Muchas organizaciones todavía tratan la Inteligencia de Amenazas Cibernéticas (CTI) como un producto: un informe, una herramienta, un feed de indicadores o una alerta puntual. El problema de este enfoque es simple: las amenazas no son puntuales, son continuas.

Anticipar ataques requiere algo más robusto: un proceso de inteligencia estructurado, adaptado al sector de la organización, integrado con los equipos de seguridad y capaz de evolucionar a medida que cambia el panorama de amenazas. En este artículo, mostramos cómo construir este proceso paso a paso, con un enfoque en la relevancia, la previsibilidad y el impacto real.

Por qué CTI debe ser un proceso, no un producto

Los productos de inteligencia envejecen rápido. Un informe técnico puede estar desactualizado en semanas; un feed de IoCs, en horas.

Sin embargo, un proceso de inteligencia bien definido permite:

• Ajustar rápidamente el enfoque a medida que el sector se vuelve más atacado.
• Transformar señales débiles en alertas tempranas.
• Priorizar riesgos basados en el contexto real, no en el volumen de datos.
• En otras palabras: el valor de CTI reside en la continuidad, no en la entrega aislada.

Paso 1: Entender su sector y su perfil de riesgo

Antes de recopilar cualquier dato, es necesario responder a preguntas fundamentales:

• ¿Qué tipos de amenazas impactan más a mi sector?
• ¿El riesgo principal es financiero, operativo, regulatorio o reputacional?
• ¿Quiénes son los adversarios más probables: cibercrimen, fraude, ransomware, espionaje?
• ¿Qué activos son más atractivos para un atacante?
• ¿Cuáles son mis “joyas de la corona”, aquello que realmente importa para mi negocio y cómo mi adversario puede aprovecharse de ello?

Un banco, un minorista, una industria y un organismo público no enfrentan el mismo tipo de amenaza, incluso si utilizan tecnologías similares. Sin esta comprensión, CTI corre el riesgo de ser dirigida a monitorear “todo” (tal omnipresencia es algo prácticamente imposible) y no anticipar nada. Lo importante es estar presente en los canales correctos, moviéndose continuamente para identificar y establecer presencia en nuevos canales relevantes.

Paso 2: Definir requisitos de inteligencia claros

Los requisitos de inteligencia son las preguntas que el proceso de CTI necesita responder. Ejemplos:

• ¿Estamos siendo mencionados en foros clandestinos?
• ¿Hay campañas activas contra empresas de nuestro sector?
• ¿Qué técnicas se están utilizando para obtener acceso inicial?
• ¿Hay señales de preparación para ataques estacionales (Black Friday, impuesto sobre la renta, elecciones)?

Estos requisitos guían:

• Qué recopilar
• Dónde recopilar
• Qué analizar
• A quién difundir

Sin requisitos, el equipo se convierte solo en un recolector de datos, no en un productor de inteligencia.

Paso 3: Estructurar la recopilación con enfoque externo

Anticipar amenazas requiere mirar fuera de la organización. Los principales frentes de recopilación incluyen:

• Fuentes abiertas (OSINT): blogs técnicos, redes sociales, comunicados públicos
• Foros y marketplaces clandestinos: venta de accesos, credenciales, kits
• Canales cerrados: Telegram, Discord, grupos regionales
• Fugas de datos y paneles de bandas que extorsionan a sus víctimas
• Infraestructura maliciosa (dominios, hosting, certificados)

El punto central no es el volumen, sino la pertinencia para el sector.

Paso 4: Análisis orientado al comportamiento y al contexto

Los datos brutos no anticipan ataques, los patrones sí. El análisis debe responder a preguntas como:

• ¿Esto ya fue observado antes?
• ¿Este comportamiento es común en mi sector?
• ¿Qué técnicas se están combinando?
• ¿Cuál es el próximo paso probable del adversario?

Marcos de trabajo como MITRE ATT&CK, Cyber Kill Chain y Diamond Model ayudan a:

• Estructurar hipótesis
• Comparar campañas
• Traducir la inteligencia en acción técnica

Aquí, CTI deja de ser descriptivo y pasa a ser predictivo.

Paso 5: Difundir la inteligencia a quien puede actuar

La inteligencia que no llega a quien decide no anticipa nada. Un proceso maduro prevé la difusión segmentada:

• SOC recibe hipótesis técnicas y prioridades de detección
• Red Team recibe perfiles de adversario y TTPs reales
• Equipos de Concienciación reciben temas y pretextos activos
• GRC recibe evaluación de riesgo e impacto
• Liderazgo recibe tendencias y escenarios

Cada público necesita la misma inteligencia, en formatos diferentes.

Paso 6: Cerrar el ciclo con retroalimentación y ajuste

La anticipación no es estática. El proceso necesita aprender de la práctica:

• ¿La amenaza se confirmó?
• ¿La detección funcionó?
• ¿La alerta fue accionable?
• ¿El riesgo fue bien priorizado?

Esta retroalimentación realimenta:

• Requisitos de inteligencia
• Fuentes monitoreadas
• Criterios de análisis

Esto es lo que transforma CTI en un sistema vivo, no en un repositorio.

Un ejemplo práctico

Una empresa del sector minorista define como requisito anticipar fraudes estacionales. El CTI observa:

• Registro de dominios con términos promocionales
• Venta de kits de phishing en portugués
• Aumento de fugas de credenciales de clientes

Con esto, la empresa:

• Bloquea dominios antes del ataque
• Ajusta filtros de correo electrónico y DNS
• Alerta a las áreas de negocio y a los clientes

No ocurrió ningún incidente, y este es el mejor resultado posible.

Cómo Resonant le ayuda con esto

Anticipar amenazas no es adivinación. Es un método. Aquí en Resonant, hemos pasado más de 10 años perfeccionando un proceso de inteligencia eficaz que ofrece:

• Claridad sobre el sector y el riesgo
• Disciplina en la definición de requisitos
• Enfoque en el comportamiento del adversario
• Integración con quienes pueden actuar

Las empresas con acceso a esto no eliminan el riesgo, pero llegan antes que el atacante. La pregunta clave no es si usted consume inteligencia, sino si tiene un proceso para producirla de forma continua y relevante para su sector. Si establecer tal proceso en su organización requiere un socio interesado en relaciones a largo plazo, que produzca inteligencia orientada al contexto de su negocio, elija Resonant.