Inteligencia de amenazas y monitorización
La inteligencia de amenazas suena como algo que solo hacen los grandes equipos de seguridad. No lo es. En su esencia, la inteligencia de amenazas consiste en responder a una simple pregunta: «¿Qué ataques están ocurriendo a empresas como la nuestra y somos vulnerables?»
No necesita un analista de amenazas dedicado. Necesita las fuentes correctas, un proceso para revisarlas y una forma de convertir la información en acción.
¿Qué es la inteligencia de amenazas?
La inteligencia de amenazas es información sobre amenazas — quién ataca, cómo lo hace y qué tiene como objetivo. Viene en varias formas:
| Tipo | Qué le dice | Ejemplo | Capacidad de acción |
|---|---|---|---|
| Estratégica | Tendencias a largo plazo, motivaciones de actores de amenazas | «Los grupos de ransomware apuntan al sector sanitario» | Informa la planificación |
| Táctica | TTPs (tácticas, técnicas, procedimientos) | «Los atacantes usan spear-phishing con archivos PDF adjuntos» | Informa las defensas |
| Operacional | Campañas específicas, temporización | «La campaña X está activa esta semana apuntando a nuestro sector» | Informa la respuesta |
| Técnica | IOCs (indicadores de compromiso) | Direcciones IP, hashes de malware, dominios | Bloqueo directo |
Para las pequeñas empresas, enfóquese en la inteligencia táctica y operacional. La estratégica es buena de conocer. Los IOCs técnicos solo son útiles si tiene la infraestructura para usarlos.
Por qué importa la inteligencia de amenazas
Conozca a su enemigo
Sin inteligencia, la seguridad es genérica. Con ella, puede enfocarse en lo que importa.
Sin inteligencia: «¿Deberíamos preocuparnos por... todo?»
Con inteligencia: «Los grupos de ransomware apuntan activamente a empresas que usan [software que nosotros usamos]. Deberíamos verificar nuestros parches y estrategia de copia de seguridad.»
Proactivo vs. reactivo
La inteligencia le permite prepararse antes de que lleguen los ataques. Cuando cae una nueva vulnerabilidad, sabrá si su sector está siendo atacado antes de que le ataquen.
Priorización
Los recursos limitados significan elegir en qué trabajar. La inteligencia le dice qué vulnerabilidades se están explotando activamente, no solo las que son teóricamente explotables.
Fuentes gratuitas de inteligencia de amenazas
No necesita pagar por inteligencia de amenazas. Muchas fuentes de alta calidad son gratuitas.
CISA (Cybersecurity and Infrastructure Security Agency)
Catálogo de Vulnerabilidades Explotadas Conocidas (KEV)
El catálogo KEV lista vulnerabilidades que están siendo activamente explotadas en el mundo real. Si está en esta lista, parchee inmediatamente.
Enlace: cisa.gov/known-exploited-vulnerabilities-catalog
Cómo usarlo:
- Suscríbase a actualizaciones por correo o RSS
- Cruce con sus escaneos de vulnerabilidades
- Las vulnerabilidades KEV deben tener la máxima prioridad
Otros recursos de CISA:
- CISA Alerts — Avisos sobre amenazas actuales
- Shields Up — Orientación de amenazas elevadas
- StopRansomware.gov — Orientación específica sobre ransomware
MITRE ATT&CK
ATT&CK es una base de conocimientos de tácticas y técnicas adversarias. Le dice CÓMO operan los atacantes.
Enlace: attack.mitre.org
Cómo usarlo:
- Entender los patrones de ataque
- Mapear sus defensas a las técnicas
- Usar para el modelado de amenazas y las reglas de detección
Secciones clave:
- Enterprise Matrix — Tácticas/técnicas para entornos empresariales
- Groups — Perfiles de actores de amenazas conocidos
- Software — Malware y herramientas usadas por los atacantes
Have I Been Pwned (HIBP)
El servicio de Troy Hunt rastrea las brechas de datos. Si el dominio de su empresa aparece en las brechas, los atacantes tienen credenciales de sus empleados.
Enlace: haveibeenpwned.com
Cómo usarlo:
- Registre su dominio para recibir notificaciones: haveibeenpwned.com/DomainSearch
- Reciba alertas cuando los correos de empleados aparezcan en brechas
- Fuerce el restablecimiento de contraseñas para las cuentas afectadas
- API disponible para automatización
Configuración de búsqueda de dominio:
- Pruebe la propiedad del dominio (registro DNS TXT o verificación por correo)
- Suscríbase a las notificaciones
- Reciba alertas cuando nuevas brechas incluyan su dominio
- Actúe sobre las notificaciones en 24 horas
ISACs del sector
Los Centros de Análisis e Intercambio de Información (ISACs) comparten inteligencia de amenazas específica por sector.
| Sector | ISAC | Enlace |
|---|---|---|
| Servicios financieros | FS-ISAC | fsisac.com |
| Sanidad | Health-ISAC | h-isac.org |
| Comercio minorista | Retail & Hospitality ISAC | rhisac.org |
| Tecnología | IT-ISAC | it-isac.org |
| Multi-estado | MS-ISAC | cisecurity.org/ms-isac |
La mayoría ofrece niveles de membresía gratuitos o son gratuitos para organizaciones pequeñas.
Boletines de seguridad de proveedores
Sus proveedores de tecnología publican avisos de seguridad. Suscríbase a ellos.
| Proveedor | Enlace al boletín de seguridad |
|---|---|
| Microsoft | msrc.microsoft.com |
| Apple | support.apple.com/security-updates |
| Google (Cloud) | cloud.google.com/security/bulletins |
| AWS | aws.amazon.com/security/security-bulletins |
| GitHub | github.blog/changelog (etiquetado de seguridad) |
| Atlassian | confluence.atlassian.com/security |
Otras fuentes gratuitas
| Fuente | Qué proporciona | Enlace |
|---|---|---|
| NIST NVD | Base de datos de vulnerabilidades | nvd.nist.gov |
| Exploit-DB | Exploits públicos | exploit-db.com |
| AlienVault OTX | Indicadores de amenazas comunitarios | otx.alienvault.com |
| SANS Internet Storm Center | Amenazas actuales en Internet | isc.sans.edu |
| The Hacker News | Noticias de seguridad | thehackernews.com |
| Krebs on Security | Cobertura detallada de brechas | krebsonsecurity.com |
| BleepingComputer | Noticias de ransomware y malware | bleepingcomputer.com |
Configurar la monitorización de brechas
Monitorización de dominio con HIBP
Configuración paso a paso:
-
Introduzca su dominio y elija el método de verificación:
- Registro DNS TXT (añadir
have-i-been-pwned-verification=...al DNS) - Verificación por correo (correo a security@, admin@, etc.)
- Registro DNS TXT (añadir
-
Una vez verificado, verá las brechas existentes que contienen su dominio
-
Configure las notificaciones:
- Notificación inmediata para nuevas brechas
- Especifique las direcciones de correo de los destinatarios
-
Configure un proceso de respuesta (ver abajo)
Proceso de respuesta a notificaciones de brechas
Cuando reciba una notificación de brecha:
## Procedimiento de respuesta a alertas de brecha
### En 1 hora
1. Identifique las cuentas afectadas
- ¿Qué direcciones de correo están en la brecha?
- ¿A qué sistemas tienen acceso esos usuarios?
2. Evalúe el contenido de la brecha
- ¿Contraseñas? (fuerce el restablecimiento inmediatamente)
- ¿Datos personales? (notifique a los usuarios afectados)
- ¿Otras credenciales? (rote)
3. Acciones inmediatas
- Fuerce el restablecimiento de contraseña para los usuarios afectados
- Invalide las sesiones activas
- Habilite MFA si aún no está (fuerce la reinscripción si ya está habilitado)
### En 24 horas
4. Investigue el acceso potencial
- Verifique los registros de inicio de sesión para actividad sospechosa
- Revise el acceso a sistemas sensibles
- Busque señales de compromiso
5. Notificación a los usuarios
- Informe a los usuarios afectados sobre la brecha
- Explique qué datos fueron expuestos
- Oriente sobre cambios de contraseña y vigilancia
### En 1 semana
6. Remediación
- Aborde las vulnerabilidades que revela la brecha
- Refuerce los controles si es necesario
7. Documentación
- Documente el incidente en el registro de seguridad
- Registre las lecciones aprendidas
Servicios de monitorización de credenciales
Más allá de HIBP, considere estos servicios para la monitorización de credenciales:
| Servicio | Características | Costo |
|---|---|---|
| SpyCloud | Monitorización empresarial de credenciales | De pago |
| Recorded Future | Monitorización de la dark web | De pago |
| Flare | Inteligencia de la dark web | De pago |
| HIBP Enterprise | API para comprobación de credenciales | Precio moderado |
| Dehashed | Búsqueda de brechas | Bajo costo |
Para las pequeñas empresas, la monitorización de dominio de HIBP cubre los aspectos esenciales. Actualice cuando la escala lo exija.
Convertir la inteligencia en acción
La inteligencia es inútil si no actúa sobre ella.
Flujo de trabajo de consumo de inteligencia
- Recopilar fuentes — CISA, HIBP, boletines de proveedores, noticias
- Filtrar y clasificar — ¿Es relevante para nuestro stack? ¿Se está explotando activamente?
- Evaluar el impacto — ¿somos vulnerables? ¿qué está en riesgo?
- Tomar acción — parchear, bloquear, alertar, investigar
- Documentar y aprender — actualizar los libros de ejecución, mejorar la detección
Proceso de revisión semanal de amenazas
Reserve 30–60 minutos semanales para la revisión de inteligencia de amenazas:
## Revisión semanal de inteligencia de amenazas
Fecha: [Fecha]
Revisor: [Nombre]
### Fuentes revisadas
- [ ] Actualizaciones del KEV de CISA
- [ ] Boletines de seguridad de proveedores (listar los relevantes)
- [ ] Notificaciones de HIBP
- [ ] Noticias de seguridad (historias principales)
- [ ] Alertas del ISAC del sector
### Elementos relevantes esta semana
| Fuente | Amenaza/Vulnerabilidad | ¿Relevante para nosotros? | Acción necesaria |
|--------|------------------------|--------------------------|-----------------|
| CISA KEV | CVE-2024-XXXX (Nombre) | Sí (usamos X) | Parchear antes de [fecha] |
| Boletín AWS | Actualización de política S3 | Sí | Revisar políticas |
| Noticias | Campaña de ransomware en el sector | Concienciación | Compartir con el equipo |
### Acciones tomadas
1. [Acción tomada con detalles]
2. [Acción tomada con detalles]
### Compartido con el equipo
- [ ] Elementos críticos compartidos en el canal #security
- [ ] Elementos relevantes añadidos a la próxima reunión del equipo
### Notas para la próxima semana
[Cualquier elemento de seguimiento o cosas a observar]
Integrar la inteligencia con la gestión de vulnerabilidades
Conecte la inteligencia de amenazas con sus prioridades de parcheo:
| Fuente de inteligencia | Integración con gestión de vulnerabilidades |
|---|---|
| CISA KEV | Escalar automáticamente cualquier vulnerabilidad en la lista KEV a Crítico |
| Boletines de proveedores | Verificar los resultados del escáner contra los boletines |
| Exploit-DB | Si existe exploit, aumentar la prioridad |
| Alertas del sector | Enfocarse en los sistemas mencionados en las alertas |
Ejemplo: Integración con CISA KEV
# Ejemplo: Verificar vulnerabilidades contra KEV
import requests
def check_against_kev(cve_ids: list) -> list:
"""Check if CVEs are in CISA KEV catalog"""
kev_url = "https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json"
response = requests.get(kev_url)
kev_data = response.json()
kev_cves = {vuln['cveID'] for vuln in kev_data['vulnerabilities']}
return [cve for cve in cve_ids if cve in kev_cves]
# Uso: Verificar los resultados de su escaneo de vulnerabilidades
scan_results = ['CVE-2024-1234', 'CVE-2023-5678', 'CVE-2022-9999']
critical_vulns = check_against_kev(scan_results)
print(f"CVEs en KEV (parchear inmediatamente): {critical_vulns}")
Panorama de amenazas por sector
Los diferentes sectores se enfrentan a amenazas distintas. Enfoque su inteligencia en consecuencia.
Tecnología/SaaS
Amenazas principales:
- Ataques a la cadena de suministro (dependencias, CI/CD)
- Relleno de credenciales contra cuentas de usuarios
- Abuso de API
- Robo de código fuente
Áreas de enfoque:
- Alertas de vulnerabilidades de dependencias
- Avisos de seguridad de GitHub
- Boletines del proveedor en la nube
Servicios financieros
Amenazas principales:
- Compromiso de correo empresarial
- Robo de credenciales
- Fraude de transferencias bancarias
- Fraude en cajeros automáticos/tarjetas de pago
Áreas de enfoque:
- Alertas de FS-ISAC
- Informes de tendencias de fraude
- Orientación regulatoria
Sanidad
Amenazas principales:
- Ransomware (objetivo muy frecuente)
- Vulnerabilidades de dispositivos médicos
- Robo de PHI
Áreas de enfoque:
- Health-ISAC
- Alertas de dispositivos médicos de la FDA
- Orientación de ciberseguridad del HHS
E-commerce/Comercio minorista
Amenazas principales:
- Skimming de pagos (Magecart)
- Toma de cuentas
- Manipulación de inventario/precios
- DDoS en temporadas altas
Áreas de enfoque:
- Alertas del PCI Security Council
- Retail-ISAC
- Avisos de amenazas en temporada festiva
Inteligencia de amenazas sin sobrecarga
Un modo de fallo común: suscribirse a todo y ahogarse en alertas.
Gestionar el volumen
Clasifique sus fuentes:
- Nivel 1 (revisión diaria): CISA KEV, HIBP, boletines críticos de proveedores
- Nivel 2 (revisión semanal): ISAC del sector, noticias de seguridad, otros boletines
- Nivel 3 (escaneo mensual): Informes de investigación, análisis estratégico
Filtre sin piedad:
- ¿Es esto relevante para nuestro stack tecnológico?
- ¿Se está explotando activamente?
- ¿Tenemos el componente afectado?
Automatice donde sea posible:
- Feeds RSS a un agregador
- Reglas de correo para categorizar por urgencia
- Scripts para verificar KEV contra su inventario
Señal vs. ruido
| Alta señal (actúe sobre ella) | Baja señal (solo concienciación) |
|---|---|
| CVE en un componente que usa | CVE en un componente que no usa |
| Activamente explotado (KEV) | Vulnerabilidad teórica |
| Brecha que contiene su dominio | Brecha en empresa sin relación |
| Ataque dirigido a su sector | Panorama general de amenazas |
| Boletín de seguridad de su proveedor | Boletín de un proveedor aleatorio |
Construir detección desde la inteligencia
La inteligencia de amenazas informa qué buscar en sus registros.
Ejemplo: Convertir inteligencia en detección
Inteligencia: «Los atacantes apuntan a los dispositivos VPN con relleno de credenciales usando credenciales de la brecha X.»
Respuesta de detección:
- Verifique si algún empleado estaba en la brecha X (HIBP)
- Revise los fallos de inicio de sesión en VPN (busque picos)
- Cree alerta: «Fallos de inicio de sesión en VPN desde nuevos rangos de IP»
- Fuerce el restablecimiento de contraseña para las cuentas potencialmente comprometidas
Regla de alerta pseudo:
# Alerta: Detección potencial de relleno de credenciales en VPN
name: VPN Credential Stuffing Detection
trigger:
condition: count > 10
window: 5m
filter:
event_type: vpn_login_failed
group_by: source_ip
action:
- alert: security-team
- severity: high
Detección basada en MITRE ATT&CK
Mapee sus capacidades de detección a las técnicas de ATT&CK:
| Técnica ATT&CK | Método de detección | Fuente de registro |
|---|---|---|
| T1078 (Cuentas válidas) | Viaje imposible, horas inusuales | Registros del IdP |
| T1566 (Phishing) | Patrones de correo sospechosos | Gateway de correo |
| T1110 (Fuerza bruta) | Múltiples fallos de inicio de sesión | Registros de autenticación |
| T1486 (Datos cifrados) | Cifrado masivo de archivos | Endpoint/registros de archivos |
| T1071 (Protocolo de capa de aplicación) | Tráfico saliente inusual | Registros de red |
Recurso: MITRE ATT&CK Navigator — Visualice su cobertura
Historias reales: la inteligencia de amenazas en acción
Historia 1: La notificación de brecha que salvó cuentas
Una empresa SaaS de 50 personas tenía configurada la monitorización de dominio de HIBP. Un martes por la mañana, recibieron una alerta: 12 direcciones de correo de empleados aparecían en la brecha de un servicio de terceros.
En 1 hora:
- El Security Champion identificó las 12 cuentas afectadas
- Comprobó cuáles tenían MFA habilitado (9 sí, 3 no)
- Forzó el restablecimiento de contraseña para las 12
- Impulsó la inscripción de MFA para las 3 sin él
En 24 horas:
- Revisó los registros de inicio de sesión para actividad sospechosa
- Encontró que una cuenta tenía intentos de inicio de sesión desde una ubicación inusual (fallidos por MFA)
- Notificó a los empleados afectados sobre la brecha de origen
Resultado: Sin compromiso. Los atacantes intentaron las credenciales pocas horas después de que la brecha se hiciera pública, pero el MFA los bloqueó. Sin la monitorización de HIBP, no habrían sabido de la exposición.
Historia 2: El CVE que se parchó antes de la explotación
El Security Champion de una startup incluía el KEV de CISA en su revisión semanal. Un lunes, apareció un nuevo CVE para su framework web en el KEV.
Acciones:
- Verificó los sistemas de producción — versión vulnerable confirmada
- Escaló al equipo de desarrollo inmediatamente
- Parche de emergencia desplegado en 6 horas
- Verificó que no había explotación en los registros
Tres días después: Las noticias de seguridad reportaron explotación masiva de ese CVE. Las empresas que no habían parcheado fueron comprometidas. Esta startup no lo fue.
Historia 3: Alerta del ISAC del sector
Una empresa fintech participaba en FS-ISAC. Recibió una alerta: un actor de amenazas apuntaba a empresas con su integración específica de procesador de pago.
Acciones:
- Revisó los TTPs compartidos en la alerta
- Añadió reglas de detección específicas para el comportamiento descrito
- Realizó una revisión de acceso enfocada en los sistemas de pago
- Informó al equipo sobre qué vigilar
Dos semanas después: Detectaron y bloquearon un ataque que coincidía exactamente con el patrón. La alerta del ISAC había descrito la fase inicial de reconocimiento, que detectaron en sus registros.
Automatización para la inteligencia de amenazas
No dependa de la verificación manual. Automatice donde sea posible.
Agregación de feeds RSS
Recopile todas sus fuentes en un solo lugar:
Lectores RSS gratuitos:
- Feedly — Nivel gratuito disponible, bueno para feeds de seguridad
- Inoreader — Nivel gratuito con filtros
- Miniflux — Auto-alojado, código abierto
Feeds RSS específicos de seguridad:
# Feeds esenciales para añadir
https://www.cisa.gov/cybersecurity-advisories/all.xml
https://krebsonsecurity.com/feed/
https://www.bleepingcomputer.com/feed/
https://feeds.feedburner.com/TheHackersNews
https://isc.sans.edu/rssfeed_full.xml
# Específicos del proveedor (añada los suyos)
https://github.blog/feed/
https://aws.amazon.com/security/security-bulletins/feed/
Automatización de la API de HIBP
Automatice las comprobaciones de credenciales para los correos de los empleados:
#!/bin/bash
# Comprobación semanal de brechas para correos de empleados
# Requiere clave API de HIBP para la búsqueda de dominio
HIBP_API_KEY="your-api-key"
DOMAIN="yourcompany.com"
SLACK_WEBHOOK="your-slack-webhook"
# Obtener cuentas con brechas
BREACHES=$(curl -s -H "hibp-api-key: $HIBP_API_KEY" \
"https://haveibeenpwned.com/api/v3/breacheddomain/$DOMAIN")
if [ ! -z "$BREACHES" ]; then
curl -X POST $SLACK_WEBHOOK \
-H 'Content-type: application/json' \
-d "{\"text\":\"Alerta HIBP: Nuevas brechas detectadas para $DOMAIN. Revise inmediatamente.\"}"
fi
GitHub Actions para revisión semanal
# .github/workflows/threat-intel.yml
name: Weekly Threat Intelligence Check
on:
schedule:
- cron: '0 9 * * 1' # Lunes 9 AM UTC
workflow_dispatch:
jobs:
check-kev:
runs-on: ubuntu-latest
steps:
- name: Download CISA KEV
run: |
curl -o kev.json https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json
- name: Check for new entries
run: |
# Comparar con el snapshot de la semana anterior
# Alertar sobre nuevas entradas
- name: Send summary
run: |
# Publicar en Slack/correo con los nuevos CVEs relevantes
Errores comunes
-
Sobrecarga de información — Suscribirse a todo, leer nada. Priorice sin piedad.
-
Sin proceso de acción — Recopilar inteligencia sin un flujo de trabajo para actuar sobre ella.
-
Enfoque genérico — Seguir amenazas a sectores en los que no está. Enfóquese en SU panorama de amenazas.
-
Ignorar el contexto — Un CVE no es crítico solo porque tiene un CVSS de 9,8. ¿Está en su entorno? ¿Se está explotando?
-
Dependencia de una persona — Si solo una persona lee la inteligencia de amenazas, es un punto único de fallo.
-
Respuesta retrasada — Notificación de HIBP en la bandeja de entrada durante una semana. Actúe rápido.
-
Sin documentación — «Vimos algo sobre esto» no es útil. Rastree lo que revisó y decidió.
-
Olvidar a los proveedores — Las vulnerabilidades de sus proveedores son sus vulnerabilidades.
Consejos de experto
El escaneo diario de 15 minutos
¿No puede hacer una hora semanal? Haga 15 minutos diarios:
- RSS del KEV de CISA (2 min) — ¿Nuevas entradas?
- Panel de HIBP (1 min) — ¿Notificaciones?
- Escaneo de titulares de noticias de seguridad (5 min) — ¿Historias importantes?
- Boletines de proveedores (5 min) — ¿Parches críticos?
- Actualización de elementos de acción (2 min) — Actualizar el seguimiento
Construir conocimiento institucional
No solo reaccione — construya una base de conocimientos:
## Registro de inteligencia de amenazas — 2024
### Amenazas activas que nos afectan
| Amenaza | Primera vista | Estado | Nuestra exposición | Acciones tomadas |
|---------|--------------|--------|-------------------|-----------------|
| CVE-2024-XXXX | 2024-01-15 | Parcheado | 3 servidores | Parcheado 01/17 |
| Campaña de phishing Y | 2024-02-01 | En curso | Concienciación | Formación enviada |
| Grupo de ransomware Z | 2024-02-20 | Activo | Monitorizando | Copias de seguridad extra |
### Evaluación de fuentes de inteligencia
| Fuente | Calidad de señal | Relevancia | Mantener/Eliminar |
|--------|-----------------|-----------|-------------------|
| CISA KEV | Alta | Alta | Mantener |
| Proveedor X aleatorio | Baja | Baja | Eliminar |
Compartir inteligencia con su equipo
No todos necesitan toda la inteligencia. Clasifique su intercambio:
| Audiencia | Qué compartir | Con qué frecuencia | Formato |
|---|---|---|---|
| Equipo de seguridad | Toda la inteligencia relevante | En tiempo real | Canal Slack |
| Equipo de desarrollo | Vulnerabilidades de dependencias, orientación de código | Semanal | Resumen por correo |
| Todos los empleados | Campañas de phishing, concienciación | Cuando sea relevante | Slack/correo |
| Liderazgo | Amenazas principales, tendencias del sector | Mensual | Breve resumen |
Taller: programa de inteligencia de amenazas
Parte 1: Configurar fuentes (1 hora)
-
CISA KEV:
- Suscribirse a las actualizaciones RSS/correo
- Marcar el catálogo como favorito
-
Have I Been Pwned:
- Registrar el dominio de la empresa
- Configurar correos de notificación
- Documentar el proceso de respuesta
-
Boletines de proveedores:
- Listar sus proveedores críticos
- Suscribirse al boletín de seguridad de cada uno
- Configurar carpeta de correo para la clasificación
-
Fuentes del sector:
- Identificar el ISAC relevante
- Suscribirse al nivel gratuito/boletín
- Añadir a la lista de revisión semanal
Entregable: Lista de fuentes suscritas con enlaces
Parte 2: Crear proceso de revisión (1 hora)
- Documentar el procedimiento de revisión semanal
- Crear plantilla de revisión
- Configurar hoja de cálculo o sistema de seguimiento
- Programar tiempo recurrente en el calendario
Entregable: Proceso documentado de revisión de inteligencia de amenazas
Parte 3: Construir flujos de trabajo de respuesta (1 hora)
- Procedimiento de respuesta a notificaciones de brechas de HIBP
- Procedimiento de respuesta a vulnerabilidades críticas
- Criterios de escalada
Entregable: Procedimientos de respuesta para escenarios comunes
Parte 4: Primera revisión (30 minutos)
- Complete su primera revisión de inteligencia de amenazas usando el nuevo proceso
- Documente cualquier hallazgo
- Tome acción sobre cualquier elemento relevante
Entregable: Primera revisión completada con las acciones anotadas
Cómo explicar esto al liderazgo
El discurso:
«Quiero configurar un proceso simple para rastrear las amenazas relevantes para nuestra empresa. Esto significa monitorizar las credenciales filtradas, rastrear las vulnerabilidades que se están explotando activamente y estar al tanto de los ataques dirigidos a nuestro sector. 30 minutos por semana nos mantiene por delante de las amenazas en lugar de reaccionar a ellas.»
El valor:
- Proactivo en lugar de reactivo
- Parcheo priorizado basado en explotación real
- Alerta temprana de exposición de credenciales
- Concienciación sobre amenazas específicas del sector
La solicitud:
«Necesito 30–60 minutos semanales de tiempo protegido para la revisión de inteligencia de amenazas, más permiso para configurar la monitorización de brechas para nuestros dominios.»
La métrica:
«Rastrearemos: (1) cuántas vulnerabilidades parcheamos antes de la explotación, (2) brechas de credenciales detectadas y remediadas, (3) amenazas relevantes identificadas y abordadas.»
Conclusión
La inteligencia de amenazas solo es útil si cambia lo que hace. Un feed de CVEs sobre los que nunca actúa es ruido. Treinta minutos a la semana revisando qué se está explotando activamente y verificando si es vulnerable — eso sí es un programa.
Qué sigue
Siguiente: gestión de la superficie de ataque — entender qué pueden ver los atacantes desde el exterior antes de que lo encuentren ellos mismos.