Lo que la deteccion conductual revela al cruzar 380 actores hostile contra AbuseIPDB
La mayoria de los WAFs empresariales estan configurados para bloquear IPs por encima de cierto threshold de confianza de abuso. AbuseIPDB threshold 50 es un default comun de SOC. La asuncion es que el trafico hostile se frena en la puerta.
Pusimos esa asuncion a prueba.
De 240 actores hostile detectados por conducta en nuestra infraestructura durante 19 dias, operando desde 380 IPs distintas, el 45% tiene scores de AbuseIPDB por debajo de 50. Pasan configuraciones estandar de WAF porque sus IPs no estan reportadas suficientes veces como para disparar el bloqueo. Se comportan de forma hostile pero todavia no tienen la reputacion correspondiente.
Cruzamos una muestra de 100 IPs de actores hostile detectados por analisis conductual contra dos fuentes publicas de threat intelligence: GreyNoise Community API y AbuseIPDB.
La metodologia fue simple. Para cada IP preguntamos: alguna fuente publica de threat intel sabe que esta IP es hostile?
| Threshold | % de actores hostile que pasan |
|---|---|
| 0 reportes (completamente desconocida) | 18% |
| 0-2 reportes (nivel de ruido) | 25% |
| 0-5 reportes (bajo el radar) | 30% |
| Score debajo de 25 (threshold tipico de SOC) | 32% |
| Score debajo de 50 (threshold tipico de WAF) | 45% |
El 45% es un dato operacional. No es "completamente invisible para threat intel". Es "con confianza suficientemente baja como para que los sistemas automatizados lo dejen pasar".
La threat intelligence publica funciona por agregacion. Alguien tiene que reportar una IP. Multiples reportes aumentan la confianza. Eventualmente la IP cruza un threshold y se bloquea.
Ese modelo se rompe contra actores que hacen tres cosas:
Uno: rotan infraestructura agresivamente. Un actor hostile usando proxies residenciales a traves de proveedores como Chiron Software LLC opera desde IPs que parecen conexiones de internet hogareñas. Esas IPs rotan antes de acumular reportes.
Dos: se mantienen debajo de los thresholds de volumen. Un actor que hace 5-15 requests por IP y despues rota, nunca dispara deteccion por IP. El comportamiento agregado es hostile. El comportamiento por IP parece ruido.
Tres: apuntan a sitios que no reportan. La mayoria de los sitios web bloquean trafico hostile de forma silenciosa. No envian IPs a bases de datos publicas. La actividad hostile ocurre pero nunca entra al ciclo de threat feeds.
El resultado es una clase de actores que operan de forma hostile, persisten por semanas, y permanecen tecnicamente invisibles para defensas basadas en reputacion.
El dato mas limpio es el 18% que tiene cero reportes en cualquier fuente. Chequeamos el perfil de esas 18 IPs:
Traduccion: los actores hostile estan operando a traves de redes de proxies residenciales de US y generando trafico que parece usuarios de internet hogareños. No hay nada en la metadata de la IP que dispare sospecha. La unica forma de identificarlos es mirar lo que hacen, no quienes son.
Si dependes de reputacion de IP para filtrar trafico, estas atrapando a los actores que ya quemaron su cobertura. Los operadores cuidadosos pasan.
Para equipos de SOC: AbuseIPDB threshold 50 atrapa a los ruidosos pero pierde al 45% de los cuidadosos. Bajar el threshold atrapa mas pero genera ruido. El problema estructural es que la deteccion basada en reputacion tiene un delay inherente. Para cuando una IP gana reputacion, el actor ya roto a una nueva.
Para compliance y auditoria: "Bloqueamos IPs maliciosas conocidas" es una declaracion tecnica defendible que no refleja la realidad. El trafico hostile en tu infraestructura no viene todo de direcciones conocidas como malas.
Para procurement de herramientas de seguridad: Los vendors que cobran por feeds de reputacion de IP estan cobrando por el 55% mas facil. El 45% mas dificil requiere medicion conductual que la mayoria del tooling actual no hace.
Los actores que pasan WAFs no son invisibles para la observacion conductual. Los detectamos a traves de analisis de trayectoria conductual — patrones en como navegan, que solicitan primero, como evolucionan sus sesiones a lo largo de dias, e inconsistencias entre su identidad declarada y su fingerprint tecnico.
Ninguna de estas señales requiere saber quien es el actor. Todas producen evidencia que resiste una auditoria.
La diferencia estructural entre deteccion conductual y deteccion basada en reputacion es el timing. La reputacion te dice lo que una IP hizo en otro lugar, despues de que alguien la reporto. El comportamiento te dice lo que un actor esta haciendo en tu infraestructura, ahora mismo, antes de que nadie mas lo vea.
El Bot Conduct Report 2026 completo va a cubrir los 421 actores observados durante 19 dias, con perfiles conductuales, mapeo de infraestructura, y la metodologia en detalle.
Por ahora, la conclusion practica es acotada y verificable: si tu defensa depende de reputacion de IP, el 45% del trafico hostile esta configurado para pasarla.
Queres ver como se ve el trafico hostile en tu infraestructura?
Site Behavioral Risk Assessment →Reporte forense independiente. Analisis conductual. Sin integracion requerida.
Detalles de metodologia disponibles a pedido. Datos del BotConduct Observatory, abril 2026. Cruce realizado contra AbuseIPDB (N=100) y GreyNoise Community API (N=25).
