Hard2bit
Cyber Threat Intelligence · F3EAD · ATT&CK · Diamond · TLP v2.0

Threat Intelligence: inteligencia que acciona, no PDFs que se guardan

Convertimos el ruido de amenazas en alertas accionables: táctica para su SOC, operacional para su equipo de IR, estratégica para el comité. Un mismo servicio, tres niveles, un mismo ciclo F3EAD con marcado TLP v2.0.

Solicitar piloto de CTI Cómo lo hacemos CTI vs Threat Hunting

Táctica

IoCs, Sigma, YARA mapeados a ATT&CK

Operacional

Actores, campañas, abuso de marca

Estratégica

Tendencias, riesgo y escenarios para comité

CTI es un servicio de análisis y decisión, no una suscripción a feeds.

Cyber Threat Intelligence es la producción estructurada de conocimiento sobre amenazas: quién ataca, cómo, por qué y qué hacer al respecto. No es un feed, no es un informe anual y no es una lista de IoCs sin contexto.

Partimos siempre de los Priority Intelligence Requirements: las preguntas que la organización necesita que la CTI responda. Sin PIRs, la CTI se convierte en ruido y en alertas que nadie consume. Con PIRs bien definidos, cada entregable tiene un destinatario, una decisión asociada y una acción.

Trabajamos con modelos contrastados del sector: MITRE ATT&CK para técnicas adversarias, Diamond Model (Caltagirone, Pendergast y Betz, 2013) para modelar eventos de intrusión, F3EAD como ciclo de producción y TLP v2.0 (FIRST.org) para el marcado y la distribución controlada de cada pieza.

Punto clave:

La métrica que importa no es el volumen de IoCs entregados, sino cuántas alertas generaron acción y cuánto se acortó el tiempo entre que una amenaza aparece en el radar y una detección está en producción.

Tres niveles, un mismo hilo

CTI táctica (IOCs, TTPs), operacional (campañas, actores, infraestructura) y estratégica (tendencias sectoriales, riesgo geopolítico). Los tres conviven en el mismo servicio para que el SOC, el equipo de IR y la dirección reciban el nivel correcto en el momento correcto.

PIRs que guían la colecta

Partimos de Priority Intelligence Requirements: qué quiere saber la organización, sobre qué activos, frente a qué actores y para qué decisiones. Sin PIRs claros, CTI se convierte en ruido.

Modelos que aguantan el análisis

Trabajamos con MITRE ATT&CK para técnicas, Diamond Model para eventos y F3EAD como ciclo de producción. Modelos contrastados en el sector, no frameworks de marketing.

Entregables que accionan

No publicamos PDFs de 120 páginas que nadie lee. Entregamos alertas TLP-marcadas, IoCs consumibles por el SIEM/EDR, fichas de actor y notas estratégicas cortas que caben en un comité.

Niveles de inteligencia

Táctica, operacional, estratégica — en el mismo servicio

Cada destinatario recibe el grado de detalle adecuado. Ninguna capa vive sola.

Táctica

Indicadores y TTPs

IoCs contextualizados (IPs, dominios, hashes, YARA, Sigma), mapeados a técnicas ATT&CK. Entregables consumibles directamente por SIEM, EDR, firewall y proxy.

Operacional

Actores, campañas y kits

Fichas de grupos APT, e-crime y hacktivistas relevantes para tu sector; infraestructura observada, kits de malware, cadenas de infección y relación con incidentes reales del ecosistema.

Estratégica

Tendencias y riesgo

Tendencias sectoriales, geopolítica, escenarios de amenaza sobre procesos críticos del negocio. Pensado para el CISO, el comité de riesgos y el consejo.

Fuentes que manejamos

Colecta diversificada, fiabilidad evaluada

Lo importante no es el número de fuentes, sino su cobertura complementaria y el proceso de puntuación de fiabilidad antes del análisis.

OSINT y redes técnicas

Superficie pública, foros técnicos, canales especializados y tooling OSINT para correlacionar menciones, filtraciones e infraestructura emergente.

Underground y mercados cerrados

Monitorización de foros, canales de Telegram y mercados asociados a cibercrimen, ransomware como servicio, venta de accesos y credenciales filtradas.

Inteligencia técnica propia

Capacidades internas de análisis de malware, sandboxing, pivoteo de infraestructura y enriquecimiento con plataformas especializadas de threat intel.

Feeds comerciales y comunidad

Integración con proveedores de CTI comerciales, ISACs sectoriales y comunidades de confianza bajo TLP para amplificar la cobertura sin duplicar coste.

Cómo lo hacemos

Ciclo F3EAD de producción

Find, Fix, Finish, Exploit, Analyze, Disseminate. El ciclo que ordena la producción de inteligencia desde los PIRs hasta la acción.

01

Definición de PIRs

Con CISO, SOC y negocio definimos qué preguntas debe responder la CTI, sobre qué activos y para qué decisiones. Es el ancla del ciclo F3EAD.

02

Plan de colecta

Mapeamos fuentes (OSINT, cerradas, técnicas propias, feeds, comunidad) a cada PIR, con responsables, frecuencia y criterios de fiabilidad.

03

Procesamiento y enriquecimiento

Normalizamos, deduplicamos, enriquecemos y evaluamos la fiabilidad. Nada entra al análisis sin pasar por estos filtros.

04

Análisis (ATT&CK + Diamond)

Modelamos eventos, actores e infraestructura. Evaluamos intención, capacidad y oportunidad. Separamos lo que sabemos de lo que inferimos.

05

Producción y diseminación

Producimos entregables por nivel (táctico/operacional/estratégico) con marcado TLP. Cada destinatario recibe el formato y el grado de detalle adecuado.

06

Feedback y mejora continua

Las alertas se evalúan: aportaron valor, se consumieron, dispararon acción. Los PIRs se revisan trimestralmente o tras incidentes relevantes.

Qué recibes

Entregables accionables, no compendios

Alertas accionables en tiempo útil

Alerta temprana sobre amenazas específicas (campaña dirigida al sector, filtración de credenciales, abuso de marca, vulnerabilidad explotada activamente) con IoCs, contexto, TLP y acción recomendada.

Informe mensual de amenaza

Resumen del ciclo: actores observados en tu sector, técnicas predominantes, vulnerabilidades en explotación activa y recomendaciones concretas por activo/proceso.

Fichas de actor y campaña

Perfiles de grupo con TTPs mapeados a ATT&CK, infraestructura histórica, objetivos habituales, relación con incidentes reales y señales de detección recomendadas.

Paquetes IoC/Sigma/YARA

Indicadores estructurados (STIX/TAXII cuando aplica), reglas Sigma para SIEM y reglas YARA para sandbox/EDR, versionadas y listas para despliegue.

Nota estratégica ejecutiva

Formato corto, una página, orientado a comité y consejo: panorama de amenaza, implicaciones para el negocio y decisiones que se piden.

Inteligencia bajo demanda (RFI)

Requests for Information: dudas operativas concretas del SOC o de dirección (una IP rara, un dominio sospechoso, un actor que ha aparecido en prensa) con respuesta en plazos definidos.

Marcos que usamos

Inteligencia sobre modelos contrastados

Todos estos marcos son públicos y trazables; nada de frameworks de marketing ni metodologías inventadas por un proveedor.

  • MITRE ATT&CK para técnicas adversarias y mapeo de capacidad defensiva.
  • Diamond Model of Intrusion Analysis (Caltagirone, Pendergast, Betz — 2013) para modelar eventos de intrusión.
  • F3EAD (Find, Fix, Finish, Exploit, Analyze, Disseminate) como ciclo de producción de inteligencia, originado en entornos de operaciones especiales y adaptado a CTI.
  • TLP v2.0 (Traffic Light Protocol, mantenido por FIRST.org) para marcado y distribución controlada de cada entregable.
  • STIX 2.1 / TAXII 2.1 (OASIS) cuando procede compartir con SOC, ISAC o partners en formatos estructurados.
  • Priority Intelligence Requirements (PIRs) y Standing Information Requirements para ordenar la colecta y el análisis.

Casos reales · anonimizados

Cómo aterriza la CTI en clientes reales

Perfil, contexto y resultado. Sin nombres propios por respeto al compromiso de confidencialidad.

Grupo financiero europeo con exposición en LATAM

Contexto

Equipo de CTI interno pequeño, SOC externo y un ciclo anual de panorama de amenaza que no aterrizaba en el día a día.

Qué hicimos

Redefinimos los PIRs por línea de negocio, integramos feeds comerciales con nuestra inteligencia técnica y conectamos la salida de CTI a reglas en el SIEM y a informes mensuales para el comité de riesgos.

Resultado

Reducción del tiempo entre aparición pública de una técnica y regla de detección en producción; nota estratégica trimestral adoptada como insumo formal del comité de riesgos.

Organismo público con servicios críticos al ciudadano

Contexto

Exposición recurrente a hacktivismo y a campañas de phishing dirigidas. CTI dispersa entre correos, canales de comunidad y feeds sin procesar.

Qué hicimos

Centralizamos la colecta sobre un proceso F3EAD, añadimos monitorización de abuso de marca y dominios typosquatting, y enlazamos los hallazgos con el retainer de IR para acortar el tiempo de respuesta cuando una campaña se materializaba.

Resultado

Detección temprana de varias campañas antes de llegar al usuario final, proceso de take-down coordinado con el registrador y playbook de respuesta a campañas dirigidas integrado con el SOC.

Grupo industrial con cadena de suministro dispersa

Contexto

Preocupación por ransomware dirigido al sector y por filtraciones de credenciales de empleados y terceros.

Qué hicimos

Desplegamos monitorización de filtraciones en mercados cerrados, alertas tempranas sobre ransomware activo contra el sector y fichas operativas de los grupos más relevantes, con foco en los TTPs que la organización podía detectar con su stack.

Resultado

Credenciales filtradas rotadas antes de ser explotadas; plan de respuesta ante ransomware sectorial actualizado con TTPs reales y ensayado dos veces en el año con el retainer de IR.

Errores frecuentes

Lo que NO es CTI

Seis patrones que vemos con frecuencia y que explican por qué muchos programas de CTI no generan valor real. Los evitamos desde el diseño del servicio.

  • × Comprar feeds de IoC y volcarlos al SIEM sin contexto ni puntuación de fiabilidad: más alertas, peor calidad.
  • × Confundir CTI con 'un informe anual de tendencias': si no hay ciclo operativo ni PIRs, no es inteligencia.
  • × Publicar fichas de actor sin TLP y sin distribuidor claro.
  • × Ignorar la capa estratégica y quedarse solo en IoCs tácticos: deja al consejo sin lectura propia del riesgo.
  • × Inteligencia desacoplada del SOC y del IR: bonitos informes que no cambian ninguna detección ni ningún playbook.
  • × Usar el nombre llamativo del actor sin validar atribución: atribuir es difícil, y CTI seria lo sabe.

Preguntas frecuentes

Dudas típicas sobre CTI

¿Qué es exactamente Cyber Threat Intelligence y en qué se diferencia de Threat Hunting?
CTI es la producción estructurada de conocimiento sobre amenazas: quién ataca, cómo, por qué y qué hacer al respecto. Threat Hunting, en cambio, es la búsqueda activa de actividad adversaria en tus propios datos. La CTI alimenta al hunting (hipótesis, TTPs, IoCs) y al SOC (reglas, contexto, priorización); el hunting valida la CTI contra la realidad de tu entorno. Son servicios complementarios, no sustitutivos.
¿Qué modelos y estándares usáis?
MITRE ATT&CK para técnicas y tácticas, Diamond Model of Intrusion Analysis para modelar eventos (adversario–capacidad–infraestructura–víctima), F3EAD como ciclo de producción de inteligencia, TLP v2.0 de FIRST.org para marcado y distribución, y STIX 2.1 / TAXII 2.1 cuando procede compartir en formatos estructurados. Los PIRs y SIRs ordenan la colecta.
¿Qué son los PIRs y por qué son tan importantes?
Los Priority Intelligence Requirements son las preguntas clave que la organización necesita que la CTI responda: qué activos proteger, qué actores importan, qué decisiones hay que tomar. Sin PIRs claros, la CTI se convierte en ruido y en feeds que nadie consume. Por eso son la primera pieza del servicio y se revisan al menos trimestralmente.
¿Hacéis atribución de actores? ¿Con qué criterio?
Hacemos atribución operativa con clusters de actividad y etiquetas internas cuando la evidencia lo permite, y somos muy cuidadosos con la atribución pública a grupos nombrados. Atribuir a un APT concreto requiere múltiples vectores y corroboración; cuando la confianza no llega, lo decimos con claridad. Exagerar la atribución engaña al decisor y daña la credibilidad del servicio.
¿Cómo integra esto con nuestro SOC y nuestro IR?
La CTI alimenta reglas de detección en SIEM/EDR, prioriza alertas existentes, enriquece casos de IR con contexto de actor y TTPs, y guía al equipo de hunting hacia hipótesis relevantes. Trabajamos sobre tu SOC (propio o externo) y tu equipo de IR, y si Hard2bit opera el SOC/MDR y el retainer de IR, la integración es inmediata.
¿Qué diferencia CTI de una suscripción a feeds de amenaza?
Un feed es una tubería de datos; la CTI es un servicio de análisis y decisión. Un feed produce lista de IPs; la CTI te dice qué IPs importan para ti, por qué y qué hacer. CTI bien hecha consume feeds, pero no los sustituye.
¿CTI sirve como evidencia para DORA, NIS2 o ISO 27001?
Sí. Los tres marcos reconocen la necesidad de inteligencia de amenazas. El servicio genera evidencias útiles para demostrar capacidad de detección de amenazas emergentes y toma informada de decisiones: informes periódicos, registro de alertas accionadas, integración con el proceso de gestión de riesgos y trazabilidad de mejoras derivadas. Encaja con DORA, NIS2 e ISO 27001.
¿Cuánto se tarda en ver valor?
Las primeras alertas tácticas y fichas de actor entregan valor en las primeras semanas. El ciclo estratégico y el encaje con el resto de la operación (SOC, IR, gestión de riesgos) se consolida a lo largo del primer trimestre. La revisión trimestral de PIRs es la que asegura que el servicio no se queda estancado.

Servicios relacionados

El ciclo de defensa completo

CTI aporta el contexto; el hunting caza en los datos; el SOC opera la detección; el retainer de IR actúa cuando toca. Juntos cierran el ciclo.

Threat Hunting SOC/MDR 24/7 Retainer IR 24/7 Respuesta a incidentes Forense digital Red Team Gestión de vulnerabilidades CISO virtual (vCISO) DORA NIS2 Sector financiero

CTI que cambia lo que detectáis, lo que decidís y cuándo lo hacéis.

Piloto de 30 días: PIRs, colecta inicial y primeras entregas tácticas, operacionales y estratégicas sobre tu sector antes de adoptar el servicio recurrente.

Reservar piloto de CTI Ver Threat Hunting