De fundamentos CTI a operacionalización en el SOC
Cyber Threat Intelligence (CTI) es la disciplina que transforma datos sobre amenazas en inteligencia accionable para proteger organizaciones. Esta serie de 30 artículos cubre el ciclo completo: desde los fundamentos teóricos hasta la operacionalización en el SOC, pasando por fuentes, análisis, herramientas y producción de informes.
Bloque 1: Fundamentos CTI (artículos 1-6) Qué es CTI, tipos y niveles, Intelligence Cycle, Diamond Model, Kill Chain vs ATT&CK, Pirámide del Dolor, niveles de madurez.
Bloque 2: Fuentes y recolección (artículos 7-12) OSINT, dark web intelligence, feeds técnicos, HUMINT, SOCMINT, automatización de recolección.
Bloque 3: Análisis y producción (artículos 13-18) Structured Analytic Techniques, atribución, threat reports, threat modeling, tracking campaigns, CTI para CISO.
Bloque 4: Herramientas CTI (artículos 19-24) MISP, OpenCTI, Maltego, TheHive+Cortex, Yeti+IntelMQ, stack CTI propio.
Bloque 5: Operacionalización (artículos 25-30) De IOC a detección, CTI en el SOC, métricas, compliance (ENS/NIS2/DORA), threat landscape reports, career path.
Guía fundamental de CTI: definición, los 4 tipos de inteligencia (estratégica, táctica, operacional, técnica), niveles de consumo, y cómo CTI se diferencia de un feed de IOCs. Para analistas SOC que quieren entender CTI.
El Intelligence Cycle aplicado a CTI: las 6 fases del ciclo de inteligencia (planificación, recolección, procesamiento, análisis, difusión, feedback). Cómo implementar cada fase en un equipo de seguridad con ejemplos prácticos.
El Diamond Model explicado: framework analítico de 4 vértices (adversario, capacidad, infraestructura, víctima) para estructurar el análisis de intrusiones. Cómo usarlo para pivotar entre indicadores y construir inteligencia accionable.
Comparativa práctica entre Cyber Kill Chain de Lockheed Martin y MITRE ATT&CK: estructura, fortalezas, limitaciones, y cuándo usar cada framework. No son competidores, son complementarios.
La Pirámide del Dolor de David Bianco explicada: por qué bloquear hashes es trivial para el atacante pero detectar TTPs es devastador. Los 6 niveles de indicadores y cómo invertir en los que realmente duelen al adversario.
Modelos de madurez CTI: CREST, SANS, y modelo propio de 5 niveles. Cómo evaluar la madurez de tu programa de threat intelligence, qué capacidades necesitas en cada nivel, y roadmap práctico de evolución.
Investigadores de IMDEA Madrid demuestran que los IOCs aparecen en foros underground 490 dias antes de llegar a VirusTotal y feeds OSINT. Que significa esto para tu programa CTI y como detectar amenazas antes.
No todos los IOCs son iguales. Aprende los 4 criterios que determinan si un Indicador de Compromiso es accionable o solo genera ruido: confianza, relevancia, disrupcion y vinculacion a TTPs.
De OpenIOC a STIX/TAXII 2.1: historia, evolución y comparativa de los estándares de intercambio de inteligencia de amenazas. Objetos STIX, relaciones, transporte TAXII y adopción en plataformas como MISP y OpenCTI.
Guía práctica con 20 fuentes OSINT gratuitas para analistas de Cyber Threat Intelligence: feeds de IOCs, bases de vulnerabilidades, sandboxes, repositorios de informes y herramientas de reputación. Cómo construir un pipeline OSINT operativo.
Guía para analistas CTI sobre monitorización de la dark web: qué vigilar, cómo hacerlo sin exponerse, herramientas comerciales y gratuitas, OPSEC para analistas y consideraciones legales. Credenciales filtradas, ransomware leak sites, foros y mercados.
Análisis detallado de los principales feeds técnicos de Threat Intelligence: ecosistema abuse.ch (MalwareBazaar, ThreatFox, URLhaus, Feodo Tracker), AlienVault OTX, MISP feeds, CISA KEV y Malpedia. Comparativa de 14 feeds con formato, frecuencia, API y coste.
Fuentes de inteligencia no públicas en CTI: ISACs sectoriales (FS-ISAC, H-ISAC, E-ISAC), CERTs nacionales, compartición bilateral, protocolo TLP, trust groups y vendor intelligence. Cómo acceder a inteligencia que no está en feeds abiertos.
Guía completa de SOCMINT (Social Media Intelligence) aplicada a CTI: monitorización de canales Telegram de threat actors, foros underground (XSS, BreachForums, Exploit.in), redes sociales para inteligencia, OPSEC, límites legales y automatización de la recolección.
Cómo automatizar la recolección de inteligencia de amenazas con n8n, MISP y TheHive Cortex. Arquitectura de pipelines CTI, sincronización de feeds, enriquecimiento automático, normalización y deduplicación de IOCs.
Las técnicas analíticas estructuradas (SAT) aplicadas a CTI: Analysis of Competing Hypotheses (ACH), Key Assumptions Check, Red Hat Analysis, sesgos cognitivos y su aplicación práctica a la atribución de APTs.
Framework completo de atribución CTI: niveles de confianza ICD 203, sistema Admiralty/NATO, calidad de evidencias, niveles de atribución (infraestructura a estado), Diamond Model aplicado, errores comunes y buenas prácticas para reportar confianza.
Guía completa para escribir informes de threat intelligence eficaces: tipos de report (tactical, operational, strategic), estructura por audiencia (SOC, CISO, board), TLP, elementos visuales y errores comunes que reducen el impacto de tus análisis.
Comparativa práctica de frameworks de threat modeling: STRIDE (6 categorías de amenaza), PASTA (7 fases orientadas a riesgo), ATT&CK-based (basado en adversarios reales), DREAD, OCTAVE y VAST. Cuándo usar cada uno, ejemplo aplicado y herramientas.
Metodología para conectar IOCs aislados en clusters de actividad y campañas completas: overlap de infraestructura, similitud de código, patrones de TTP, victimología, herramientas de pivoting, convenciones de naming y automatización con grafos.
Cómo traducir la inteligencia de amenazas técnica en decisiones de negocio para el CISO. Productos de inteligencia estratégica, priorización basada en riesgo, briefings ejecutivos, métricas relevantes para la dirección e inversión informada por CTI.
Guía completa de MISP (Malware Information Sharing Platform): instalación con Docker, conceptos core (eventos, atributos, objetos, galaxias, taxonomías), configuración de feeds, sharing groups, sincronización entre organizaciones y automatización con PyMISP.
Guía completa de OpenCTI (Filigran): arquitectura (ElasticSearch, Redis, MinIO, RabbitMQ), modelo de datos STIX 2.1 nativo, knowledge graph, ecosistema de 80+ conectores, dashboards, workspaces de investigación, API GraphQL y comparativa con MISP.
Maltego y SpiderFoot como herramientas de investigacion de infraestructura en CTI. Transforms, modulos, pivoting de IOCs, passive DNS, certificate transparency y mapeo de C2.
TheHive como plataforma de gestion de incidentes y Cortex como motor de enrichment automatizado. Arquitectura, analyzers, responders, integracion con MISP y flujos de respuesta.
Yeti e IntelMQ como alternativas open source para gestion de threat intelligence. Observables, grafos, pipelines de bots, harmonizacion de datos y comparativa con MISP y OpenCTI.
Cómo construir tu propio stack CTI con MISP, TheHive, Cortex y n8n. Arquitectura mínima viable, costes, integración con SIEM/EDR, y roadmap de implementación en 4 semanas para equipos con presupuesto limitado.
Cómo transformar IOCs y reportes de threat intelligence en reglas YARA, Sigma y Suricata operativas. El último paso del ciclo de inteligencia: de la información a la detección automatizada en tu stack de seguridad.
Flujo de trabajo diario del analista CTI integrado en un SOC: revisión matutina de feeds, triage de IOCs, enriquecimiento, correlación, reporting y soporte a threat hunting. Cómo CTI alimenta cada nivel del SOC.