Inteligencia de amenazas
Se lee en aproximadamente 4 minutos
Última actualización: 2026-03-01
Qué es la inteligencia de amenazas
La inteligencia de amenazas (Threat Intelligence) es el conocimiento obtenido al recopilar y analizar información sobre amenazas cibernéticas y procesarla en una forma utilizable para la toma de decisiones organizacionales. No es simplemente una acumulación de datos de amenazas, sino información práctica acompañada del contexto de "qué es una amenaza para nuestra organización y cómo debemos responder".
La inteligencia de amenazas se clasifica en 3 niveles. La inteligencia estratégica es para la dirección y muestra el panorama general de amenazas y tendencias de riesgo. La inteligencia táctica es para administradores de seguridad y analiza las técnicas de los atacantes (TTP: Tactics, Techniques, and Procedures). La inteligencia operacional es para operadores SOC y proporciona indicadores de detección concretos como direcciones IP, dominios y hashes de archivos como IoC (Indicators of Compromise).
Como preparación previa para la respuesta a incidentes, utilizar la inteligencia de amenazas permite fortalecer la postura defensiva antes de recibir un ataque.
Fuentes de información y marcos de análisis
Las fuentes de inteligencia de amenazas se dividen en 4 categorías: información pública (OSINT), feeds comerciales, información compartida de la industria y datos internos.
OSINT (Open Source Intelligence): Fuentes públicas como bases de datos CVE, blogs de proveedores de seguridad, informes de análisis de malware e información de amenazas en redes sociales. Gratuitas pero requieren evaluación de confiabilidad.
Feeds comerciales de inteligencia de amenazas: Servicios de pago de proveedores de seguridad. Incluyen distribución automática de IoC, perfiles de atacantes e informes por industria.
Información compartida de la industria: Se comparte información de amenazas con empresas del mismo sector a través de ISAC y comunidades de CSIRT. El intercambio automático en formato STIX/TAXII está estandarizado.
Como marco de análisis, MITRE ATT&CK se utiliza ampliamente. ATT&CK es una base de conocimiento que clasifica sistemáticamente las tácticas y técnicas de los atacantes, y se puede utilizar para el análisis de brechas de cobertura defensiva y el diseño de reglas de detección del SIEM.
Utilización práctica de la inteligencia de amenazas
Enfoques prácticos para utilizar la inteligencia de amenazas en la defensa real de la organización.
Aplicación automática de IoC: Refleja automáticamente las direcciones IP maliciosas, dominios y hashes de archivos obtenidos de feeds en firewalls, IDS/IPS y SIEM. Con STIX/TAXII se puede automatizar desde la recopilación hasta la aplicación.
Caza de amenazas: Busca activamente amenazas no detectadas en los registros y tráfico de red basándose en los TTP de ATT&CK. Utiliza las funciones de consulta del SIEM y las funciones de caza del EDR.
Integración con la gestión de vulnerabilidades: Comprende las "vulnerabilidades realmente explotadas" y utilízalo para priorizar la aplicación de parches. Al considerar no solo la puntuación CVSS sino la situación real de explotación (Exploit in the Wild), puedes concentrar recursos en las vulnerabilidades de mayor riesgo.
Informes a la dirección: Como inteligencia estratégica, informa periódicamente sobre las tendencias de grupos de ataque que apuntan a la industria de la organización, tendencias en técnicas de ataque y cambios en el riesgo.
Construcción de un programa de inteligencia de amenazas
Enfoque gradual para implementar un programa de inteligencia de amenazas en la organización.
Fase 1: Definición de requisitos - Define cuáles son las amenazas para tu organización y qué información se necesita. Identifica las amenazas prioritarias a partir del sector, activos y historial de incidentes.
Fase 2: Construcción de infraestructura de recopilación - Prepara canales como herramientas OSINT, feeds comerciales y participación en ISAC. Implementa un TIP (Threat Intelligence Platform) para gestión unificada.
Fase 3: Análisis y distribución - Analiza la información recopilada y extrae amenazas relevantes. Distribuye resultados en formatos apropiados para SOC, CSIRT, dirección, etc.
Fase 4: Retroalimentación y mejora - Evalúa cómo la inteligencia contribuyó a la defensa y mejora continuamente los procesos. Revisa periódicamente fuentes y métodos para responder a nuevas amenazas como ataques de día cero.
Conceptos erróneos comunes
- La inteligencia de amenazas es una lista de IoC (direcciones IP y valores hash)
- Los IoC son solo una parte de la inteligencia de amenazas. La verdadera inteligencia analiza motivaciones, capacidades y técnicas (TTP) de los atacantes y muestra riesgos concretos y contramedidas para tu organización. Los IoC solos se invalidan cuando el atacante cambia sus técnicas.
- No se puede utilizar inteligencia de amenazas sin contratar un servicio comercial costoso
- Solo con OSINT (bases de datos CVE, blogs de seguridad, MITRE ATT&CK, AlienVault OTX, etc.) se puede construir inteligencia útil. Los servicios comerciales son superiores en exhaustividad y automatización, pero es realista comenzar con fuentes gratuitas y expandir gradualmente.