Código en GitHub que los hackers querrían eliminar: Agentic Threat Hunting Framework ya está en la red

En el ecosistema de herramientas para la caza de amenazas apareció un nuevo proyecto de código abierto que propone resolver uno de los problemas más dolorosos de la caza de amenazas: la pérdida de contexto tras cerrar una investigación. Agentic Threat Hunting Framework (ATHF) se presenta como una «capa de memoria y automatización» para los programas de caza de amenazas: no impone una nueva metodología, sino que ayuda a ordenar el trabajo para que las cacerías, hallazgos y consultas anteriores permanezcan accesibles tanto para las personas como para los asistentes de IA.

Los creadores de ATHF parten de una imagen conocida por muchos: la caza termina y los conocimientos se dispersan por Slack, tickets y notas personales de los analistas. Las consultas en SIEM o EDR se escriben una vez y se olvidan, las conclusiones quedan «en la cabeza» de los participantes y, cuando cambian las personas, el equipo suele perder la experiencia acumulada. Con las herramientas de IA la situación, según los autores, es aún peor: sin una «memoria» de su infraestructura y de comprobaciones previas, cada vez empiezan de cero. ATHF intenta cerrar esa brecha proponiendo un formato simple de documentación y una catalogación de las cacerías para poder buscarlas, releerlas y reutilizarlas.

El proyecto se basa en un enfoque con Markdown: las cacerías se redactan como documentos de texto claros y se guardan en un repositorio que con el tiempo se convierte en una base de conocimiento. Para uniformidad se introduce la plantilla LOCK (Aprender → Observar → Comprobar → Conservar): primero se reúne el contexto a partir de inteligencia, alertas o anomalías, luego se formula una hipótesis sobre el comportamiento del atacante, después se verifica la hipótesis con consultas dirigidas y, por último, se registran los resultados y las lecciones. La idea es que la estructura sea lo suficientemente sencilla para el trabajo cotidiano, pero también lo bastante rigurosa para que un agente o un asistente la «entienda» y, a partir de los registros previos, proponga comprobaciones más precisas.

Por separado, ATHF describe «cinco niveles de madurez» de la caza de amenazas con agentes: desde el nivel cero, cuando todo vive en los chats y en notas dispersas, hasta etapas avanzadas en las que la IA no solo lee el historial de cacerías, sino que ejecuta consultas mediante integraciones y, a futuro, monitoriza y reacciona de manera autónoma. Los autores subrayan que la mayoría de los equipos se beneficiarán de los dos primeros niveles: se puede comenzar con documentación básica y búsqueda en investigaciones pasadas, mientras que los escenarios más orientados a agentes son optativos y requieren tiempo para implementarse.

Para quienes no se conforman con llevar solo archivos Markdown, el proyecto incluye una utilidad de línea de comandos (CLI). Se propone instalarla desde PyPI con el paquete agentic-threat-hunting-framework e inicializar el espacio de trabajo con el comando athf init; después se pueden crear nuevas cacerías, incluso vinculándolas con técnicas MITRE ATT&CK y especificando la plataforma. Desde la CLI también es posible listar las cacerías, buscar por contenido, validar los registros y ver estadísticas y cobertura según ATT&CK. Además, el proyecto admite una instalación «cero»: se puede simplemente clonar el repositorio y empezar a documentar cacerías con la plantilla sin herramientas adicionales, configurando un archivo con la descripción de su entorno y las fuentes de datos para que el asistente tenga en qué apoyarse.

Un énfasis importante de ATHF es que no se trata de sustituir a los analistas ni de «automatizarlo todo». Más bien, los autores defienden que la memoria es un multiplicador de eficacia: cuando una organización deja de perder conocimientos por la rotación y las notas olvidadas, y la IA recibe contexto sobre comprobaciones previas y particularidades del entorno, deja de ser un «chatbot al azar» y se convierte en un asistente que realmente potencia al experto. Como ilustración, en el repositorio muestran un ejemplo de cacería que permitió descubrir un infostealer para macOS que recopilaba las cookies de Safari mediante AppleScript, y destacan por separado el valor de las señales de comportamiento frente a las puramente basadas en firmas.

El proyecto publicado en GitHub se distribuye bajo licencia MIT y, según la descripción, está pensado para funcionar con cualquier SIEM/EDR y con metodologías como PEAK o TaHiTI. El mensaje general se formula de forma muy práctica: empezar con poco —documentar una cacería, darle estructura y, poco a poco, aumentar la «memoria» del programa para que con el tiempo empiece a trabajar para el equipo.