo de disponibilidad)

El analista atribuye al grupo del que más ha leído recientemente. Si ayer leyó un reporte sobre Lazarus, hoy tiende a ver Lazarus en todo.

Mitigación: Mantener un catálogo de actores con criterios objetivos de atribución, no basados en la memoria reciente del analista.

Satisficing (conformismo analítico)

Aceptar la primera hipótesis que encaja razonablemente en lugar de buscar la que mejor encaja. "Podría ser APT28, es suficiente para el reporte."

Mitigación: ICD 203 exige que los productos de inteligencia documenten hipótesis alternativas y niveles de confianza.

Cuándo usar cada técnica

Situación	Técnica recomendada
Múltiples hipótesis de atribución	ACH
Análisis inicial de un incidente nuevo	Key Assumptions Check
Evaluar próximos movimientos del adversario	Red Hat Analysis + Escenarios
Sospecha de operación de engaño	ACH + detección de engaño
Preparar briefing para dirección	Todas (ACH para conclusiones, KAC para caveats)
Triage rutinario de IOCs	Ninguna SAT formal (análisis ad hoc es suficiente)
Producir intelligence estimate de largo plazo	Escenarios + KAC

Aplicación práctica: atribución de APT

Un caso integrado:

1. Incidente: Exfiltración detectada en empresa de defensa europea.
2. KAC: Listar assumptions ("asumimos que la exfiltración indica espionaje, no sabotaje").
3. ACH: 5 hipótesis (APT28, APT29, APT41, grupo criminal, insider). Matriz con 12 evidencias.
4. Red Hat Analysis: "Si soy APT29, ¿atacaría esta empresa? Sí, por su contrato con la OTAN. ¿Usaría técnicas asociadas a APT28 para desviar la atribución? Posible, documentado en Olympic Destroyer."
5. Indicadores: Definir qué evidencia futura cambiará la conclusión.
6. Conclusión: "Con confianza moderada, atribuimos a APT29. Hipótesis alternativa: APT28. Indicador clave a monitorizar: segunda víctima en sector defensa OTAN en próximos 60 días."

Recursos

• Richards J. Heuer, Psychology of Intelligence Analysis (CIA, 1999). Disponible gratis en cia.gov
• Pherson & Heuer, Structured Analytic Techniques for Intelligence Analysis, 3a ed. (CQ Press, 2020)
• ICD 203: Analytic Standards (Office of the DNI)
• MITRE ATT&CK, Groups (https://attack.mitre.org/groups/) para referencia de atribución
• Florian Roth, The Newcomer's Guide to Cyber Threat Actor Naming (2024)
• Thomas Rid, Active Measures: The Secret History of Disinformation and Political Warfare (2020)
• Erik Gartzke & Jon Lindsay, Cross-Domain Deterrence (Oxford, 2019), capítulos sobre atribución