Hace unos meses, nuestro director, Rubén Marcu, fue invitado por Aragón Privacidad para impartir una charla en CEOE Aragón sobre qué es la inteligencia y cómo se aplica a la ciberseguridad para comprender mejor las amenazas, espacio que compartió junto a Chabi Angulo de Aragón OSINT.
A partir de esa exposición, y tomando como referencia el primer capítulo de «Inteligencia de amenazas: del caos a la atribución. IA aplicada a Threat Intelligence», de Alfonso Muñoz y Jacobo Blancas, este artículo recoge una introducción básica a la inteligencia de amenazas desde un enfoque técnico y divulgativo.
Datos, información e inteligencia
Para entender la inteligencia aplicada a la ciberseguridad, primero conviene distinguir entre datos, información e inteligencia.
Los datos son elementos en bruto, hechos sin procesar. En ciberseguridad pueden ser direcciones IP, hashes de archivos, nombres de dominio, registros de eventos, marcas temporales, correos electrónicos o cualquier otro artefacto técnico aislado.
La información aparece cuando esos datos se ordenan, se relacionan y se enriquecen con contexto. Una dirección IP aislada puede decir poco. Esa misma IP asociada a una campaña concreta, a una infraestructura maliciosa, a un momento determinado y a una víctima específica ya aporta información. La información permite responder a preguntas como quién, cuándo, dónde y cómo ocurrió algo.
La inteligencia va un paso más allá. Es información analizada en profundidad para comprender el porqué de los hechos y orientar una respuesta. No se limita a describir lo ocurrido, sino que ayuda a interpretar la amenaza, valorar su impacto y decidir qué hacer.
En ciberseguridad, esta disciplina se conoce habitualmente como inteligencia de amenazas o Threat Intelligence. Su finalidad es comprender las capacidades, motivaciones, comportamientos y objetivos de los adversarios, así como el posible impacto que pueden tener sobre una organización.
En resumen, la inteligencia transforma datos e información en conocimiento útil para tomar decisiones y actuar de forma preventiva, defensiva o correctiva.
Inteligencia accionable
El valor de la inteligencia reside en su capacidad para traducirse en acción. Una inteligencia que no permite decidir, priorizar o actuar tiene un valor limitado.
Centrarse únicamente en indicadores de bajo nivel, como una lista de IOC, puede generar una inteligencia frágil. Una relación de direcciones IP maliciosas, hashes o dominios puede ser útil para alimentar sistemas de detección, pero por sí sola no explica necesariamente el contexto de la amenaza, su finalidad ni su relevancia para una organización concreta.
No es lo mismo recibir una alerta genérica que indique la existencia de un determinado malware que recibir inteligencia donde se explique que ese malware está siendo utilizado contra organizaciones del sector financiero, que aprovecha servidores web sin parchear, que forma parte de una campaña activa y que conviene aplicar una actualización concreta, reforzar la monitorización y revisar determinados logs.
En el primer caso hay información aislada. En el segundo, existe inteligencia accionable: conocimiento contextualizado que indica con claridad qué está pasando, por qué importa y qué medidas pueden adoptarse.
Niveles de inteligencia
Con el tiempo se ha consolidado la necesidad de diferenciar varios niveles de inteligencia. Esta división permite ajustar el tipo de conocimiento producido al público que lo consume y a las decisiones que deben tomarse.
No necesita la misma información un consejo de administración que un analista de SOC. Tampoco tiene el mismo valor un informe sobre tendencias globales de ransomware que una regla de detección para identificar una intrusión en curso.
Los niveles más habituales son estratégico, operacional, táctico y técnico.
Inteligencia estratégica
La inteligencia estratégica ofrece una visión amplia y a largo plazo del panorama de amenazas. Su objetivo es ayudar a la toma de decisiones de alto nivel.
En ciberseguridad, sus consumidores habituales son perfiles directivos como CISO, CIO, responsables de riesgo, comités de dirección o consejos de administración. Este nivel permite comprender cómo evoluciona el entorno de amenazas, qué sectores están siendo más atacados, qué actores están ganando relevancia o qué riesgos pueden afectar al negocio.
Por ejemplo, una organización puede concluir que el ransomware representa una amenaza prioritaria para su sector, que los ataques a proveedores están aumentando o que determinados conflictos geopolíticos pueden incrementar el riesgo de campañas de espionaje o sabotaje digital.
Inteligencia operacional
La inteligencia operacional conecta la visión estratégica con la ejecución práctica. Se centra en amenazas concretas que están activas, son inminentes o pueden afectar a la organización en el corto o medio plazo.
Este nivel interesa especialmente a responsables de SOC, equipos de respuesta a incidentes, analistas de seguridad y responsables de operaciones defensivas. Su utilidad está en entender cómo actúan determinados grupos, qué infraestructura usan, qué objetivos persiguen y qué campañas están desarrollando.
Por ejemplo, si la inteligencia estratégica indica que el ransomware es una amenaza prioritaria, la inteligencia operacional puede identificar que un grupo concreto está atacando organizaciones similares mediante accesos RDP expuestos, credenciales robadas o explotación de vulnerabilidades conocidas.
Inteligencia táctica
La inteligencia táctica baja al detalle de las técnicas, tácticas y procedimientos empleados por los atacantes. Se centra en cómo se ejecutan los ataques y cómo pueden detectarse o interrumpirse.
Sus consumidores directos son analistas técnicos, equipos SOC, equipos de respuesta a incidentes, threat hunters y personal encargado de la detección. Este nivel se relaciona con marcos como MITRE ATT&CK, que permiten describir de forma estructurada cómo opera un adversario.
Si la inteligencia operacional indica que un grupo está utilizando RDP expuesto para lanzar campañas de ransomware, la inteligencia táctica explica qué patrones de acceso pueden observarse, qué técnicas de movimiento lateral se emplean, qué comandos suelen ejecutarse o qué comportamientos deben vigilarse en los sistemas afectados.
Inteligencia técnica
La inteligencia técnica es el nivel más detallado y cercano a los sistemas. Incluye indicadores concretos como direcciones IP, dominios, hashes, URLs, nombres de archivos, reglas YARA, firmas, artefactos de malware o patrones detectables en logs.
A veces se considera parte de la inteligencia táctica, pero conviene distinguirla porque su consumo suele estar muy orientado a herramientas automáticas: SIEM, EDR, firewalls, sistemas IDS/IPS, plataformas SOAR o soluciones de threat intelligence.
Su valor está en permitir una respuesta rápida y automatizable. Sin embargo, también es el nivel más volátil. Una IP puede cambiar, un dominio puede abandonarse y un hash puede quedar obsoleto si el atacante recompila el malware. Por eso, la inteligencia técnica es útil, pero no debe confundirse con la totalidad de la inteligencia.
No hay un nivel más importante que otro
No existe un nivel de inteligencia más importante que los demás. Cada uno responde a una necesidad distinta.
La inteligencia estratégica ayuda a anticipar riesgos y orientar prioridades. La operacional permite preparar defensas frente a amenazas concretas. La táctica facilita la detección y respuesta ante técnicas de ataque reales. La técnica alimenta sistemas y controles capaces de reaccionar con rapidez.
Cuando todos los niveles están alineados, la organización obtiene una visión más completa. Puede anticipar amenazas emergentes en el plano estratégico, preparar defensas frente a campañas probables en el plano operacional, detectar y frenar ataques en curso en el plano táctico y alimentar sus sistemas con indicadores precisos en el plano técnico.
El error aparece cuando se reduce toda la inteligencia a listas de IOC o, en el extremo contrario, cuando se elaboran informes estratégicos sin conexión con la operación diaria.
El ciclo de inteligencia
La inteligencia no es un producto estático. Es un proceso cíclico que transforma datos brutos en conocimiento accionable.
Este proceso se conoce como ciclo de inteligencia y permite que las organizaciones no se limiten a acumular indicadores, sino que definan necesidades, seleccionen fuentes, procesen información, analicen resultados, difundan conclusiones y ajusten de nuevo sus prioridades.
De forma general, el ciclo de inteligencia se compone de varias fases: planificación y dirección, recopilación, procesamiento, análisis, difusión y retroalimentación.
En la fase de planificación y dirección se definen las preguntas que la inteligencia debe responder. No se trata de recopilar datos sin criterio, sino de establecer qué necesita saber la organización.
En la fase de recopilación se obtienen datos de fuentes internas y externas: logs, alertas, sensores, fuentes abiertas, informes de proveedores, comunidades sectoriales, repositorios de malware, foros clandestinos o información compartida por organismos públicos y privados.
En la fase de procesamiento, esos datos se limpian, normalizan, ordenan y preparan para su análisis. Aquí se eliminan duplicados, se corrigen errores, se agrupan indicadores y se convierten los datos en un formato útil.
En la fase de análisis, los datos procesados se interpretan. Se buscan patrones, relaciones, hipótesis, tendencias y posibles atribuciones. Esta fase es clave, porque es donde la información empieza a convertirse en inteligencia.
En la fase de difusión, la inteligencia se entrega a quienes deben utilizarla. No todos necesitan el mismo formato. La alta dirección puede requerir un informe ejecutivo, mientras que un SOC puede necesitar reglas de detección, playbooks o indicadores técnicos.
Por último, la retroalimentación permite evaluar si la inteligencia producida ha sido útil, si respondió a las preguntas iniciales y qué nuevas necesidades han surgido. Esa retroalimentación alimenta de nuevo el ciclo.
Limitaciones y mitos de la inteligencia de amenazas
Uno de los errores más comunes es creer que la inteligencia de amenazas protege por sí sola frente a cualquier ciberataque. No es así. La inteligencia ayuda a anticipar amenazas, reducir incertidumbre y priorizar medidas, pero no sustituye otras capas de seguridad.
Una organización puede disponer de buena inteligencia y aun así sufrir un incidente si no aplica parches, no segmenta su red, no controla accesos, no monitoriza sus sistemas o no tiene capacidad de respuesta. Además, los adversarios evolucionan constantemente y pueden aparecer vulnerabilidades desconocidas, como los zero-days.
Otro mito frecuente es pensar que la inteligencia de amenazas es un proceso automático. Comprar una plataforma o suscribirse a un feed de indicadores no equivale a tener inteligencia. Las herramientas pueden acelerar tareas mecánicas, pero no sustituyen el análisis humano ni la contextualización.
La inteligencia requiere definir necesidades, seleccionar fuentes relevantes, depurar datos, analizarlos con criterio y convertirlos en conocimiento útil para una organización concreta. Sin ese proceso, lo que existe es acumulación de datos, no inteligencia.
También se ha extendido la idea de que la inteligencia de amenazas solo sirve para grandes organizaciones. Es cierto que una gran empresa puede desplegar programas más complejos, pero cualquier entidad que gestione datos valiosos, dependa de sistemas digitales o pueda ser objetivo de fraude, extorsión o espionaje puede beneficiarse de la inteligencia.
Ciberdelincuencia organizada
La ciberdelincuencia organizada se refiere a grupos de atacantes que operan de forma coordinada y con motivaciones principalmente económicas.
Durante las últimas décadas, este tipo de delincuencia ha evolucionado desde actividades más aisladas hacia un ecosistema global, rentable y especializado. Hoy existen grupos con división de funciones, modelos de afiliados, soporte técnico, intermediarios, mercados clandestinos, servicios de acceso inicial y canales de monetización.
La década de 2010 consolidó el cibercrimen como un negocio global en expansión. La digitalización de la economía, el crecimiento del comercio electrónico, la proliferación de dispositivos conectados, la aparición de mercados clandestinos en la dark web y el uso de criptomonedas facilitaron nuevas formas de fraude, extorsión y blanqueo.
Bitcoin, surgido en 2009, no hizo anónimas por completo las transacciones, pero sí proporcionó a muchos delincuentes un medio de pago pseudónimo, global y difícil de bloquear de forma inmediata. Esto redujo parte de las fricciones asociadas al cobro de rescates o a la compraventa de servicios ilícitos.
Cómo actúan los cibercriminales
Los cibercriminales actúan mediante modelos cada vez más profesionalizados. Algunos desarrollan herramientas, otros compran accesos, otros ejecutan ataques y otros se especializan en monetizar los datos robados.
Uno de los modelos más habituales es el fraude financiero y el robo de datos. Los atacantes sustraen credenciales bancarias, tarjetas, cuentas corporativas o información personal para cometer fraude, vender esos datos o utilizarlos en campañas posteriores. Mercados como Joker’s Stash o Genesis Market fueron ejemplos de plataformas orientadas a la compraventa de tarjetas robadas, credenciales y perfiles digitales comprometidos.
Otro modelo consolidado es el ransomware como servicio o RaaS. En este esquema, los desarrolladores mantienen la infraestructura y el malware, mientras que afiliados ejecutan los ataques contra víctimas concretas. Después, los beneficios del rescate se reparten. Grupos como LockBit, Conti o REvil ilustran esta lógica de profesionalización. REvil, por ejemplo, llegó a reclamar 70 millones de dólares tras el ataque contra Kaseya en 2021.
También existe el malware como servicio o MaaS. Los delincuentes no necesitan desarrollar sus propias herramientas desde cero. Pueden comprar o alquilar troyanos, keyloggers, infostealers, loaders o kits de phishing listos para usar. Esto reduce la barrera de entrada y permite que actores con menor capacidad técnica participen en campañas complejas.
A ello se suma la compraventa de exploits, accesos iniciales y vulnerabilidades. Los zero-days tienen un valor especialmente alto porque todavía no son públicos y no disponen de parche conocido. Sin embargo, en muchos ataques reales los grupos no necesitan utilizar zero-days: explotan vulnerabilidades conocidas que siguen sin corregirse o credenciales expuestas.
Qué es una APT
Las amenazas persistentes avanzadas, conocidas como APT por sus siglas en inglés, son actores de amenaza sofisticados, con capacidad técnica elevada y operaciones prolongadas en el tiempo. Habitualmente se asocian a Estados o a grupos respaldados por Estados, aunque el término se utiliza a veces de forma amplia para describir campañas avanzadas y persistentes.
Sus motivaciones principales suelen ser el espionaje, la obtención de secretos estatales, militares, industriales o tecnológicos, y en determinados casos el sabotaje o la preparación de capacidades ofensivas. A diferencia de muchos grupos criminales, una APT no busca necesariamente un beneficio económico rápido.
Una APT suele intentar permanecer dentro de una red el mayor tiempo posible sin ser detectada. Su objetivo puede ser extraer información de forma sostenida, observar comunicaciones, preparar operaciones futuras o comprometer sistemas estratégicos.
Estas amenazas pueden utilizar malware desarrollado a medida, técnicas de evasión, explotación de vulnerabilidades, ingeniería social, abuso de credenciales legítimas y movimientos laterales discretos. No siempre recurren a zero-days, pero sí suelen disponer de más recursos, paciencia y capacidad de adaptación que otros actores.
Qué es el hacktivismo
El hacktivismo combina capacidades técnicas propias del hacking con motivaciones ideológicas, políticas o sociales. Los hacktivistas se presentan como activistas digitales y utilizan sus acciones como forma de protesta, presión o denuncia frente a gobiernos, empresas u organizaciones que consideran injustas, opresivas o contrarias a sus valores.
La motivación central del hacktivismo no suele ser económica, sino simbólica o ideológica. Puede estar vinculada a causas políticas, derechos humanos, conflictos internacionales, medioambiente, anticorrupción, libertad de expresión o rechazo a determinadas decisiones institucionales.
A diferencia de una organización criminal jerarquizada o de una APT estatal, muchos movimientos hacktivistas operan de forma distribuida y con estructuras poco formales. Anonymous es el ejemplo más conocido de este modelo: no funciona como una organización tradicional, sino como una identidad colectiva que distintos individuos o grupos pueden adoptar.
Esa estructura dificulta la atribución. No siempre es sencillo determinar si una acción fue realizada por activistas reales, delincuentes que utilizan una causa como cobertura, actores estatales que simulan hacktivismo o individuos sin coordinación clara.
Tipos de acciones hacktivistas
El hacktivismo suele recurrir a acciones visibles, de impacto público y orientadas a difundir un mensaje.
Entre las acciones más habituales se encuentran la desfiguración de sitios web, que consiste en modificar una página para mostrar mensajes de protesta; los ataques DDoS, que saturan servicios para dejarlos inaccesibles; las filtraciones de datos, que buscan exponer información sensible; el doxing, que consiste en publicar información personal de individuos; y las intrusiones o sabotajes de valor simbólico.
A diferencia de las APT, los hacktivistas no suelen buscar una permanencia prolongada ni una extracción silenciosa de información durante meses. Su objetivo acostumbra a ser generar visibilidad, impacto reputacional o presión pública.
No obstante, la frontera puede ser ambigua. Algunas campañas presentadas como hacktivistas pueden encubrir operaciones estatales o criminales. Por eso, en inteligencia de amenazas es importante distinguir entre la reivindicación pública de una acción y la atribución técnica real.
Ciberterrorismo
Dentro de las amenazas ideológicamente motivadas aparece el concepto de ciberterrorismo. El término se refiere al uso de ciberataques por parte de grupos terroristas o individuos con intención terrorista para alcanzar objetivos políticos, religiosos o ideológicos mediante intimidación, coacción o daño grave.
Conviene usar este término con cautela. Muchos incidentes se presentan de forma mediática como ciberterrorismo cuando en realidad corresponden a hacktivismo, ciberdelincuencia, espionaje o sabotaje estatal. Los casos estrictamente atribuibles a ciberterrorismo son menos frecuentes que otros tipos de amenazas.
La clave no está solo en que exista un ciberataque, sino en la intención terrorista, el objetivo perseguido y el impacto buscado. Por eso, desde el punto de vista analítico, es importante no utilizar el término como sinónimo genérico de cualquier ataque grave.
Insiders y terceros de confianza
Un insider es una persona con acceso interno a una organización que puede poner en riesgo su seguridad, de forma maliciosa, negligente o accidental. Puede tratarse de un empleado, exempleado, contratista o cualquier usuario con permisos legítimos.
Los insiders maliciosos son especialmente difíciles de detectar porque operan con credenciales válidas y conocen el entorno interno. Pueden actuar por beneficio económico, venganza, coacción, descontento o colaboración con actores externos.
Sin embargo, no todos los insiders son maliciosos. Muchos incidentes internos se producen por errores, malas configuraciones, envío accidental de información, uso inadecuado de credenciales o incumplimiento de procedimientos.
Por su parte, los terceros de confianza son proveedores, contratistas, socios comerciales, integradores, consultoras, servicios cloud o empresas externas que tienen algún tipo de acceso a sistemas, datos o procesos de la organización.
En estos casos, el atacante no compromete directamente a la víctima principal, sino a un tercero que mantiene una relación de confianza con ella. Después aprovecha esa relación para acceder a sistemas, distribuir software manipulado, robar información o moverse hacia otros entornos.
Ataques a la cadena de suministro
Los ataques a la cadena de suministro se dirigen contra componentes externos de software, hardware, servicios o procesos que una organización incorpora a su entorno con una confianza previa.
En lugar de atacar directamente a la víctima final, el actor malicioso compromete a un proveedor, fabricante, repositorio, actualización, librería, servicio gestionado o herramienta utilizada por muchas organizaciones. El objetivo es que el producto, la actualización o el servicio legítimo sirva como vía de entrada.
Este tipo de ataque es especialmente peligroso porque permite escalar el impacto. Al comprometer un punto situado aguas arriba, el atacante puede afectar a muchas organizaciones situadas aguas abajo.
Los ataques a la cadena de suministro pueden afectar a entornos IT, software empresarial, servicios cloud, proveedores tecnológicos, integradores y también a entornos industriales u OT. No deben confundirse exclusivamente con ciberseguridad industrial, aunque en infraestructuras críticas pueden tener consecuencias especialmente graves.
