Threat Intelligence
threat intelligence
CTI
ciclo de inteligencia

Ciclo de inteligencia de amenazas: las 6 fases del CTI

Qué es el ciclo de inteligencia de amenazas (CTI) y sus 6 fases: dirección, recolección, procesamiento, análisis, difusión y feedback.

Secra6 de julio de 202610 min de lectura

El ciclo de inteligencia de amenazas (en inglés threat intelligence lifecycle, o CTI lifecycle) es el proceso estructurado por el que una organización convierte datos crudos sobre adversarios en inteligencia accionable que reduce riesgo. No es una lista de fuentes ni un feed de indicadores: es un programa continuo de seis fases (dirección, recolección, procesamiento, análisis, difusión y retroalimentación) que empieza y termina en las preguntas del negocio. Este artículo funciona como hub del cluster de threat intelligence y sirve de ancla conceptual para el resto de piezas, más situacionales, sobre ransomware, deepfakes o vishing.

Lo esencial

  • El ciclo CTI tiene 6 fases: dirección, recolección, procesamiento, análisis, difusión y retroalimentación.
  • Arranca en la dirección, donde los stakeholders definen PIR (requisitos prioritarios de inteligencia) y RFI (solicitudes de información).
  • La recolección combina OSINT, feeds abiertos y comerciales, HUMINT y telemetría propia del SOC.
  • El análisis usa marcos como el Diamond Model, MITRE ATT&CK y la Cyber Kill Chain para pasar de dato a inteligencia.
  • La difusión entrega inteligencia estratégica, operativa o táctica en el formato adecuado (informe, STIX/TAXII, reglas Sigma o YARA).

Qué es el ciclo de inteligencia de amenazas

La inteligencia de amenazas (CTI, cyber threat intelligence) es el conocimiento sobre adversarios, sus motivaciones, capacidades e infraestructura, producido para apoyar decisiones. El ciclo es el motor que la genera de forma repetible. La diferencia con un simple feed de indicadores es que el ciclo parte de una pregunta concreta del negocio y no de los datos que casualmente están disponibles.

La tabla siguiente resume las seis fases con sus entradas, actividades, salidas y responsable típico. Sirve como diagrama de referencia del programa.

FaseEntradasActividadesSalidasResponsable
DirecciónRiesgos del negocio, PIR, RFIPriorizar preguntas, asignar recursosRequisitos de inteligenciaCISO, líder CTI
RecolecciónFuentes OSINT, feeds, HUMINT, telemetríaReunir datos según los PIRDatos crudos y sin filtrarAnalistas de recolección
ProcesamientoDatos crudos heterogéneosNormalizar, deduplicar, enriquecer, traducirDatos estructurados (STIX)Ingeniería de datos CTI
AnálisisDatos procesadosPivotar, correlacionar, aplicar marcosInteligencia valoradaAnalistas CTI
DifusiónInteligencia valoradaFormatear y entregar por audienciaInformes, feeds, alertasAnalistas y producción
RetroalimentaciónUso real de la inteligenciaMedir, recoger feedback, ajustarPIR revisados, mejorasLíder CTI, stakeholders

Las 6 fases del ciclo CTI

1. Dirección

Todo empieza aquí. Los stakeholders (dirección, SOC, respuesta a incidentes, gestión de riesgos) definen qué necesitan saber. La herramienta central son los PIR, requisitos prioritarios de inteligencia formulados como preguntas: por ejemplo, "¿qué grupos de ransomware atacan al sector sanitario en EMEA y qué técnicas usan para el acceso inicial?". Las peticiones puntuales se canalizan como RFI (request for information). Sin una dirección clara, el equipo acaba acumulando indicadores que nadie usa. Un buen PIR es específico, tiene un dueño y una decisión asociada.

2. Recolección

Con los PIR definidos, se reúnen datos de fuentes diversas. El OSINT (inteligencia de fuentes abiertas) es una de las principales, y por sí solo tiene su propio ciclo, que explicamos en qué es OSINT. A él se suman feeds abiertos (abuse.ch con URLhaus, ThreatFox y Feodo Tracker, AlienVault OTX, el catálogo CISA KEV), feeds comerciales, HUMINT (acceso a foros cerrados, comunidades ISAC, compartición sectorial) y, muy importante, la telemetría propia: logs del SIEM, alertas del EDR, sandbox de malware y honeypots. La monitorización de credenciales filtradas encaja aquí como fuente, tal y como detallamos en monitorización de la dark web.

3. Procesamiento

Los datos crudos llegan en formatos heterogéneos y con mucho ruido. El procesamiento los convierte en algo utilizable: normalización a un esquema común (STIX 2.1 es el estándar de facto), deduplicación de indicadores repetidos, enriquecimiento (GeoIP, WHOIS, DNS pasivo, ASN, reputación en VirusTotal), filtrado de falsos positivos, traducción y etiquetado. En esta fase se asigna la confianza de cada dato, con escalas como la Admiralty (fiabilidad de la fuente y credibilidad de la información), y se marca el nivel TLP (Traffic Light Protocol) que regirá su distribución. Un indicador sin contexto ni confianza es casi inservible.

4. Análisis

Aquí los datos procesados se convierten en inteligencia. El analista pivota sobre infraestructura (DNS pasivo, certificados SSL compartidos, patrones de registro) para descubrir activos relacionados del adversario, y aplica marcos analíticos que estructuran el razonamiento:

  • Diamond Model: relaciona los cuatro vértices de una intrusión (adversario, capacidad, infraestructura y víctima).
  • MITRE ATT&CK: mapea las TTP observadas a técnicas concretas (por ejemplo T1566 phishing, T1486 cifrado de datos), lo que permite medir cobertura de detección.
  • Cyber Kill Chain: ordena la intrusión por fases, desde el reconocimiento hasta las acciones sobre objetivos.

Para reducir sesgos se usa el Análisis de Hipótesis en Competencia (ACH). La atribución, cuando procede, se expresa siempre con niveles de confianza, nunca como certeza. Buena parte de este trabajo se solapa con el threat hunting, que consume las hipótesis que produce el análisis CTI.

5. Difusión

La mejor inteligencia es inútil si no llega a quien decide, en el formato correcto y a tiempo. La difusión adapta el producto a cada audiencia: informes de riesgo para dirección, informes de campaña para el SOC y la respuesta a incidentes, y feeds de indicadores para las herramientas defensivas. En el plano automatizable, la inteligencia se comparte como STIX 2.1 sobre TAXII 2.1, y a nivel táctico se materializa en reglas Sigma (detección en el SIEM), YARA (identificación de malware) y firmas Suricata o Snort. El marcado TLP define con quién se puede compartir cada informe.

6. Retroalimentación

La fase que más se descuida y la que convierte el proceso en un ciclo. Aquí se mide si la inteligencia respondió a los PIR, si fue accionable y si llegó a tiempo. Métricas útiles: cobertura de los PIR, tiempo de producción, tasa de adopción, detecciones generadas y ratio de falsos positivos. El feedback de los stakeholders ajusta y redefine los requisitos, y así el ciclo vuelve a la fase de dirección con preguntas mejores. Sin este bucle, el programa se estanca produciendo lo mismo aunque cambien las amenazas.

Ciclo CTI frente al ciclo OSINT

Es habitual confundir ambos, pero operan a escalas distintas.

  • El ciclo OSINT es una disciplina de recolección centrada en fuentes abiertas (planificación, recolección, procesamiento, análisis y difusión). Produce hallazgos a partir de lo que es públicamente accesible.
  • El ciclo CTI es un programa más amplio que ingiere OSINT como una fuente más, junto con feeds cerrados, HUMINT y telemetría interna, y añade una fase explícita de retroalimentación gobernada por los PIR de los stakeholders.

Dicho de otro modo: el OSINT es uno de los insumos de la fase de recolección del CTI, no un sustituto del ciclo completo.

Niveles de la inteligencia: estratégica, operativa y táctica

El producto de inteligencia se entrega en tres niveles que atienden a audiencias y horizontes distintos:

  • Estratégico: dirigido a la alta dirección. Tendencias, motivaciones de actores, riesgo geopolítico y sectorial. Horizonte largo, poco técnico, apoya decisiones de inversión.
  • Operativo: dirigido al SOC y a la respuesta a incidentes. Campañas concretas, TTP de grupos activos, infraestructura en uso. Apoya la caza y la preparación.
  • Táctico: dirigido a las herramientas y analistas de primera línea. Indicadores de compromiso, reglas de detección, hashes y dominios. Vida útil corta y consumo automatizado en el SOC.

Un programa maduro produce en los tres niveles y ajusta la cadencia de cada uno; uno inmaduro se queda solo en el táctico, inundado de indicadores sin contexto.

Plataformas TIP y feeds

Sostener el ciclo a mano no escala. Una TIP (Threat Intelligence Platform) automatiza ingesta, normalización STIX/TAXII, deduplicación, enriquecimiento, puntuación y envío a SIEM, EDR y cortafuegos. En el mundo abierto destacan MISP (con sus galaxias y taxonomías), OpenCTI y Yeti; en el comercial, Anomali ThreatStream, Recorded Future, ThreatConnect o EclecticIQ. Estas plataformas conectan la fase de procesamiento con la de difusión y son la columna vertebral operativa del programa. La elección depende de la madurez y del encaje con el resto del stack defensivo.

Preguntas frecuentes

¿Cuántas fases tiene el ciclo de inteligencia de amenazas?

El modelo más extendido tiene seis fases: dirección, recolección, procesamiento, análisis, difusión y retroalimentación. Algunas variantes lo condensan en cinco (fusionando procesamiento y análisis) o en cuatro, pero la de seis es la más útil porque separa el procesamiento del análisis y hace explícito el bucle de retroalimentación.

¿Qué diferencia hay entre CTI y OSINT?

El OSINT es una disciplina de recolección basada en fuentes abiertas y con su propio ciclo. El CTI es un programa más amplio que consume OSINT como una fuente entre varias (junto con feeds cerrados, HUMINT y telemetría propia) y lo gobierna con requisitos de negocio y una fase de retroalimentación. El OSINT alimenta la recolección del CTI.

¿Qué es un PIR en threat intelligence?

Un PIR (Priority Intelligence Requirement, requisito prioritario de inteligencia) es una pregunta clave, definida por los stakeholders, que orienta todo el ciclo. Un buen PIR es específico, tiene un dueño y está asociado a una decisión. Los PIR evitan que el equipo recolecte datos que nadie va a usar.

¿Necesito una TIP para hacer inteligencia de amenazas?

No para empezar, pero sí para escalar. Un equipo pequeño puede arrancar con feeds abiertos y hojas de cálculo, pero en cuanto crece el volumen de indicadores, una TIP como MISP u OpenCTI es imprescindible para normalizar, deduplicar y distribuir sin errores manuales.

¿Para qué sirven el Diamond Model y MITRE ATT&CK en el ciclo?

Ambos son marcos de la fase de análisis. El Diamond Model estructura cada intrusión en cuatro vértices (adversario, capacidad, infraestructura, víctima) y facilita el pivotaje. MITRE ATT&CK mapea las técnicas observadas a un catálogo común, lo que permite medir cobertura de detección y comunicar TTP de forma inequívoca entre equipos.

Recursos relacionados

Inteligencia de amenazas con Secra

En Secra operamos el ciclo CTI completo como un servicio adaptado a tu organización: definición de PIR junto a tus stakeholders, recolección multifuente, procesamiento con STIX/TAXII, análisis con Diamond Model y MITRE ATT&CK, y difusión en los tres niveles con métricas que cierran el bucle de retroalimentación. Todo integrado con tu SOC y alineado con NIS2.

Conoce nuestro servicio de threat intelligence y construyamos tu programa de inteligencia de amenazas.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Compartir artículo