Skip to content

EL MECANISMO

Cómo funciona el operador.

Riposte ejecuta un bucle continuo desde tu terminal. El lado de ataque encuentra y reproduce una brecha real; el lado de defensa escribe una regla a partir de esa evidencia exacta para atraparla la próxima vez. Tú mantienes el mando en cada paso intermedio.

EL BUCLE DEL OPERADOR

Recon, probe, exploit, hand-off.

  1. 01recon

    Mapea el alcance.

    Enumera el objetivo autorizado y registra cada host, puerto y superficie que responde. Nada fuera del alcance que definiste se toca nunca.

  2. 02probe

    Prueba las entradas.

    Ejercita cada superficie como lo haría una persona, ordenando las entradas con más probabilidad de ceder y trabajándolas de una en una.

  3. 03exploit

    Presiona la brecha.

    Cuando una superficie cede, abre la brecha contra una referencia y captura exactamente lo que pasó, para que el hallazgo se sostenga sobre su propia evidencia.

  4. 04hand-off

    Tú decides ahora.

    Cada movimiento con consecuencias se detiene para ti. Sigue adelante, regístralo, o para. El operador nunca escala por su cuenta.

UNA EJECUCIÓN, LÍNEA A LÍNEA

Míralo trabajar.

Una sola ejecución, transmitida tal como la verías en la terminal: superficie mapeada, entradas probadas, una brecha abierta, y luego se detiene y te cede la decisión.

EL BUCLE DE DETECCIÓN VERIFICADA

El ataque alimenta a la defensa.

Cuando el lado de ataque reproduce un hallazgo, el lado de defensa redacta una detección a partir de esa evidencia exacta: una regla Sigma anclada a lo que realmente pasó, no a una descripción vaga. Ese borrador no se confía a primera vista. Se compila, se reproduce y se mide contra un doble de SIEM instrumentado antes de dar nada por escrito.

Una regla se publica solo si supera las cuatro puertas de abajo. Si falla una, se retiene para que la revise una persona. Las puertas fallan en cerrado, así que el silencio siempre significa retenida, nunca publicada.

G1

Compila.

La regla redactada compila sin errores al lenguaje de consulta propio de tu SIEM.

G2

Dispara.

La regla coincide con el exploit exacto que la produjo, reproducido contra un doble instrumentado.

G3

Sobrevive a una variante.

Sigue disparando después de mutar el ataque, así atrapa la técnica y no un solo payload literal.

G4

Se mantiene callada.

Se mantiene bajo un umbral de falsos positivos en tráfico benigno, para no ahogar al analista que la despliega.

SOBRE LA DEMO OFFLINE

La demo funciona sin red y sin claves. En ella, la detección de ejemplo se publica desde una plantilla incluida en lugar de un modelo en vivo, así el recorrido es idéntico en cualquier máquina. El bucle y las cuatro puertas son los de verdad; solo la evidencia está preparada.

pre-alpha . apache-2.0 . sin telemetría . funciona offline