Fundamentos de la inteligencia de amenazas (7)

Introducción

La inteligencia de amenazas (Threat Intelligence) consiste en aprender cómo piensan y actúan los atacantes para poder defender mejor una organización. No es solo tener herramientas, sino recopilar información, entenderla y usarla para tomar decisiones de seguridad más inteligentes.

Idea clave: datos + contexto = inteligencia. Un dato suelto (por ejemplo, una IP sospechosa) no aporta mucho valor. Pero si añadimos contexto (“pertenece a una campaña de phishing”), entonces ya podemos actuar.

Ideas principales (resumen esquemático)

1) Foundations of Intelligence

• Transforma datos en conocimiento accionable.
• Ayuda a tomar decisiones rápidas y fundamentadas.

2) Threat Classification

• Incidente: evento que compromete o pone en riesgo sistemas.
• Línea base: conocer lo normal para detectar anomalías.
• Amenazas conocidas vs desconocidas (firma vs comportamiento).
• Zero-day: vulnerabilidad sin parche.

---

3. Tipos de actores de amenaza

APT (Advanced Persistent Threat)

Ataques organizados y prolongados en el tiempo, con gran financiación y objetivos claros.

• Advanced: alto nivel técnico.
• Persistent: mantienen acceso durante años.
• Threat: tienen objetivos estratégicos.

Analogía: una operación militar secreta.

Hacktivistas

• Motivación política o social.
• Buscan impacto mediático.

Analogía: activistas que hacen grafitis para llamar la atención.

Crimen organizado

• Objetivo principal: dinero.
• Usan ransomware, robo de datos, cryptojacking.

Analogía: mafia digital.

Estados nación

• Alta sofisticación y recursos.
• Objetivos políticos o militares.

Analogía: servicios secretos en Internet.

Script Kiddies

• Principiantes.
• Usan herramientas sin entenderlas.

Analogía: alguien usando herramientas de cerrajería sin saber usar una cerradura.

Amenazas internas

• Intencionales: robo o sabotaje.
• No intencionales: errores humanos.

Analogía: empleado que roba vs empleado que deja la puerta abierta.

Supply Chain

Ataques que llegan a través de proveedores o software ya comprometido.

Analogía: comprar una caja fuerte defectuosa sin saberlo.

---

4. Commodity Malware y MaaS

• Commodity malware: malware que se vende de forma masiva.
• MaaS (Malware as a Service): malware como servicio con suscripción.

Esto permite que personas con pocos conocimientos lancen ataques complejos.

---

5. TTPs y calidad de la inteligencia

• TTPs: cómo actúan los atacantes.
• Debe ser clara, útil y con acciones recomendadas.
• Debe ser:
  • Oportuna
  • Relevante
  • Precisa

Importante: evitar sesgos en el análisis. A veces pensamos que algo es peligroso solo porque se parece a ataques anteriores.

---

6. Fuentes de inteligencia

OSINT

• Noticias, buscadores, redes sociales.
• WHOIS, DNS, registros.

Analogía: investigar usando información pública.

Closed Source

• Datos internos.
• Feeds de pago.
• Comunidades privadas.

Clave: la información interna es la más importante.

Dark Web

Mercado ilegal donde se venden datos y herramientas.

TLP

Esquema de colores para indicar cómo se puede compartir cierta información 

• RED
• AMBER
• GREEN
• WHITE

Sirve para controlar cómo se comparte la información.

---

7. Compartir inteligencia: comunidades y formatos

La inteligencia de amenazas no sirve de mucho si se queda dentro de una sola organización. Compartir información permite que otras empresas detecten ataques antes y respondan más rápido.

Comunidades de intercambio

• ISAC (Information Sharing and Analysis Center): organizaciones que comparten inteligencia dentro de un sector concreto (banca, energía, salud, etc.).
• ISAO (Information Sharing and Analysis Organization): similares a los ISAC, pero sin limitarse a una industria específica.

Estas comunidades ayudan a compartir:

• Indicadores de compromiso (IoCs)
• Tácticas y técnicas de atacantes
• Buenas prácticas de seguridad

Analogía: es como un grupo de vecinos que se avisan entre sí cuando detectan robos en la zona.

¿Por qué es importante compartir inteligencia?

• Permite detectar amenazas antes de que te afecten.
• Reduce el tiempo de respuesta ante incidentes.
• Mejora la defensa colectiva entre organizaciones.

Ejemplo: si una empresa detecta un malware y comparte su hash, otra empresa puede bloquearlo antes de infectarse.

Formatos y estandarización

Para que la inteligencia se pueda compartir entre herramientas y organizaciones, se necesitan formatos estándar.

• STIX: define cómo describir amenazas (actores, malware, indicadores, relaciones).
• TAXII: define cómo se transportan esos datos entre sistemas.
• OpenIOC: formato para definir indicadores con condiciones.

Analogía: STIX es el idioma en el que escribes el mensaje, TAXII es el sistema de mensajería que lo envía.

Intercambio automatizado

Hoy en día, gran parte de la inteligencia se comparte de forma automática entre herramientas de seguridad:

• Firewalls que actualizan listas de bloqueo automáticamente
• SIEM que recibe feeds de amenazas
• EDR que detecta indicadores conocidos en tiempo real

Esto permite reaccionar en segundos, en lugar de hacerlo manualmente.

Control de la información: TLP

No toda la inteligencia se puede compartir libremente. El Traffic Light Protocol (TLP) se usa para indicar con quién se puede compartir la información.

• TLP:RED: solo para personas específicas (no se comparte fuera).
• TLP:AMBER: dentro de la organización o grupo.
• TLP:GREEN: compartible con la comunidad.
• TLP:WHITE: público.

Analogía: es como poner etiquetas en documentos: “confidencial”, “interno” o “público”.

---

8. Formatos y herramientas

Para poder compartir inteligencia de amenazas entre diferentes herramientas y organizaciones, es necesario utilizar formatos estándar. Esto permite que los datos sean entendidos tanto por personas como por sistemas automatizados.

STIX (Structured Threat Information Expression)

STIX es un lenguaje estándar que permite describir amenazas de forma estructurada.

• Define objetos como: malware, actores, campañas, indicadores, vulnerabilidades.
• Permite relacionar información (ej: qué malware usa un atacante).
• Puede representarse en formato JSON para automatización.

Ejemplo: Un ataque de phishing puede describirse con:

• Threat Actor (quién ataca)
• Campaign (la campaña)
• Indicator (dominio malicioso)
• Malware (si lo hay)

Analogía: STIX es como un “formulario estándar” que todos entienden.

TAXII (Trusted Automated Exchange of Intelligence Information)

TAXII es el protocolo que permite compartir información STIX entre sistemas.

• Funciona como una API para intercambiar inteligencia.
• Permite automatizar el envío y recepción de datos.
• Utiliza conceptos como:
  • Collections: repositorios de información
  • Channels: canales de distribución

Analogía: si STIX es el idioma, TAXII es el sistema de mensajería.

OpenIOC

OpenIOC es un formato diseñado para describir indicadores de compromiso.

• Permite definir condiciones específicas (ej: hash + tamaño de archivo).
• Usa lógica booleana (AND / OR).
• Incluye metadatos y referencias.

Ejemplo: “Archivo es malicioso si: hash = X AND tamaño > 1MB”

Analogía: es como una checklist técnica que define cuándo algo es peligroso.

MISP

MISP (Malware Information Sharing Platform) es una plataforma open source para compartir inteligencia.

• Permite compartir IoCs entre organizaciones.
• Centraliza información de amenazas.
• Facilita la colaboración entre equipos de seguridad.

Analogía: una base de datos compartida de amenazas.

OpenCTI

OpenCTI (Open Cyber Threat Intelligence) es una plataforma para analizar y visualizar inteligencia.

• Relaciona datos entre sí.

---

9. Ciclo de inteligencia

El ciclo de inteligencia es un proceso continuo que permite transformar datos sin procesar en información útil para la toma de decisiones en seguridad.

No es un proceso lineal: se repite constantemente y cada fase mejora a la anterior.

1. Requisitos (Requirements)

   En esta fase se define qué queremos saber. Se identifican dudas, riesgos o necesidades del negocio.

   Ejemplo: “¿Estamos siendo objetivo de ataques de ransomware?”

2. Recopilación (Collection)

   Se obtienen datos de diferentes fuentes:

   • Logs (firewall, servidores, SIEM)
   • OSINT (noticias, redes sociales, feeds)
   • Herramientas de seguridad (EDR, IDS, etc.)

   Aquí no se analiza todavía, solo se recoge información.

3. Análisis (Analysis)

   Se interpretan los datos y se convierten en inteligencia. Se busca contexto y relaciones entre los eventos.

   Ejemplo: “varias máquinas contactan con la misma IP → posible C2 de malware”.

   ⚠️ No todo comportamiento raro es un ataque.

4. Difusión (Dissemination)

   Se comunica la inteligencia a quien la necesita:

   • Equipos técnicos (SOC)
   • Directivos
   • Otras organizaciones (ISAC/ISAO)

   Debe ser clara, entendible y con recomendaciones.

5. Feedback

   Se recoge la opinión del destinatario:

   • ¿Fue útil la información?
   • ¿Faltaba algo?
   • ¿Se necesita más detalle?

   Esto mejora los requisitos de la siguiente iteración.

Aplicación práctica

• Si los indicadores confirman un ataque → se inicia respuesta a incidentes.
• Si no hay ataque → se ajustan controles o se corrigen fallos internos.
• Los resultados se guardan para mejorar detección futura.

Analogía: cocinar una receta

• Requisitos: decides qué quieres cocinar.
• Recopilación: compras los ingredientes.
• Análisis: cocinas y mezclas los ingredientes.
• Difusión: sirves el plato.
• Feedback: prueban la comida y te dicen si mejorarla.

Igual que en la cocina, cada vez lo haces mejor porque aprendes del resultado anterior.

Idea clave para el examen

IMPORTANTE:
El ciclo de inteligencia es continuo. No necesitas completar una fase al 100% para pasar a la siguiente. Toda la información se va refinando constantemente.

---

Glosario

• Threat Intelligence: conocimiento sobre amenazas.
• IoC: indicador de compromiso.
• IoA: indicador de actividad.
• APT: ataque avanzado y persistente.
• OSINT: información pública.
• STIX/TAXII: estándares de intercambio.
• TLP: control de compartición.