¿Cómo evalúo la madurez de mi programa CTI?

Evalúa en 5 dimensiones: 1) Fuentes (cuántas y qué calidad), 2) Análisis (humano vs solo automatizado), 3) Productos (qué informes produces), 4) Integración (cómo se consume la inteligencia), 5) Métricas (mides el impacto?). Si solo consumes feeds sin analizar, estás en nivel 1.

¿Cuánto tiempo lleva pasar de nivel 1 a nivel 3?

Típicamente 12-18 meses con un analista dedicado (parcial o completo). El salto más difícil es de nivel 2 a nivel 3 porque requiere pasar de consumir inteligencia de terceros a producir inteligencia propia.

¿Puedo medir el ROI de CTI?

Sí. Métricas: IOCs que bloquearon ataques reales (hit rate), incidentes evitados o detectados más rápido gracias a CTI, reducción de MTTD/MTTR, cobertura ATT&CK mejorada por CTI. El ROI es medible pero requiere tracking disciplinado.

IntermedioCTImadurezmodelosroadmapfundamentos

Niveles de Madurez CTI: De Reactivo a Predictivo

Modelos de madurez CTI: CREST, SANS, y modelo propio de 5 niveles. Cómo evaluar la madurez de tu programa de threat intelligence, qué capacidades necesitas en cada nivel, y roadmap práctico de evolución.

MalwareIntel Research·27 de mayo de 2026·6 min lectura

Serie: Cyber Threat Intelligence — Parte 6

La madurez CTI se mide por la capacidad de producir inteligencia accionable, no por el número de feeds consumidos

Tener 50 feeds de IOCs no significa tener CTI madura. La madurez se mide por la capacidad de transformar datos en decisiones: ¿tu inteligencia cambia cómo operas? ¿Detectas amenazas que antes no veías? ¿Puedes predecir campañas antes de que lleguen? Este artículo define los niveles de madurez y el roadmap para evolucionar.

Modelo de 5 niveles

Nivel 0: Sin CTI (Reactivo puro)

Características:
  - No consume threat intelligence de ninguna fuente
  - Detección basada solo en firmas de AV
  - Respuesta a incidentes completamente reactiva
  - Sin contexto de quién ataca ni cómo

Capacidades: ninguna CTI
Equipo: 0 personas dedicadas a CTI
Herramientas: AV, firewall básico
Típico en: PYMEs sin equipo de seguridad

Nivel 1: Feeds (Automatizado básico)

Características:
  - Consume 1-5 feeds de IOCs (abuse.ch, OTX, CISA KEV)
  - IOCs se integran automáticamente en SIEM/firewall
  - Sin análisis humano: bloqueo automático
  - Sin contexto: IOC = bloquear, sin saber por qué

Capacidades:
  ✓ Bloqueo automatizado de IOCs conocidos
  ✗ Sin análisis de relevancia
  ✗ Sin producción de inteligencia propia
  ✗ Sin mapping a ATT&CK

Equipo: 0 dedicados (SOC analyst configura feeds)
Herramientas: SIEM + feed integration
Inversión: 0-5K EUR/año (feeds gratuitos)
Típico en: PYMEs con SOC básico

Nivel 2: Contextual (Consumo informado)

Características:
  - Consume feeds + informes de vendors (Mandiant, CrowdStrike, ESET)
  - Analista enriquece IOCs con contexto (familia, actor, campaña)
  - Alertas del SIEM se mapean a ATT&CK
  - Se lee inteligencia de terceros para informar decisiones

Capacidades:
  ✓ IOCs contextualizados (no solo bloqueo ciego)
  ✓ Alertas mapeadas a ATT&CK
  ✓ Consumo de informes de vendors
  ✗ Sin producción propia de informes
  ✗ Sin threat hunting basado en CTI
  ✗ Sin participación en sharing groups

Equipo: 1 analista (20-30% dedicación a CTI)
Herramientas: SIEM + MISP o TIP básico + ATT&CK Navigator
Inversión: 5-20K EUR/año
Típico en: Empresas medianas con SOC de 3-5 personas

Nivel 3: Analítico (Producción propia)

Características:
  - Produce informes CTI propios (weekly brief, campaign reports)
  - Threat hunting basado en CTI (hipótesis desde intelligence)
  - Threat modeling para la organización
  - Tracking de actores relevantes para el sector
  - Participa en sharing groups (ISACs, CERTs)

Capacidades:
  ✓ Producción de inteligencia propia
  ✓ Threat hunting basado en CTI
  ✓ Gap analysis (ATT&CK + D3FEND)
  ✓ Compartición con comunidad
  ✓ Threat modeling
  ✗ Sin predicción (aún reactivo a campañas)
  ✗ Sin métricas formales de ROI

Equipo: 1-2 analistas CTI dedicados
Herramientas: MISP + OpenCTI + TheHive + Navigator + CALDERA
Inversión: 20-100K EUR/año
Típico en: Empresas grandes con SOC de 5-15 personas
Salto clave: de consumir a PRODUCIR inteligencia

Nivel 4: Predictivo (Anticipación)

Características:
  - Anticipa campañas antes de que lleguen
  - Inteligencia estratégica para dirección
  - Métricas formales de ROI de CTI
  - Influye en decisiones de negocio (M&A risk, expansion geográfica)
  - Red Team informado por CTI (purple teaming)
  - Contribuye a comunidad (publica IOCs, informes)

Capacidades:
  ✓ Todo lo anterior
  ✓ Anticipación de campañas (predictivo)
  ✓ Inteligencia estratégica al board
  ✓ Métricas de ROI medibles
  ✓ Purple teaming basado en CTI
  ✓ Contribución a comunidad

Equipo: 3-10 analistas CTI + CTI manager
Herramientas: TIP enterprise + OpenCTI + herramientas custom
Inversión: 100K-500K EUR/año
Típico en: Grandes corporaciones, sector financiero, defensa

Dimensiones de evaluación

Dimensión	Nivel 1	Nivel 2	Nivel 3	Nivel 4
Fuentes	1-5 feeds gratuitos	Feeds + vendor reports	Feeds + vendors + OSINT + sharing	Todo + HUMINT + dark web
Análisis	Ninguno (auto)	Enriquecimiento básico	Análisis propio + mapping ATT&CK	SATs + predicción + estratégico
Productos	Ninguno	IOCs contextualizados	Weekly brief + campaign reports	Threat landscape + strategic intel
Integración	Feed → SIEM auto	SIEM + manual triage	SIEM + hunting + IR + red team	Todo + decisiones de negocio
Compartición	Ninguna	Consumo de ISACs	Participación activa en ISACs	Publicación + liderazgo comunidad
Métricas	Ninguna	IOCs bloqueados (count)	Cobertura ATT&CK, hunting results	ROI, MTTD reduction, prediction rate

Roadmap: de nivel 1 a nivel 3 en 18 meses

Meses 1-3: Nivel 1 → Nivel 1.5

1. Definir 3-5 PIRs con CISO
2. Integrar 5 feeds técnicos en SIEM (abuse.ch, OTX, CISA KEV, Maltiverse)
3. Crear dashboard de IOCs bloqueados
4. Empezar a leer 2-3 vendor reports/semana (Mandiant, ESET, CrowdStrike)

Meses 4-6: Nivel 1.5 → Nivel 2

5. Instalar MISP (normalización + enriquecimiento)
6. Mapear alertas del SIEM a ATT&CK (empezar con top 10 alertas)
7. Crear primera capa Navigator de cobertura defensiva
8. Enriquecer IOCs con contexto (familia, actor, confianza)

Meses 7-12: Nivel 2 → Nivel 2.5

9. Producir primer Weekly CTI Brief (interno, 1 página)
10. Primera hipótesis de threat hunting basada en CTI
11. Contactar ISAC de tu sector para unirse
12. Instalar OpenCTI o TheHive para case management

Meses 13-18: Nivel 2.5 → Nivel 3

13. Producir Monthly Threat Landscape para CISO
14. Tracking de 3-5 actores relevantes para tu sector
15. Gap analysis ATT&CK + D3FEND
16. Primer purple team exercise basado en CTI
17. Primeras métricas: cobertura ATT&CK, MTTD
18. Compartir primer set de IOCs con ISAC

Métricas de madurez CTI

Métrica	Qué mide	Target nivel 3
PIR coverage	% de PIRs con fuentes asignadas	100%
IOC hit rate	% de IOCs que detectaron ataques reales	mayor que 5%
MTTD reduction	Reducción de Mean Time to Detect	20-40% mejora
ATT&CK coverage	% de técnicas relevantes con detección	mayor que 70%
Hunting success rate	% de hunts que encontraron actividad	mayor que 10%
Intel products/month	Informes producidos por mes	4-8
Sharing contributions	IOCs/informes compartidos con comunidad	mayor que 0

Conclusión

La madurez CTI no es un destino, es un viaje continuo. El salto más importante es de nivel 2 (consumir) a nivel 3 (producir): es cuando CTI pasa de ser un feed automatizado a ser una capacidad estratégica. El roadmap de 18 meses es realista con un analista dedicado parcialmente. Con este artículo cerramos el Bloque 1 (Fundamentos CTI). El Bloque 2 cubre fuentes y recolección.

Fuentes y referencias

CREST: "Cyber Threat Intelligence Maturity Model" (2019)
SANS: "CTI Maturity Assessment" (Rob Lee)
ENISA: "Threat Intelligence Maturity Model" (2023)
Gartner: "How to Build a Threat Intelligence Program" (2024)