¿Qué es la inteligencia de amenazas?

La inteligencia de amenazas es información sobre posibles ataques. La inteligencia de amenazas ayuda a las organizaciones a tomar medidas para defenderse de estos ataques.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir "inteligencia de amenazas"
  • Enumerar los principales tipos de inteligencia de ciberamenazas
  • Más información sobre las fuentes de inteligencia de amenazas

Copiar enlace del artículo

¿Qué es la inteligencia de amenazas en ciberseguridad?

La inteligencia de amenazas es la información sobre los posibles ataques a los que se puede enfrentar una organización, y cómo detectar y detener tales ataques. Las fuerzas de seguridad distribuyen a veces carteles de "Se busca" con información sobre los sospechosos; del mismo modo, la inteligencia de ciberamenazas contiene información sobre el aspecto de las amenazas actuales y su procedencia.

En términos de seguridad digital, una "amenaza" es una acción con intención maliciosa que podría provocar que los datos se roben, se pierdan o se alteren sin permiso. El término hace referencia tanto a los ataques potenciales como a los reales. La inteligencia de amenazas permite a las organizaciones tomar medidas contra las amenazas, en lugar de limitarse a proporcionar datos. Cada pieza de inteligencia de amenazas ayuda a detectar y prevenir los ataques.

Algunos tipos de inteligencia de amenazas pueden introducirse en los firewalls, en los firewalls de aplicaciones web (WAF), en los sistemas de administración de eventos e información de seguridad y en otros productos de seguridad, lo que les permite identificar y bloquear las amenazas con mayor eficacia. Otros tipos de inteligencia de amenazas son más generales y ayudan a las organizaciones a tomar decisiones estratégicas más amplias.

¿Cuáles son los tres tipos principales de inteligencia de amenazas?

La mayor parte de la inteligencia de amenazas encaja en una de estas tres categorías:

  1. La inteligencia estratégica describe las tendencias generales y los problemas a largo plazo. También puede incluir las motivaciones, objetivos y métodos de los atacantes conocidos.
  2. La inteligencia operacional describe las tácticas, técnicas y procedimientos (TTP) utilizados por los atacantes, por ejemplo, qué kits de herramientas o kits de vulnerabilidades de malware utilizan los atacantes, de dónde proceden sus ataques o los pasos que suelen seguir para llevar a cabo un ataque.
  3. La inteligencia táctica son detalles específicos sobre el terreno de las amenazas; permite que las organizaciones identifiquen las amenazas caso por caso. Las firmas de malware y los indicadores de compromiso (IoC) son ejemplos de inteligencia táctica. Ambos términos se explicarán más adelante.

¿Qué es una firma de malware?

Una firma es un patrón único o una secuencia de bytes por la que se puede identificar el software malicioso. De igual forma que las huellas dactilares se utilizan para identificar a las personas sospechosas de un delito, las firmas ayudan a identificar el software malicioso.

La detección de firmas es una de las formas más comunes de análisis de malware. Para ser eficaz, la detección de firmas debe actualizarse constantemente con las últimas firmas de malware identificadas.

¿Qué son los indicadores de compromiso (IoC)?

Un indicador de compromiso (IoC) es un dato que ayuda a identificar si un ataque ha tenido lugar o está en curso. Un IoC es como una prueba física que un detective podría recoger para determinar quién estuvo presente en la escena del crimen. Del mismo modo, ciertas pruebas digitales (actividad inusual registrada en los registros, tráfico de red hacia servidores no autorizados, etc.) ayudan a los administradores a determinar cuándo se ha producido un ataque (o se está produciendo en ese momento) y qué tipo de ataque ha sido.

Sin los IoC, a veces puede ser difícil determinar si se ha producido un ataque; suele beneficiar al atacante que no sea detectado (por ejemplo, si quiere utilizar un dispositivo en riesgo en una botnet).

¿Qué es una fuente sobre la inteligencia de amenazas?

Una fuente sobre la inteligencia de amenazas es un flujo externo de datos sobre la inteligencia de amenazas. Al igual que una fuente RSS para blogs, las organizaciones pueden suscribirse a una fuente sobre la inteligencia de amenazas para proporcionar actualizaciones de seguridad constantes a sus sistemas.

Algunas fuentes sobre la inteligencia de amenazas son gratuitas; otras cuestan dinero y proporcionan información propia que no está disponible en fuentes abiertas.

¿Qué tiene de único el enfoque que adopta Cloudflare para recopilar inteligencia de amenazas?

Cloudflare está en una posición única para recopilar información sobre las amenazas a gran escala. La red de Cloudflare protege millones de sitios web. Al analizar el tráfico hacia y desde estos sitios web, Cloudflare puede identificar patrones de tráfico malicioso de bots, explotaciones de vulnerabilidad y otros ataques.

Cloudflare utiliza esta información para proteger mejor a los clientes. Por ejemplo, Cloudflare crea reglas de WAF y las implementa para todos los clientes de WAF cada vez que se detecta una nueva amenaza. Cloudflare Bot Management utiliza la inteligencia de amenazas de los miles de millones de solicitudes que Cloudflare ve cada día para aprender a identificar bots maliciosos.

Para saber más sobre ciberamenazas, consulta ¿Qué es la seguridad de las aplicaciones web?

Ventas