¿Qué es el Intelligence Cycle?

Es el proceso estructurado de 6 fases que guía la producción de inteligencia: 1) Planificación (qué necesitamos saber), 2) Recolección (obtener datos), 3) Procesamiento (normalizar y enriquecer), 4) Análisis (convertir datos en inteligencia), 5) Difusión (entregar al consumidor), 6) Feedback (evaluar utilidad). Originario de la inteligencia militar, adaptado a CTI.

¿Cuál es la fase más importante?

Planificación. Sin saber qué preguntas necesitas responder (Priority Intelligence Requirements), todo el ciclo produce ruido en vez de inteligencia. Un equipo CTI que recolecta todo sin dirección se ahoga en datos irrelevantes.

¿Cómo empiezo a implementar el Intelligence Cycle?

Empieza por Planificación: define 3-5 preguntas que tu organización necesita responder sobre amenazas (PIRs). Ejemplo: '¿Qué grupos de ransomware atacan nuestro sector?' Después busca fuentes que respondan esas preguntas. No intentes cubrir todo.

PrincipianteCTIIntelligence Cycleprocesofundamentos

Intelligence Cycle: De la Planificación a la Difusión

El Intelligence Cycle aplicado a CTI: las 6 fases del ciclo de inteligencia (planificación, recolección, procesamiento, análisis, difusión, feedback). Cómo implementar cada fase en un equipo de seguridad con ejemplos prácticos.

MalwareIntel Research·27 de mayo de 2026·6 min lectura

Serie: Cyber Threat Intelligence — Parte 2

El Intelligence Cycle estructura el proceso CTI para producir inteligencia relevante en vez de acumular datos

El Intelligence Cycle es el framework que organiza el trabajo CTI en 6 fases iterativas. Originario de la inteligencia militar (CIA, DIA), ha sido adaptado para ciberseguridad. Sin un ciclo estructurado, un equipo CTI se convierte en un acumulador de feeds de IOCs sin impacto real en la seguridad de la organización.

Las 6 fases

    ┌──────────────┐
    │ 1. PLANNING  │ ← ¿Qué necesitamos saber?
    └──────┬───────┘
           │
    ┌──────▼───────┐
    │ 2. COLLECTION│ ← Obtener datos de fuentes
    └──────┬───────┘
           │
    ┌──────▼───────┐
    │ 3. PROCESSING│ ← Normalizar, deduplicar, enriquecer
    └──────┬───────┘
           │
    ┌──────▼───────┐
    │ 4. ANALYSIS  │ ← Convertir datos en inteligencia
    └──────┬───────┘
           │
    ┌──────▼───────┐
    │ 5. DISSEM.   │ ← Entregar al consumidor correcto
    └──────┬───────┘
           │
    ┌──────▼───────┐
    │ 6. FEEDBACK  │ ← ¿Fue útil? ¿Qué ajustar?
    └──────┬───────┘
           │
           └──────────→ Vuelve a fase 1

Fase 1: Planificación (Planning & Direction)

La fase más crítica. Define QUÉ necesita saber la organización.

Priority Intelligence Requirements (PIRs):

Son las preguntas que el programa CTI debe responder. Se definen con input del CISO, SOC, IR, y negocio.

Ejemplo PIRs para empresa financiera en España:

PIR-1: ¿Qué grupos de ransomware están atacando activamente al sector
       financiero en Europa? ¿Con qué TTPs?

PIR-2: ¿Hay vulnerabilidades zero-day siendo explotadas en nuestro
       stack tecnológico (Fortinet, Exchange, Citrix)?

PIR-3: ¿Estamos mencionados en foros underground, data leaks,
       o listas de víctimas de ransomware?

PIR-4: ¿Qué técnicas de phishing están usando los atacantes contra
       nuestro sector este trimestre?

PIR-5: ¿Existen amenazas internas (insider threat) documentadas
       en nuestro sector?

Sin PIRs, CTI produce ruido. Un analista sin dirección recopila todo y no produce nada accionable.

Fase 2: Recolección (Collection)

Obtener datos de fuentes alineadas con los PIRs.

Tipo de fuente	Ejemplos	PIRs que cubre
Feeds técnicos	abuse.ch, OTX, MISP, Maltiverse	PIR-2, PIR-4
Vendor reports	Mandiant, CrowdStrike, ESET	PIR-1, PIR-4
Dark web monitoring	Foros, marketplaces, Telegram	PIR-3
OSINT	Twitter/X, blogs de investigadores	PIR-1, PIR-2
Sharing groups	ISACs, CERTs, FS-ISAC	PIR-1, PIR-5
Internal telemetry	SIEM, EDR, email gateway	PIR-4
Vulnerability feeds	CISA KEV, NVD, Vulncheck	PIR-2

Regla: cada fuente debe estar asignada a al menos un PIR. Si una fuente no responde a ningún PIR, no la recojas.

Fase 3: Procesamiento (Processing & Exploitation)

Convertir datos crudos en formato utilizable.

Datos crudos (input):
  - JSON de ThreatFox con 500 IOCs nuevos
  - PDF de Mandiant sobre campaña LockBit Q4
  - Email de FS-ISAC sobre phishing sector financiero
  - 10.000 eventos de phishing del email gateway

Procesamiento:
  1. NORMALIZACIÓN: convertir formatos a esquema común (STIX 2.1)
  2. DEDUPLICACIÓN: eliminar IOCs duplicados entre fuentes
  3. ENRIQUECIMIENTO: añadir contexto (geolocalización, WHOIS, ASN)
  4. FILTRADO: descartar IOCs irrelevantes (IPs internas, dominios CDN)
  5. CORRELACIÓN: vincular IOCs con familias/actores conocidos

Datos procesados (output):
  - 50 IOCs relevantes con contexto (familia, actor, confianza)
  - Resumen de campaña LockBit con TTPs mapeados a ATT&CK
  - Indicadores de phishing sector financiero con reglas Sigma

Herramientas: MISP (normalización + compartición), n8n (automatización de pipelines), scripts Python para parsing.

Fase 4: Análisis (Analysis & Production)

La fase donde los DATOS se convierten en INTELIGENCIA. Requiere analista humano.

Actividades de análisis:

Actividad	Qué produce	Herramientas
Correlación IOC-familia-actor	Attribution con nivel de confianza	MISP, OpenCTI
Mapping a ATT&CK	TTPs del adversario	Navigator, TRAM, Decider
Trend analysis	Tendencias por sector/región	Dashboards, SIEM analytics
Gap analysis	Gaps defensivos vs amenazas	D3FEND, Navigator overlay
Assessment	Evaluación de riesgo por amenaza	Framework de scoring

Productos de análisis:

Producto	Audiencia	Frecuencia
Threat Advisory	SOC, IR	Ad-hoc (urgente)
Weekly CTI Brief	SOC, security team	Semanal
Monthly Threat Landscape	CISO, management	Mensual
Quarterly Sector Report	Board, CISO	Trimestral
Threat Actor Profile	CTI team, hunters	Ad-hoc
Campaign Report	SOC, IR, CTI	Ad-hoc

Fase 5: Difusión (Dissemination)

Entregar la inteligencia al consumidor correcto, en el formato correcto, en el momento correcto.

CONSUMIDOR → FORMATO → CANAL → TIMING

CISO/Board:
  → Executive brief (1 página, no técnico)
  → Email + presentación
  → Mensual o ad-hoc (incidente relevante)

SOC Analysts:
  → IOCs + reglas detección + contexto ATT&CK
  → SIEM/TIP integración automática + Slack/Teams
  → Tiempo real (IOCs) + semanal (brief)

Threat Hunters:
  → TTPs + hipótesis de caza + data sources
  → Wiki/Confluence + briefing verbal
  → Semanal + ad-hoc (nueva campaña)

IR Team:
  → Campaign details + IOCs + remediation
  → Ticket/caso + briefing
  → Ad-hoc (incidente activo)

Herramientas de seguridad:
  → IOCs en formato STIX/CSV
  → API push a SIEM, firewall, EDR
  → Automático (minutos-horas)

Error común: producir un informe brillante que nadie lee porque se envió al consumidor equivocado en formato equivocado.

Fase 6: Feedback

Evaluar si la inteligencia producida fue útil y ajustar el ciclo.

Preguntas de feedback:
  - ¿Los IOCs bloquearon ataques reales? (hit rate)
  - ¿Los informes llevaron a acciones? (accionabilidad)
  - ¿Los PIRs siguen siendo relevantes? (alineación con negocio)
  - ¿Faltan fuentes para algún PIR? (cobertura)
  - ¿El timing fue adecuado? (urgencia)
  - ¿El formato fue útil para el consumidor? (usabilidad)

El feedback reinicia el ciclo: ajusta PIRs, añade/elimina fuentes, cambia formatos.

Implementación práctica: por dónde empezar

Mes 1: Planificación

Definir 3-5 PIRs con CISO y SOC lead
Inventariar fuentes existentes (feeds, vendors, emails)
Mapear fuentes a PIRs (¿cubren las preguntas?)

Mes 2: Recolección + Procesamiento

Configurar MISP o TIP básico
Integrar 3-5 feeds técnicos (abuse.ch, OTX, CISA KEV)
Automatizar normalización con n8n o scripts Python

Mes 3: Análisis + Difusión

Producir primer Weekly CTI Brief
Crear primer Monthly Threat Landscape
Integrar IOCs en SIEM de forma automatizada

Mes 4+: Feedback + Mejora

Reunión mensual de revisión con consumidores
Ajustar PIRs según evolución de amenazas
Añadir fuentes para cubrir gaps

Conclusión

El Intelligence Cycle es el proceso que convierte un equipo que "recibe feeds" en un equipo que "produce inteligencia". La planificación (PIRs) es la fase más importante: sin dirección, todo el ciclo produce ruido. El siguiente artículo cubre el Diamond Model, el framework analítico que estructura el análisis de intrusiones.

Fuentes y referencias

CIA: "The Intelligence Cycle" (declassified training material)
SANS: "CTI Analyst Core Competencies" (2023)
FIRST: "Standards for Threat Intelligence"
Recorded Future: "The Intelligence Handbook" (2024)
NIST SP 800-150: "Guide to Cyber Threat Information Sharing"