Cyber Threat Intelligence (CTI)

🧱 CIBERMURO · Inteligencia de amenazas

Cyber Threat Intelligence (CTI): qué es y cómo utilizar fuentes abiertas de inteligencia

---

📘 1. Introducción

La Cyber Threat Intelligence (CTI) se define como el proceso sistemático de recopilación, análisis y contextualización de información relacionada con amenazas cibernéticas, con el objetivo de apoyar la toma de decisiones en materia de seguridad.

 En entornos SOC, la CTI permite anticipar ataques, priorizar riesgos y mejorar la detección de actividades maliciosas (ENISA, 2023).

El recurso Cyber Threat Intelligence alojado en la plataforma start.me constituye un agregador de fuentes abiertas (OSINT) ampliamente utilizado por analistas de ciberseguridad para consultar indicadores, actores de amenaza y campañas activas.

❓ 2. ¿Qué es la Cyber Threat Intelligence?

La CTI se orienta a responder a tres preguntas fundamentales: quién ataca, cómo lo hace y por qué. A diferencia de la mera recopilación de datos técnicos, la inteligencia de amenazas aporta contexto, atribución y evaluación del impacto potencial de una amenaza (Chismon & Ruks, 2015).

En la práctica, la CTI se clasifica en distintos niveles: estratégica, operativa, táctica y técnica, cada una orientada a diferentes perfiles dentro de una organización.

🧩 3. Tipos de CTI

• CTI estratégica: se enfoca en tendencias, motivaciones y riesgos a largo plazo.
• CTI operativa: analiza campañas, actores de amenaza y tácticas en curso.
• CTI táctica: se centra en técnicas, herramientas y procedimientos (TTPs).
• CTI técnica: incluye indicadores concretos como IPs, dominios, hashes o URLs.

🌐 4. El panel de CTI en start.me

El tablero de CTI en start.me actúa como un punto de acceso centralizado a múltiples fuentes abiertas de inteligencia. Estas fuentes se organizan por categorías y permiten al analista consultar información actualizada sin depender de una única plataforma.

Entre los recursos habituales se incluyen:

• feeds de indicadores de compromiso (IOCs);
• blogs de investigación de amenazas;
• repositorios de malware y ransomware;
• mapas de actividad de actores APT;
• bases de datos de vulnerabilidades y exploits.

🛡️ 5. Uso práctico de la CTI en un SOC

En un SOC, la CTI se utiliza para enriquecer alertas del SIEM, priorizar incidentes y reducir falsos positivos. La correlación de eventos con inteligencia externa permite identificar campañas activas y reconocer patrones de ataque conocidos (MITRE, 2023).

Asimismo, la CTI facilita la detección temprana de amenazas emergentes y contribuye a la mejora continua de reglas de detección y playbooks de respuesta.

⚠️ 6. Limitaciones de las fuentes abiertas

Aunque las fuentes OSINT resultan valiosas, presentan limitaciones como información incompleta, retrasos en la actualización o falta de atribución clara. Por ello, la CTI debe interpretarse de forma crítica y contextualizada, evitando decisiones automáticas basadas únicamente en indicadores aislados (ENISA, 2023).

💡 7. Conclusión

La Cyber Threat Intelligence constituye un componente esencial de la defensa moderna. Herramientas agregadoras como el panel de CTI en start.me facilitan el acceso a fuentes abiertas y permiten al analista mantener una visión actualizada del panorama de amenazas. No obstante, su valor real depende del análisis humano, la contextualización y la correcta integración en los procesos del SOC.

---

📚 Referencias (APA 7)

• Chismon, D., & Ruks, M. (2015). Threat intelligence: Collecting, analysing, evaluating. MWR InfoSecurity.
• ENISA. (2023). ENISA Threat Landscape. European Union Agency for Cybersecurity. https://www.enisa.europa.eu
• MITRE. (2023). ATT&CK Framework. https://attack.mitre.org
• start.me. (s. f.). Cyber Threat Intelligence dashboard. https://start.me/p/wMrA5z/cyber-threat-intelligence

👉 CIBERMURO · Inteligencia aplicada a la ciberseguridad