Tipos de threat intelligence: indicadores técnicos (IOCs: dominios C2, IPs maliciosas, hashes de malware), tácticas y procedimientos (TTPs: cómo usan herramientas), contexto estratégico (quién, por qué, cuándo). Los tres son necesarios.
Qué es la inteligencia de amenazas
La inteligencia de amenazas es información recopilada, analizada y contextualizada sobre amenazas de ciberseguridad: quién ataca (grupos APT, delincuentes), cómo atacan (técnicas TTPs), qué objetivos persiguen (sectores, geografías), qué herramientas usan (malware, exploits) e indicadores técnicos para detectarlos (IOCs: dominios, IPs, hashes de ficheros). Transforma datos crudos en inteligencia accionable para defensa.
Por qué importa
Es fácil obsesionarse con resolver cada posible vulnerabilidad. Pero si vulnerabilidades A y B existen en tu infraestructura, solo una de ellas está siendo explotada activamente por grupos amenaza relevantes a tu sector. Inteligencia de amenazas identifica cuál. Eso te permite priorizar recursos limitados donde tienen mayor impacto. Además, si sabes que el grupo APT30 típicamente ataca a telecomunicaciones con spear-phishing después de reconocimiento en LinkedIn, puedes anticiparse: monitor de cuentas ejecutivas en redes sociales, emails de phishing specificos, comportamiento sospechoso post-acceso inicial. Inteligencia transforma defensa reactiva en defensa informada. Para un CISO en empresa objetivo de grupos APT persistentes, ignorar threat intel es negligencia.
Puntos clave
Fuentes varían: observaciones propias (logs, alertas), información pública (NVD, CISA), feeds comerciales (CrowdStrike, Mandiant, etc.), inteligencia clasificada (Policía Nacional, CNI). Una estrategia madura combina varias fuentes.
Inteligencia contextual es crítica. Un indicador de malware Emotet detectado hace 2 años en Rumania no es amenaza para ti hoy. Necesitas inteligencia fresca, específica para tu sector y geografía.
Feedback loop: observas indicadores en tus sistemas, los reportas a comunidad o proveedores, refinan análisis, repercuten en herramientas de detección de todos. Eso solo funciona si hay compartición.
Ejemplo: threat intel reduciendo tiempo de detección
Proveedor de threat intel reporta que grupo LuckyCat ha comprometido múltiples proveedores de logística en España con Plugx RAT usando spear-phishing con resumes falsas. Tu organización usa proveedores logísticos. Tu equipo agrega 3 IOCs (dominios C2, hashes de ficheros) al SIEM y EDR. 72 horas después, un usuario en compras recibe email con fichero .docx raro (parece resume de candidato). EDR mata el proceso antes de ejecutarse. Forense confirma era Plugx RAT. Sin inteligencia, habría sido detectado 200 días después si es que lo era. Con inteligencia, 72 horas.
Errores habituales
- Confundir volumen con utilidad. Recibir 10000 IOCs diarios es inútil si 9990 no son relevantes. Buena threat intel es selecta, enfocada y contextualizada.
- No integrar inteligencia en procesos. Reportes bonitos de amenazas que nadie lee en SOC o procesos de vulernabilidad son papel mojado. Debe estar integrada en SIEM, EDR, procesos de priorización.
- Asumir que proveedores de threat intel están siempre en lo correcto. A veces hay falsos positivos, atribuciones incorrectas o sesgos. Validar con fuentes propias antes de actuar.
- Ignorar inteligencia porque proviene de la competencia o terceros. Una organización que carece de recursos para threat intel interno debe aprovechar feeds públicos y servicios gestionados.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Dónde conseguir threat intelligence?
Fuentes públicas: CISA, NVD, MISP, AbuseIPDB. Servicios comerciales: CrowdStrike Falcon, Mandiant, Recorded Future. Feeds open source: AlienVault OTX. Lo ideal es combinar: gratuitas para baseline, comerciales para contexto estratégico y sector.
¿Qué es MITRE ATT&CK?
Framework que cataloga técnicas de ataque (TTPs) que grupos amenaza usan en el mundo real. Si sabes que grupo APT usa técnica MITRE T1114 (email collection), puedes buscar logs de acceso a Exchange, eventos de exportación de mailboxes, etc. Es referencia clave en threat intel.
¿Vale la pena pagar por threat intel si tengo SIEM?
SIEM detecta anomalía en tu red. Threat intel te dice si esa anomalía es coincidencia benigna o indicador de ataque activo. Sí vale. Un SOC sin inteligencia es como médico sin diagnóstico: trata síntomas sin entender enfermedad.