domingo, 1 de marzo de 2026

Fundamentos de la inteligencia de amenazas (7)


Introducción

La inteligencia de amenazas es, básicamente, aprender cómo piensan y actúan los atacantes para poder ir un paso por delante y defender mejor nuestra organización. En lugar de solo instalar herramientas y esperar lo mejor, se trata de recopilar información, entenderla y usarla para tomar decisiones de seguridad más inteligentes.

Ideas principales

  • Qué es la inteligencia de amenazas y por qué es tan importante.

  • Diferentes tipos de amenazas y actores (APT, hacktivistas, crimen organizado, insiders, etc.).

  • Fuentes de inteligencia: abiertas (OSINT), cerradas, internas, dark web, gobiernos, etc.

  • Características de una buena inteligencia: oportuna, relevante y precisa.

  • Niveles de confianza (alta, moderada, baja) en la información que recibimos.

  • Formatos y marcos para compartir indicadores de compromiso (STIX, TAXII, OpenIOC, MISP, OpenCTI).

  • El ciclo de inteligencia: requisitos, recopilación, análisis, difusión y feedback.

  • Gestión de indicadores de compromiso (IoC/IoA) a lo largo de su ciclo de vida.

Explicación de conceptos clave con ejemplos y analogías

1. ¿Qué es la inteligencia de amenazas?

La inteligencia de amenazas es el “conocimiento accionable” sobre adversarios, sus tácticas y sus herramientas para reducir el impacto de los ataques y mejorar la toma de decisiones de seguridad.

Piensa en un sistema de seguridad de un barrio:

  • Los vecinos comparten información sobre robos recientes, matrículas sospechosas y patrones de los ladrones.

  • Con esa información, todos pueden reforzar puertas concretas, instalar cámaras en zonas clave y avisar a la policía con más detalle.

En ciberseguridad es lo mismo: datos sobre ataques + contexto = inteligencia de amenazas que ayuda a priorizar parches, configurar firewalls y mejorar la detección.

2. Fundamentos de inteligencia y clasificación de amenazas

Incidente y línea base

Un incidente es cualquier acción que daña el sistema o aumenta la probabilidad de exponer datos sensibles. Antes de reconocer algo “raro”, primero hay que saber qué es “normal”: eso es la línea base.

Analogía: es como conocer el ruido habitual de tu coche; solo así detectas sonidos extraños que podrían indicar una avería.

Amenazas conocidas vs desconocidas

  • Detección por firma: funciona como una lista de “caras conocidas” de delincuentes: solo detecta lo que ya se ha visto antes.

  • Detección heurística/anómala: observa lo que hace el archivo (comportamiento) en lugar de cómo se ve.

Ejemplo:

  • Firma: “si el archivo tiene hash X, es malo”.

  • Heurística: “si un programa intenta cifrar miles de archivos y conectarse a un servidor raro, aunque no lo conozca, suena a ransomware”.

Zero-day

Un zero-day es una vulnerabilidad que el fabricante todavía no conoce y para la que no existe parche.

  • Zero-day vulnerabilidad: el fallo desconocido.

  • Zero-day exploit: el código que lo aprovecha.

Analogía: una puerta trasera secreta en un edificio que ni el dueño sabe que existe; el ladrón puede entrar sin que los guardias ni las cámaras estén preparados.

3. Tipos de actores de amenaza

Advanced Persistent Threat (APT)

Una APT es como una operación militar secreta: un grupo muy preparado, con recursos, que entra en una red y se queda mucho tiempo sin ser detectado.

  • Advanced: técnicas sofisticadas, financiación, formación.

  • Persistent: siguen un objetivo concreto durante mucho tiempo, con disciplina.

  • Threat: actúan como brazo técnico de un plan político o estratégico.

Ejemplo: un grupo patrocinado por un gobierno que espía a una empresa de defensa durante años para robar diseños.

Hacktivistas

Los hacktivistas son activistas que usan hacking para promover una causa o protestar.

  • Suelen usar herramientas públicas y campañas masivas (DDoS, defacement de webs).

  • Buscan visibilidad, no tanto el sigilo.

Analogía: son como manifestantes que pintan grafitis en la fachada de un edificio para llamar la atención, en lugar de entrar a robar.

Crimen organizado

El crimen organizado en ciberseguridad se centra en ganar dinero.

  • Robo de datos, ransomware, cryptojacking, exfiltración masiva.

  • Aprovechan criptomonedas para lavar dinero.

Piensa en mafias de la vida real, pero trasladadas al mundo digital: secuestran tus datos (ransomware) y piden “rescate”.

Estados nación

Los nation-state actors son grupos patrocinados por gobiernos.

  • Alta sofisticación, infraestructura dedicada, objetivos políticos, económicos o militares.

  • Pueden usar zero-days y técnicas de false flag (hacer parecer que el ataque viene de otro país).

Analogía: son como servicios secretos, pero operando en el ciberespacio.

Script kiddies

Los script kiddies son principiantes que usan herramientas ya hechas sin entenderlas a fondo.

  • Ejecutan exploits “de copia y pega”.

  • Suelen ser fáciles de detectar y sus ataques no son muy avanzados.

Es como alguien que baja herramientas de “forzar cerraduras” en Internet y se pone a probarlas al azar sin entender cómo funciona una cerradura.

Insider threats (amenazas internas)

Las amenazas internas son empleados, contratistas u otros usuarios internos que, intencionadamente o no, generan riesgo.

  • Intencionales: roban datos, sabotean sistemas, buscan venganza o beneficio económico.

  • No intencionales: errores, descuidos, falta de formación; también causan incidentes graves.

Analogía:

  • Intencional: el empleado de una tienda que roba de la caja.

  • No intencional: el empleado que deja la puerta abierta sin querer y permite que entren ladrones.

Medidas clave: principio de mínimo privilegio y controles de acceso robustos, no solo por ubicación en la red.

Amenazas en la cadena de suministro

Las supply chain threats aparecen cuando un proveedor o un componente que usamos viene ya comprometido.
Ejemplo: hardware con chips manipulados o software con backdoors de fábrica.

Analogía: compras una caja fuerte ya perforada por el fabricante, y sin saberlo la instalas en casa de tu cliente.

4. Características de una buena inteligencia

Una buena inteligencia debe:

  • Explicar claramente la amenaza.

  • Relacionarla con el impacto en el negocio.

  • Proponer acciones concretas.

Además, debe cumplir tres características clave:

  1. Oportunidad (timeliness): llega a tiempo para tomar decisiones.

  2. Relevancia: se ajusta a tu entorno y a tu público (técnico, directivo, etc.).

  3. Exactitud (accuracy): la información es correcta y fiable.

Analogía: un parte meteorológico útil no solo dice “hará frío”, sino “mañana lloverá fuerte en tu zona, lleva paraguas y evita la autopista X”.

5. Niveles de confianza

Los proveedores de inteligencia usan niveles de confianza para indicar cuánto se fían de su propia evaluación:

  • Alta confianza: buena calidad de información, fuentes sólidas, pero no es garantía absoluta.

  • Confianza moderada: fuentes creíbles, pero faltan datos o corroboración.

  • Baja confianza: datos dudosos, poco verificados o muy fragmentados.

Además, a menudo se usan:

  • Threat rating: gravedad de la amenaza (por ejemplo, 0–5).

  • Confidence rating: cuánta confianza tenemos en esa valoración (por ejemplo, 0–100).

Analogía: es como un médico que te dice “estamos casi seguros (alta confianza) de que es gripe, pero haremos pruebas para confirmarlo”.

6. Fuentes de inteligencia: abiertas, cerradas e internas

OSINT (Open Source Intelligence)

OSINT es información pública recopilada de forma legítima: noticias, buscadores, registros de Internet, redes sociales, etc.

Ejemplos:

  • Búsquedas avanzadas en Google para encontrar directorios listados o documentos sensibles.

  • Consultas WHOIS para saber quién registró un dominio.

  • Uso de nslookup/dig para extraer información de DNS.

  • Redes sociales y portales de empleo para conocer tecnologías usadas y posibles vectores sociales.

Analogía: investigar una empresa solo con lo que publica en su web, ofertas de trabajo y redes sociales.

Internet registries y DNS

  • RIR (Regional Internet Registries): organizaciones que gestionan bloques de IP por región.

  • DNS: traduce nombres (www.ejemplo.com) a IPs; mal configurado puede revelar información sensible.

  • Zone transfer: copia completa de la zona DNS, muy útil para un atacante si no está restringida.

Analogía: DNS es como la guía telefónica de la empresa; un atacante no debería poder descargarla entera sin control.

Redes sociales y sitios de empleo

  • Permiten perfilar personas y empresas: tecnologías usadas, roles, jerarquías, gustos.

  • Facilitan campañas de phishing muy creíbles (como el ejemplo de “Daniel”, el admin, y su cumpleaños).

Analogía: es como revisar los perfiles públicos de todos los empleados antes de intentar estafar a la empresa.

Deep/Dark Web

En la dark web se compran herramientas maliciosas, datos robados y servicios ilegales. A la vez, es una fuente de inteligencia muy valiosa para fuerzas de seguridad y analistas que saben moverse en ese entorno.

Analogía: un mercado negro en un callejón — peligroso, pero lleno de información sobre el crimen organizado.

Fuentes gubernamentales y equipos de respuesta

  • Boletines gubernamentales: agencias de defensa, seguridad, etc., publican alertas e informes.

  • CERT/CSIRT: equipos que comparten indicadores y análisis de incidentes recientes.

Estas fuentes pueden ser abiertas o cerradas según la sensibilidad de la información.

Closed source e información interna

  • Closed source: datos obtenidos de forma no pública, como registros internos, comunicaciones de dark web monitorizadas, comunidades cerradas, etc.

  • Red interna: logs de eventos, DNS interno, VPN, firewalls, autenticación, etc. Es la fuente más relevante para una organización.

Analogía: comparar noticias de prensa (OSINT) con las cámaras internas y los registros de acceso de tu edificio (datos internos): los segundos son mucho más precisos para tus propios problemas.

Datos clasificados y TLP

  • Los datos clasificados (p. ej., de seguridad nacional) requieren permisos y manejo especial.

  • Traffic Light Protocol (TLP): esquema de colores para indicar cómo se puede compartir cierta información (RED, AMBER, GREEN, WHITE).

Analogía: TLP es como pegatinas de “solo uso interno”, “compartir con socios”, etc., para documentos sensibles.

Suscripciones de inteligencia

  • Feeds comerciales de proveedores de seguridad o integrados en productos (por ejemplo, NGFW con feed propio).

  • Suelen estar adaptados a sectores específicos (banca, salud, etc.).

Ventaja: más calidad y contexto.
Desventaja: coste económico.

7. Compartir inteligencia: comunidades y formatos

Comunidades de intercambio (ISAC, ISAO)

  • ISACs: centros de análisis y compartición específicos por industria (energía, finanzas, salud, etc.).

  • ISAOs: similares, pero sin estar ligados a un sector concreto.

Ayudan a que empresas del mismo sector compartan amenazas e indicadores de forma estructurada.

Indicadores de compromiso (IoC) e indicadores de actividad (IoA)

  • IoC: evidencias de que ya ha ocurrido un compromiso (IP maliciosa, hash de malware, dominio de phishing).

  • IoA: señales de que un ataque está en marcha (comportamientos sospechosos).

Importante: un indicador aislado no basta; debe analizarse con contexto.

Analogía:

  • IoC: encontrar una ventana rota y la caja fuerte abierta.

  • IoA: ver a alguien merodeando con pasamontañas y herramientas.

Ciclo de vida del indicador

  1. Descubrimos un posible indicador.

  2. Lo “vetamos”: validamos si es real y útil.

  3. Lo usamos para detección, respuesta y compartición con terceros.

8. Formatos: STIX, TAXII, OpenIOC, MISP, OpenCTI

STIX (Structured Threat Information Expression)

STIX es un lenguaje estándar para describir inteligencia de amenazas de forma estructurada y legible por máquinas.

Usa objetos (SDO) y relaciones (SRO) para representar:

  • Ataques, campañas, malware, vulnerabilidades, indicadores, actores, etc.

Algunos SDO importantes:

  • Attack Pattern: patrón de ataque (ej. spear phishing).

  • Campaign: conjunto de actividades dirigidas a un objetivo en un periodo concreto.

  • Course of Action: acciones defensivas o de respuesta (reglas de firewall, formación, etc.).

  • Identity: personas, organizaciones o sectores.

  • Indicator: indicador de compromiso o actividad.

  • Intrusion Set: conjunto de campañas y técnicas asociadas a un mismo grupo a lo largo del tiempo.

  • Malware y Malware Analysis: muestra maliciosa y resultados de su análisis.

  • Report, Threat Actor, Tool, Vulnerability, etc.

Analogía: es como un Lego de piezas estándar para describir cualquier ataque de forma que otros sistemas lo entiendan.

TAXII

TAXII define cómo se intercambia la información STIX entre sistemas.

  • Modelos como hub-and-spoke, suscripción, peer-to-peer en versiones antiguas.

  • TAXII 2.1 usa collections (almacenes de objetos) y channels (canales de distribución).

Analogía: STIX es el idioma, TAXII es el “correo” o API que transporta los mensajes.

OpenIOC

Framework de Mandiant para describir indicadores de compromiso en formato legible por máquinas.

  • Incluye metadatos, referencias y definición (con lógica booleana).

Ejemplo: “hash MD5 X AND tamaño de archivo > Y” para considerar un archivo malicioso.

MISP y OpenCTI

  • MISP: plataforma open source para recopilar y compartir IoCs entre organizaciones.

  • OpenCTI: plataforma open source para correlacionar, contextualizar y visualizar CTI.

Ayudan a centralizar, compartir y analizar inteligencia de forma colaborativa.

9. El ciclo de inteligencia

El ciclo de inteligencia es un proceso continuo que transforma datos crudos en inteligencia útil:

  1. Requisitos: definir qué necesitamos saber (prioridades, dudas, objetivos).

  2. Recopilación: obtener datos de las fuentes (logs, OSINT, feeds, etc.).

  3. Análisis: dar sentido a los datos, correlacionar, añadir contexto y extraer conclusiones.

  4. Diseminación: entregar el resultado a quien lo necesita (informes, dashboards, alertas).

  5. Feedback: recibir comentarios, ajustar requisitos y mejorar el proceso.

Analogía:

  • Requisitos: “¿Qué quiero cocinar hoy?”.

  • Recopilación: compras los ingredientes.

  • Análisis: los combinas y cocinas.

  • Diseminación: sirves el plato.

  • Feedback: pruebas y ajustas la receta para la próxima vez.

En incident response, sueles estar sobre todo en recopilación y análisis, pero el ciclo completo ayuda a aprender de cada incidente.

Conclusión / recordatorio para el estudio

  • La inteligencia de amenazas no es solo datos; es contexto y recomendaciones que ayudan al negocio a tomar mejores decisiones de seguridad.

  • Conoce bien los tipos de actores (APT, hacktivistas, crimen organizado, insiders, script kiddies, nation-state) y sus motivaciones.

  • Recuerda las fuentes: OSINT, dark web, boletines gubernamentales, CERT/CSIRT, redes internas y suscripciones comerciales.

  • Memoriza las tres características clave: oportunidad, relevancia y exactitud.

  • Ten claros los niveles de confianza (alta, moderada, baja) y el uso de TLP para compartir información.

  • Entiende la idea general de STIX/TAXII, OpenIOC, MISP y OpenCTI como lenguajes y canales para compartir IoCs.

  • Repasa el ciclo de inteligencia y piensa siempre: “¿en qué fase estoy ahora?” cuando trabajes en un incidente.

Para estudiar, te puede ayudar hacer tus propios ejemplos:

  • Inventa un ataque sencillo (ej. phishing a RRHH) y trata de escribirlo “al estilo STIX” (actor, campaña, malware, indicador, etc.).

  • Dibuja el ciclo de inteligencia y pon un ejemplo real de tu experiencia en cada fase.

Glosario básico

  • Inteligencia de amenazas (Threat Intelligence): conocimiento accionable sobre atacantes, sus técnicas y objetivos para mejorar la defensa.

  • Incidente: evento que daña el sistema o aumenta la probabilidad de exposición de datos sensibles.

  • Línea base: comportamiento normal de sistemas y usuarios, usado como referencia para detectar anomalías.

  • Zero-day: vulnerabilidad desconocida por el proveedor sin parche disponible; su exploit es el código que la aprovecha.

  • APT (Advanced Persistent Threat): grupo muy sofisticado, bien financiado, que mantiene acceso oculto a sistemas durante largo tiempo.

  • Hacktivista: atacante motivado por causas políticas o sociales, que busca llamar la atención sobre un tema.

  • Insider threat: amenaza proveniente de alguien dentro de la organización, con acceso legítimo.

  • OSINT: inteligencia de fuentes abiertas, obtenida de información pública (web, noticias, registros, redes sociales...).

  • IoC (Indicator of Compromise): dato que apunta a que ya se ha producido una intrusión (hash, IP, dominio, etc.).

  • IoA (Indicator of Activity): señal de que un ataque está en curso, basada en patrones de comportamiento.

  • STIX: formato estándar para describir y compartir inteligencia de amenazas mediante objetos estructurados.

  • TAXII: protocolo/API para transportar información STIX entre sistemas.

  • OpenIOC: formato de Mandiant para describir indicadores de compromiso legibles por máquinas.

  • MISP: plataforma open source para compartir IoCs e inteligencia de amenazas entre organizaciones.

  • OpenCTI: plataforma open source para correlación, análisis y visualización de CTI.

  • TLP (Traffic Light Protocol): esquema de colores que indica cómo se puede compartir una información sensible.

  • Ciclo de inteligencia: proceso continuo de requisitos, recopilación, análisis, diseminación y feedback para producir inteligencia utilizable.

at No hay comentarios:
Suscribirse a: Comentarios (Atom)

Fundamentos de la inteligencia de amenazas (7)

Introducción La inteligencia de amenazas es, básicamente, aprender cómo piensan y actúan los atacantes para poder ir un paso ...