Threat Modeling: conoce a tu adversario antes de operar

1.2.1 Adversario: script kiddie, cibercrimen, Estado-nación

Uno de los errores más frecuentes en OPSEC es diseñar las defensas contra un adversario imaginario en lugar del adversario real. Protegerse de todo, siempre, al máximo nivel es imposible en la práctica — genera fatiga, hace cometer errores, y acaba en abandono de los controles. La clave es calibrar la protección al perfil de quien realmente puede ir a por ti.

Los adversarios no son iguales. Se diferencian en tres dimensiones fundamentales: motivación, capacidades técnicas y recursos disponibles. Comprender esas dimensiones es el primer paso del Threat Modeling.

Pirámide de adversarios ordenados por sofisticación

Nivel 1 — Script Kiddie

El script kiddie es el adversario más común y, paradójicamente, el más infravalorado. No tiene conocimientos técnicos profundos — usa herramientas automatizadas y exploits públicos sin entender cómo funcionan — pero su principal característica es que opera de forma masiva e indiscriminada. No te elige a ti. Escanea rangos de IP, busca versiones de software vulnerables en Shodan, lanza diccionarios contra paneles de login expuestos.

Motivación: curiosidad, notoriedad, vandalismo, práctica
Capacidades técnicas: bajas — depende de herramientas y tutoriales de terceros
Recursos: mínimos — ordenador personal, conexión doméstica
Vector de ataque preferido: exploits públicos, fuerza bruta, servicios expuestos con credenciales por defecto
Persistencia: muy baja — si encuentra resistencia, busca otro objetivo

💡

Implicación para tu OPSEC: Contra un script kiddie, las medidas básicas son suficientes — no exponer servicios innecesarios, usar contraseñas sólidas, mantener el software actualizado. No necesitas Tor ni identidades separadas para protegerte de alguien que escanea internet al azar.

Nivel 2 — Hacker individual con motivación específica

Un escalón por encima está el individuo técnicamente competente que tiene un objetivo concreto: tú, tu empresa, tu proyecto, o alguien cercano a ti. Puede ser un rival, un ex-empleado, un investigador de seguridad con malas intenciones, o simplemente alguien que encontró algo tuyo en internet y decidió investigar más.

Motivación: personal, económica moderada, ideológica, venganza
Capacidades técnicas: medias-altas — puede adaptar exploits, hacer OSINT avanzado, escribir scripts propios
Recursos: limitados pero suficientes — tiempo libre, herramientas gratuitas, VPS baratos
Vector de ataque preferido: OSINT, ingeniería social, phishing dirigido, vulnerabilidades conocidas sin parchear
Persistencia: media — invertirá tiempo si cree que el objetivo vale la pena

⚠️

Este perfil es el más subestimado: Es técnicamente capaz, tiene tiempo, y tiene motivación personal para ir a por ti específicamente. Una sola filtración de tu identidad real — un nick reutilizado, un email en un leak, una cuenta de GitHub con información personal — puede darle suficiente punto de apoyo para construir un perfil completo sobre ti.

Nivel 3 — Cibercrimen organizado

Los grupos de cibercrimen organizado operan como empresas. Tienen estructura, división de roles, herramientas propias, infraestructura dedicada y, lo más importante, incentivos económicos claros. No están haciendo esto por diversión ni por ideología — están maximizando retorno sobre inversión.

Motivación: económica — ransomware, fraude financiero, robo de credenciales, extorsión
Capacidades técnicas: altas — desarrollan malware propio, compran 0-days, tienen acceso a Initial Access Brokers
Recursos: significativos — presupuesto para infraestructura, equipos especializados, operaciones 24/7
Vector de ataque preferido: phishing masivo y dirigido (spear-phishing), compra de accesos robados, explotación de vulnerabilidades en servicios expuestos
Persistencia: alta mientras el objetivo sea rentable

Para un operador individual, el cibercrimen organizado raramente representa una amenaza directa y personalizada — a menos que seas un objetivo de alto valor económico, gestiones infraestructura crítica, o hayas interactuado con activos de su ecosistema (wallets, mercados, foros).

Nivel 4 — Corporación / Actor estatal (APT)

En el extremo superior del espectro están los actores con recursos prácticamente ilimitados: empresas de inteligencia privada, agencias gubernamentales y los grupos conocidos como APT (Advanced Persistent Threat). Su nombre lo dice todo: son avanzados, son persistentes, y representan una amenaza sostenida.

Motivación: geopolítica, espionaje industrial, vigilancia de disidentes, sabotaje de infraestructura crítica
Capacidades técnicas: máximas — 0-days propios, implantes de firmware, ataques a la cadena de suministro, capacidad de correlación de tráfico a escala nacional
Recursos: presupuestos estatales o corporativos — equipos de decenas o cientos de personas, acceso a infraestructura de telecomunicaciones
Vector de ataque preferido: todo lo anterior más ataques físicos, ingeniería social a largo plazo, compromiso de proveedores de confianza (supply chain)
Persistencia: indefinida — pueden esperar años para el momento adecuado

🚫

Realidad incómoda: Si un actor estatal con recursos suficientes decide ir a por ti de forma específica y sostenida, ningún OPSEC individual lo detiene indefinidamente. El objetivo del OPSEC en este escenario no es ser invulnerable — es elevar el coste lo suficiente para que la operación no valga la pena, o para detener el daño una vez que se detecta.

El adversario corporativo

Merece mención aparte el adversario corporativo: empresas de inteligencia privada (como Hacking Team, NSO Group o sus sucesores), abogados con presupuesto para contratar investigadores privados, o compañías que tienen interés en identificarte si realizas investigación de seguridad sobre sus productos.

Su característica diferencial es que operan dentro de un marco legal — o en sus límites — lo que les da acceso a herramientas que un criminal no tendría: solicitudes legales a proveedores de servicios, cooperación con fuerzas del orden, contratación de investigadores OSINT profesionales.

1.2.2 Capacidades del adversario

Conocer el perfil del adversario es el primer paso. El segundo es entender con precisión qué puede hacer y qué no. Las capacidades del adversario determinan qué vectores de ataque están disponibles para él — y por tanto, qué contramedidas son realmente necesarias.

Las capacidades se dividen en cuatro categorías: técnicas, financieras, legales y humanas. Un adversario puede ser muy fuerte en una y débil en las demás.

Comparativa de capacidades por tipo de adversario

Capacidades técnicas

Son las capacidades más visibles y las que más se suelen evaluar, pero no siempre son las más determinantes.

Capacidad técnica	Qué permite	Quién la tiene
Explotación de CVEs públicos	Atacar software sin parchear	Todos los niveles
OSINT avanzado	Reconstruir identidad a partir de datos públicos	Nivel 2 en adelante
Desarrollo de malware propio	Evasión de AV/EDR, implantes personalizados	Nivel 3 en adelante
0-days propios	Explotar vulnerabilidades desconocidas	Nivel 3-4 (con presupuesto)
Análisis de tráfico a escala	Correlación de Tor, VPN, timing attacks	Nivel 4 — actores estatales
Compromiso de hardware/firmware	Persistencia por debajo del sistema operativo	Nivel 4 — actores estatales

Capacidades financieras

El dinero compra tiempo, infraestructura, herramientas y personas. Un adversario con presupuesto puede:

Comprar 0-days: el mercado de vulnerabilidades no publicadas tiene precios que van de miles a millones de dólares. Zerodium pagó 2,5 millones por un exploit de iOS completo.
Contratar Initial Access Brokers: grupos especializados en vender accesos ya comprometidos a redes corporativas
Mantener operaciones indefinidamente: la persistencia tiene un coste — infraestructura, tiempo de los operadores, renovación de herramientas
Contratar investigadores OSINT profesionales: empresas especializadas en construir perfiles de individuos usando solo fuentes abiertas

Capacidades legales

Esta es la capacidad más subestimada en el modelado de adversarios, y la que puede ser más devastadora para el operador que solo piensa en amenazas técnicas.

Un adversario con capacidad legal puede:

National Security Letters (NSL): en Estados Unidos, permiten obtener registros de proveedores de servicios (ISPs, plataformas cloud) sin orden judicial y con prohibición de divulgación al usuario
Órdenes de preservación y producción: obligan a proveedores a conservar y entregar datos de usuarios específicos
Cooperación internacional: acuerdos de asistencia legal mutua (MLAT) entre países para obtener datos alojados en otras jurisdicciones
Subpoenas civiles: en litigios civiles, el descubrimiento de pruebas puede forzar a proveedores a revelar información de usuarios
Presión a proveedores de VPN y hosting: muchos proveedores "no-log" han entregado datos cuando se les presionó legalmente

🚫

El caso de HideMyAss: En 2011, el proveedor de VPN HideMyAss entregó registros de conexión del hacker Cody Kretsinger al FBI tras recibir una orden judicial, a pesar de su política de privacidad. La lección: ningún proveedor en una jurisdicción cooperativa puede resistir indefinidamente una orden legal válida. Si tu modelo de adversario incluye agencias con capacidad legal, la arquitectura técnica debe asumir que los proveedores intermedios pueden ser comprometidos legalmente.

Capacidades humanas

El factor humano incluye tanto la capacidad de ejecutar ingeniería social como la de infiltrar operaciones. Un adversario sofisticado no solo ataca los sistemas — ataca a las personas que los rodean.

Ingeniería social: manipulación psicológica para obtener información o acceso — desde un simple pretexting por teléfono hasta relaciones construidas durante meses
Infiltración: introducir un agente en el entorno de la víctima — físico o digital (en foros, grupos, comunidades)
HUMINT (Human Intelligence): obtener información de fuentes humanas cercanas al objetivo — colaboradores, ex-empleados, contactos
Vigilancia física: seguimiento, observación de rutinas, acceso físico al entorno del objetivo

1.2.3 Superficie de ataque: digital, física y social

La superficie de ataque es el conjunto de puntos a través de los cuales un adversario puede intentar obtener información sobre ti, acceso a tus sistemas, o capacidad de hacerte daño. La mayoría de la gente solo piensa en la superficie digital. Es un error que deja enormes vectores expuestos.

La superficie de ataque tiene tres dimensiones: digital, física y social. Un adversario competente las explora todas antes de decidir por cuál atacar — y elige la de menor resistencia.

Tres dimensiones de la superficie de ataque

Superficie digital

La superficie digital es todo lo que existe sobre ti en el mundo digital y que un adversario puede encontrar, analizar o atacar sin necesidad de contacto físico.

Identidades online: cuentas de redes sociales, foros, plataformas de código, historial de publicaciones
Direcciones IP: tu IP doméstica, IPs de VPS que has usado, rangos asociados a tus operaciones
Dominios e infraestructura: dominios registrados, certificados TLS emitidos, registros históricos de DNS
Credenciales filtradas: emails y contraseñas en breaches públicos (Have I Been Pwned, DeHashed)
Metadatos en archivos: documentos, imágenes y código publicado con información de autor, rutas, dispositivos
Huella de dispositivos: fingerprints de navegador, configuraciones de sistema identificables
Comunicaciones: emails, mensajes en foros, comentarios en GitHub — todo lo que has escrito que puede ser atribuido a ti

💡

Ejercicio recomendado: Haz OSINT sobre ti mismo antes de que lo haga el adversario. Busca tu nombre real, tus nicknames habituales, tus emails en bases de datos de leaks, tus IPs en Shodan. Lo que encuentres es lo que tu adversario también puede encontrar. Lo desarrollamos en detalle en el apartado 8.4.

Superficie física

La superficie física es todo lo que puede comprometerte en el mundo real — y es la que más se suele ignorar hasta que ya es demasiado tarde.

Ubicación física: tu domicilio, lugar de trabajo, lugares que frecuentas con regularidad
Dispositivos físicos: portátiles, teléfonos, USBs, discos duros — cualquier hardware que pueda ser robado, confiscado o comprometido físicamente
Rutinas y patrones: horarios predecibles, rutas habituales, lugares de reunión regulares
Basura: documentos desechados sin destruir, hardware descartado con datos residuales
Redes WiFi: los puntos de acceso a los que te conectas crean un mapa de tus ubicaciones habituales
Señales de radio: Bluetooth, NFC — emisiones que pueden usarse para rastrearte o atacar tus dispositivos

⚠️

El ataque más efectivo a veces es el más simple: En 2013, los documentos de Snowden revelaron que la NSA podía interceptar hardware de red en tránsito para implantar backdoors antes de que llegara al destinatario. El ataque físico más sofisticado posible — pero también lo más simple puede funcionar: alguien con acceso físico a tu portátil durante cinco minutos puede comprometerte más que cualquier exploit remoto.

La superficie social es quizás la más difícil de reducir porque implica relaciones humanas reales. Un adversario que no puede atacarte técnicamente puede intentar hacerlo a través de las personas de tu entorno.

Red de contactos: amigos, familiares, colaboradores — personas que conocen información sobre ti y que pueden ser abordadas o comprometidas
Confianza implícita: personas a quienes has dado acceso a información o sistemas porque los conoces — no porque hayas evaluado su OPSEC
Comunicaciones sociales: lo que dices sobre tus actividades en conversaciones informales, lo que otros publican sobre ti
Reputación e identidad pública: si eres reconocible en ciertos círculos, eso facilita la ingeniería social dirigida
Dependencias y presiones: deudas, relaciones, responsabilidades — vectores de coacción que un adversario puede explotar

La superficie social es la razón por la que la compartimentalización no es solo un principio técnico. Es un principio operacional que aplica a las personas tanto como a los sistemas.

Cómo reducir la superficie de ataque

Reducir la superficie de ataque no significa eliminarla — eso es imposible. Significa minimizar los puntos de exposición que no son necesarios para tus operaciones y aumentar el coste de explotación de los que sí lo son.

Dimensión	Acción de reducción	Impacto
Digital	Eliminar cuentas innecesarias, limpiar metadatos, separar identidades	Reduce la huella OSINT del adversario
Digital	Monitorizar leaks de credenciales propias	Detección temprana de compromiso
Física	Cifrado de disco completo en todos los dispositivos	Neutraliza el robo o confiscación
Física	Destrucción segura de hardware y documentos	Elimina datos residuales recuperables
Social	Compartimentalización de información entre contactos	Limita el daño si un contacto es comprometido
Social	Need-to-know: nadie sabe más de lo necesario	Reduce la superficie de ingeniería social

1.2.4 Matriz de riesgos personalizada

Ya tienes el mapa del adversario y conoces tu superficie de ataque. Ahora necesitas priorizar: no todos los riesgos merecen la misma atención ni los mismos recursos. La matriz de riesgos es la herramienta que convierte el análisis en decisiones concretas.

Un riesgo tiene dos dimensiones independientes: probabilidad (¿con qué frecuencia podría ocurrir esto dado tu adversario real?) e impacto (¿qué daño real te causaría si ocurriera?). La intersección de ambas determina la prioridad.

Matriz de riesgos probabilidad vs impacto

Construir la matriz

La matriz más útil para OPSEC individual es una de 3x3 con tres niveles de probabilidad (baja, media, alta) y tres niveles de impacto (bajo, medio, alto). Esto genera nueve celdas con cuatro zonas de acción:

matriz de riesgos

                         PROBABILIDAD
                    Baja        Media        Alta
               ┌───────────┬───────────┬───────────┐
         Alto  │  VIGILAR  │  ACTUAR   │ ACTUAR YA │
               ├───────────┼───────────┼───────────┤
IMPACTO  Medio │  IGNORAR  │  VIGILAR  │  ACTUAR   │
               ├───────────┼───────────┼───────────┤
         Bajo  │  IGNORAR  │  IGNORAR  │  VIGILAR  │
               └───────────┴───────────┴───────────┘

  ACTUAR YA  → Contramedida inmediata, no negociable
  ACTUAR     → Planificar e implementar en el corto plazo
  VIGILAR    → Monitorizar, revisar periódicamente
  IGNORAR    → Aceptar el riesgo, no invertir recursos

Ejemplos prácticos por perfil de adversario

La misma amenaza puede tener probabilidades radicalmente distintas dependiendo de quién sea tu adversario. Aquí hay ejemplos concretos:

Riesgo	vs Script kiddie	vs Hacker motivado	vs Actor estatal
Exposición de IP real	Prob. alta / Impacto bajo → Vigilar	Prob. alta / Impacto alto → ACTUAR YA	Prob. alta / Impacto alto → ACTUAR YA
Correlación de tráfico Tor	Prob. baja / Impacto bajo → Ignorar	Prob. baja / Impacto medio → Ignorar	Prob. media / Impacto alto → ACTUAR
Email en base de datos leak	Prob. alta / Impacto bajo → Vigilar	Prob. alta / Impacto alto → ACTUAR YA	Prob. alta / Impacto alto → ACTUAR YA
Acceso físico al dispositivo	Prob. baja / Impacto alto → Vigilar	Prob. baja / Impacto alto → Vigilar	Prob. media / Impacto alto → ACTUAR
Ingeniería social a contactos	Prob. baja / Impacto bajo → Ignorar	Prob. media / Impacto alto → ACTUAR	Prob. alta / Impacto alto → ACTUAR YA

Los dos errores más comunes

Sobreestimar la probabilidad: Tratar todos los riesgos como si fueran igual de probables. Resultado: parálisis, agotamiento, abandono de controles. Si tu adversario real es un script kiddie, no necesitas el mismo OPSEC que un disidente político en un régimen autoritario.
Subestimar el impacto: Pensar que ciertos riesgos "no son para tanto". La exposición de tu identidad real puede parecer de impacto bajo hasta que alguien la usa para presionarte, acosarte o comprometer tu trabajo. El impacto real se mide en el peor caso plausible, no en el caso esperado.

💡

La matriz no es estática: Revísala cada vez que cambie tu adversario, tu actividad o tu entorno. Un investigador de seguridad que publica un advisory sobre una empresa grande ha cambiado su perfil de adversario de un día para otro. La matriz debe actualizarse con él.

1.2.5 Árbol de ataque sobre tu operación

La matriz de riesgos te dice qué priorizar. El árbol de ataque te dice cómo te atacarían — el camino concreto que seguiría un adversario para comprometerte. Es una técnica originalmente diseñada para modelar amenazas a sistemas, aquí adaptada para modelar amenazas al operador.

Un árbol de ataque parte de un objetivo del adversario (la raíz del árbol) y lo descompone en subobjetivos y acciones concretas (las ramas y hojas). Es una forma de razonar sistemáticamente sobre cómo podrías ser comprometido.

Ejemplo de árbol de ataque con objetivo identificar al operador

Cómo construir un árbol de ataque

Define el objetivo raíz: ¿Qué quiere conseguir el adversario? Puede ser "identificar al operador", "acceder al servidor C2", "obtener el informe de la operación", "comprometer la identidad operacional".
Descompón en subobjetivos: ¿Qué necesita lograr para alcanzar el objetivo raíz? Cada subobjetivo es una rama. Las ramas pueden combinarse con AND (necesita todas) o con OR (necesita al menos una).
Llega a las hojas: Las hojas son las acciones concretas y atómicas que el adversario puede intentar — consultar WHOIS, buscar en Shodan, hacer phishing al operador, comprar el acceso a un proveedor.
Evalúa cada hoja: ¿Es factible para tu adversario? ¿Qué probabilidad tiene? ¿Qué contramedida la bloquea?

Ejemplo: árbol de ataque para "Identificar al operador"

árbol de ataque

OBJETIVO RAÍZ: Identificar al operador
│
├── [OR] VÍA 1: Trazabilidad de infraestructura
│    ├── [AND] Encontrar dominio del C2
│    │    ├── Buscar en Certificate Transparency logs
│    │    └── Encontrar en Shodan / Censys
│    └── [AND] Vincular dominio a identidad real
│         ├── Consultar WHOIS histórico (SecurityTrails)
│         └── Correlacionar con email de registro
│
├── [OR] VÍA 2: OSINT de identidad operacional
│    ├── Encontrar nick reutilizado en otros contextos
│    ├── Localizar email en base de datos de leaks
│    └── Analizar estilometría de publicaciones
│
├── [OR] VÍA 3: Compromiso de proveedor
│    ├── Solicitud legal al proveedor de VPS
│    ├── Solicitud legal al proveedor de VPN
│    └── Compromiso técnico del proveedor
│
└── [OR] VÍA 4: Vector humano
     ├── Ingeniería social a colaboradores
     ├── Infiltración en canal de comunicación
     └── Coacción a persona del entorno

Lo importante del árbol es que el adversario solo necesita completar una de las vías OR para alcanzar el objetivo. No necesita todas. Esto significa que si dejas una vía abierta — por ejemplo, si no limpias el historial WHOIS o reutilizas un nick — las demás contramedidas pueden ser irrelevantes.

Del árbol a las contramedidas

Una vez tienes el árbol construido, recorre las hojas y pregúntate para cada una: ¿qué contramedida bloquea este nodo? Si una hoja no tiene contramedida asignada, tienes un gap en tu OPSEC.

Nodo (hoja del árbol)	Contramedida
Encontrar dominio en Certificate Transparency	Usar wildcard certs, dominios de cobertura, no registrar el C2 real con cert público
Consultar WHOIS histórico	Registrar con datos falsos desde el inicio, pagar con Monero, usar Njalla o 1984
Localizar email en leaks	Email operacional único, no usado en ningún otro contexto, generado específicamente para esta operación
Solicitud legal al proveedor de VPS	Pagar con Monero, registrar con identidad falsa, usar proveedores en jurisdicciones no cooperativas
Ingeniería social a colaboradores	Compartimentalización: los colaboradores no conocen información que no necesitan saber

1.2.6 Tablero de adversarios

El tablero de adversarios es la síntesis práctica de todo el Threat Modeling: un documento vivo donde registras quién podría ir a por ti, por qué, con qué capacidades y qué estás haciendo al respecto. No es un ejercicio académico — es una referencia operacional que debes consultar y actualizar regularmente.

⚠️

Este documento es información crítica: El tablero de adversarios debe almacenarse cifrado (en un volumen VeraCrypt, en KeePassXC, en una base de datos cifrada local) y nunca sincronizarse en la nube. Si cae en manos de tu adversario, le has dado el mapa completo de tus defensas.

Estructura del tablero

Cada entrada en el tablero representa un adversario potencial y tiene los siguientes campos:

Campo	Descripción	Ejemplo
Adversario	Perfil o nombre del adversario	"Empresa objetivo del research" / "Actor estatal X"
Motivación	Por qué querría comprometerte	"Identificar al investigador que publicó el advisory"
Capacidades	Qué puede hacer	"OSINT avanzado, presupuesto legal para subpoenas, equipo técnico"
Vectores probables	Por dónde intentaría atacar	"WHOIS del dominio, leak de email, ingeniería social"
Nivel de amenaza	Prioridad general (1-5)	3/5
Contramedidas activas	Qué estás haciendo contra este adversario específico	"Dominio con datos falsos, email único, identidad separada"
Gaps identificados	Qué falta por cubrir	"Pendiente: migrar VPS a proveedor con pago Monero"
Última revisión	Cuándo se actualizó esta entrada	2024-11-15

Plantilla en texto plano

Una versión mínima que puedes copiar y almacenar cifrada:

plantilla — tablero de adversarios

## TABLERO DE ADVERSARIOS — [fecha de creación]
## Almacenar SIEMPRE cifrado. Nunca en la nube.

---

ADVERSARIO:       # Perfil o nombre
MOTIVACIÓN:       # Por qué querría comprometerte
CAPACIDADES:
  - Técnicas:     # Qué puede hacer técnicamente
  - Financieras:  # Presupuesto estimado
  - Legales:      # Jurisdicción, órdenes disponibles
  - Humanas:      # Ingeniería social, infiltración
VECTORES PROBABLES:
  - []            # Listar cada vector identificado
NIVEL DE AMENAZA:  # 1 (bajo) a 5 (crítico)
CONTRAMEDIDAS ACTIVAS:
  - []            # Qué tienes en marcha
GAPS IDENTIFICADOS:
  - []            # Qué falta por implementar
ÚLTIMA REVISIÓN:   # YYYY-MM-DD

---
# Añadir una entrada por adversario

Cuándo actualizar el tablero

El tablero no es un documento que se crea una vez y se archiva. Los disparadores de actualización son:

Antes de iniciar una nueva operación: ¿hay adversarios nuevos que considerar?
Cuando publicas algo con impacto: un advisory, un artículo, una herramienta — puede cambiar quién tiene interés en identificarte
Cuando detectas anomalías: alguien escanea tu infraestructura, recibes un spear-phishing inusual, encuentras tu alias en un contexto inesperado
Periódicamente: al menos cada tres meses, aunque no haya ocurrido nada. Los adversarios cambian aunque tú no lo hagas.
Cuando un adversario actúa: si confirmas que alguien ha intentado comprometerte, la entrada de ese adversario necesita una revisión completa

💡

El tablero como herramienta de detección: Además de planificar defensas, el tablero te ayuda a detectar cuando estás siendo atacado. Si uno de tus adversarios modelados tiene como vector "OSINT sobre tus dominios" y de repente detectas consultas inusuales en tu WHOIS o escaneos en tu C2, el tablero te dice quién podría estar detrás y qué podrían querer — antes de que lo confirmes.