PrincipianteCTIfundamentostiposniveles

Qué es Cyber Threat Intelligence: Tipos y Niveles

Guía fundamental de CTI: definición, los 4 tipos de inteligencia (estratégica, táctica, operacional, técnica), niveles de consumo, y cómo CTI se diferencia de un feed de IOCs. Para analistas SOC que quieren entender CTI.

MalwareIntel Research··6 min lectura
Serie: Cyber Threat Intelligence — Parte 1

CTI transforma datos sobre amenazas en inteligencia que permite tomar mejores decisiones de seguridad

Cyber Threat Intelligence (CTI) no es recibir un feed de IPs maliciosas y bloquearlas en el firewall. Es el proceso de recopilar información sobre adversarios, analizarla en contexto, y producir inteligencia que responda preguntas concretas: "¿Quién nos podría atacar? ¿Cómo? ¿Qué debo priorizar?" La diferencia entre datos y inteligencia es el análisis y el contexto.

Dato vs Información vs Inteligencia

DATO:        185.220.101.34 (una IP)
INFORMACIÓN: 185.220.101.34 es un nodo de salida de Tor
INTELIGENCIA: 185.220.101.34 es un nodo Tor usado por APT28 en campañas
             de credential harvesting contra sector energético europeo
             en Q4 2025. Recomendación: bloquear + monitorizar intentos
             de autenticación desde esta IP contra VPN y Outlook Web.

La inteligencia tiene: contexto (quién, por qué), relevancia (nos afecta?), y acción (qué hacer).

Los 4 tipos de CTI

1. Inteligencia Estratégica

AspectoDetalle
AudienciaCISO, Board, dirección ejecutiva
FormatoInformes ejecutivos, briefings, tendencias
TimeframeMeses a años (visión a largo plazo)
Pregunta que responde"¿Cuáles son las amenazas emergentes para nuestro sector?"
Ejemplo"El ransomware contra sector salud en Europa ha aumentado 40% en 2025. Los grupos Cl0p y BlackCat son los principales actores. Recomendamos aumentar inversión en backup inmutable y segmentación OT."
FuentesInformes de vendors, ENISA Threat Landscape, reportes sectoriales

2. Inteligencia Táctica

AspectoDetalle
AudienciaAnalistas SOC, threat hunters, security engineers
FormatoTTPs mapeados a ATT&CK, playbooks, reglas de detección
TimeframeSemanas a meses
Pregunta que responde"¿Cómo operan los adversarios que nos atacan?"
Ejemplo"LockBit affiliates usan phishing con ISO → LNK → Bumblebee → Cobalt Strike. Persistencia via scheduled task. Lateral via PsExec. Pre-cifrado: vssadmin delete shadows. Detecciones recomendadas: Sysmon Event 1 para cadena ISO-LNK, Event 7045 para PsExec."
FuentesATT&CK, DFIR reports, vendor analyses, sandbox results

3. Inteligencia Operacional

AspectoDetalle
AudienciaIR team, SOC management, CISO
FormatoAlertas de campañas activas, advisories, situational awareness
TimeframeHoras a días (urgente)
Pregunta que responde"¿Hay una campaña activa que nos afecte AHORA?"
Ejemplo"CISA ha publicado advisory: CVE-2024-XXXX en Fortinet está siendo explotada activamente por Volt Typhoon contra infraestructura crítica US/EU. Nuestro FortiGate está en versión vulnerable. Prioridad: parchear en 24h."
FuentesCISA alerts, vendor advisories, ISACs, sharing groups

4. Inteligencia Técnica

AspectoDetalle
AudienciaSIEM, EDR, firewall, IDS (herramientas automatizadas)
FormatoIOCs (IPs, hashes, dominios), reglas YARA/Sigma/Suricata
TimeframeMinutos a horas (tiempo real)
Pregunta que responde"¿Qué indicadores debo bloquear/detectar?"
EjemploFeed de ThreatFox con IPs C2 activas → importar en firewall para bloquear
FuentesFeeds (abuse.ch, OTX, MISP), sandbox results, vendor feeds

La pirámide: de técnica a estratégica

         /\
        /  \     ESTRATÉGICA
       / $$ \    (dirección, largo plazo)
      /------\
     /        \   OPERACIONAL
    /  campañas\  (campañas activas, urgente)
   /------------\
  /              \ TÁCTICA
 /   TTPs, how    \(analistas, medio plazo)
/------------------\
/                    \ TÉCNICA
/  IOCs, hashes, IPs  \(herramientas, tiempo real)
/________________________\

Volumen:  ▲ Mucho (miles de IOCs/día)  →  ▼ Poco (1-2 informes/trimestre)
Valor:    ▼ Bajo (IOC caduca rápido)   →  ▲ Alto (tendencia dura años)
Esfuerzo: ▼ Bajo (automatizable)       →  ▲ Alto (requiere analista senior)

CTI no es un producto, es un proceso

El error: "compramos un feed de IOCs, ya tenemos CTI"

Un feed de IOCs es un input para CTI, no CTI en sí. Sin análisis, contexto y acción, un feed es ruido.

SIN CTI:
  Feed envía 10.000 IPs → firewall las bloquea
  Resultado: 9.950 falsos positivos, 50 ya no están activas, 0 impacto real

CON CTI:
  Feed envía 10.000 IPs → analista filtra por relevancia para nuestro sector
  → 200 IPs relevantes → enriquece con contexto (grupo, campaña, TTPs)
  → 50 IPs de alta confianza → bloquea en firewall + crea hunting rules
  → 5 IPs coinciden con tráfico histórico → investiga como posible compromiso
  Resultado: detección real + mejora de postura defensiva

CTI como ciclo, no como producto

CTI es un ciclo continuo (Intelligence Cycle, cubierto en el siguiente artículo):

1. PLANIFICACIÓN → ¿Qué necesitamos saber?
2. RECOLECCIÓN   → Obtener datos de fuentes
3. PROCESAMIENTO → Normalizar, deduplicar, enriquecer
4. ANÁLISIS      → Convertir datos en inteligencia
5. DIFUSIÓN      → Entregar al consumidor correcto
6. FEEDBACK      → ¿Fue útil? ¿Qué falta?

Niveles de madurez CTI

NivelNombreQué haceHerramientas
0Sin CTIReactivo puro, no consume inteligenciaNinguna
1FeedsConsume feeds de IOCs, bloquea automáticamenteSIEM + feed integration
2ContextualEnriquece alertas con contexto CTI, mapea a ATT&CKMISP, TIP básico
3AnalíticoProduce informes propios, threat modeling, hunting basado en CTIOpenCTI, TheHive, analista dedicado
4PredictivoAnticipa campañas, participa en sharing groups, mide ROI de CTITIP avanzado, equipo CTI, ISACs

La mayoría de organizaciones están en nivel 1-2. El salto a nivel 3 requiere un analista dedicado (parcial o completo).

Roles en un equipo CTI

RolFocoNivel
CTI Analyst (junior)Consumir feeds, enriquecer IOCs, mantener TIP2-3
CTI Analyst (senior)Producir informes, tracking de actores, atribución3-4
CTI Manager/LeadEstrategia CTI, relación con negocio, ISACs, métricas4
Threat HunterUsar CTI para formular hipótesis de caza3-4
CTI EngineerAutomatización, integraciones, pipelines de datos2-3

Conclusión

CTI es la disciplina que convierte datos sobre amenazas en decisiones de seguridad informadas. Los 4 tipos (estratégica, táctica, operacional, técnica) sirven a diferentes audiencias con diferentes urgencias. Empezar con feeds (nivel 1) es válido, pero el valor real llega con contexto y análisis (nivel 3+). El siguiente artículo cubre el Intelligence Cycle, el proceso que estructura todo el trabajo CTI.

Fuentes y referencias

  • SANS: "CTI Fundamentals" (Rob Lee, Katie Nickels)
  • ENISA: Threat Intelligence maturity model
  • FIRST: "Standards and Definitions for Incident Response"
  • Recorded Future: "What is Threat Intelligence?" (definitive guide)
  • NIST SP 800-150: Guide to Cyber Threat Information Sharing

Preguntas frecuentes

Artículos relacionados

Cyber Threat IntelligencePrincipiante

Intelligence Cycle: De la Planificación a la Difusión

Cyber Threat IntelligenceIntermedio

Diamond Model of Intrusion Analysis: Los 4 Vértices

MITRE ATT&CK y D3FENDPrincipiante

MITRE ATT&CK Explicado: Tácticas, Técnicas y Procedimientos

APTs y Threat ActorsAvanzado

Atribución de APTs: Metodología, Errores Comunes y Lecciones Aprendidas

APTs y Threat ActorsPrincipiante

Qué es un APT: Taxonomía, Motivaciones y Patrones Operativos

Threat HuntingIntermedio

Hipotesis de Hunting Basadas en ATT&CK: Guia Practica para Construirlas

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.