El ciclo de inteligencia de amenazas (en inglés threat intelligence lifecycle, o CTI lifecycle) es el proceso estructurado por el que una organización convierte datos crudos sobre adversarios en inteligencia accionable que reduce riesgo. No es una lista de fuentes ni un feed de indicadores: es un programa continuo de seis fases (dirección, recolección, procesamiento, análisis, difusión y retroalimentación) que empieza y termina en las preguntas del negocio. Este artículo funciona como hub del cluster de threat intelligence y sirve de ancla conceptual para el resto de piezas, más situacionales, sobre ransomware, deepfakes o vishing.
Lo esencial
- El ciclo CTI tiene 6 fases: dirección, recolección, procesamiento, análisis, difusión y retroalimentación.
- Arranca en la dirección, donde los stakeholders definen PIR (requisitos prioritarios de inteligencia) y RFI (solicitudes de información).
- La recolección combina OSINT, feeds abiertos y comerciales, HUMINT y telemetría propia del SOC.
- El análisis usa marcos como el Diamond Model, MITRE ATT&CK y la Cyber Kill Chain para pasar de dato a inteligencia.
- La difusión entrega inteligencia estratégica, operativa o táctica en el formato adecuado (informe, STIX/TAXII, reglas Sigma o YARA).
Qué es el ciclo de inteligencia de amenazas
La inteligencia de amenazas (CTI, cyber threat intelligence) es el conocimiento sobre adversarios, sus motivaciones, capacidades e infraestructura, producido para apoyar decisiones. El ciclo es el motor que la genera de forma repetible. La diferencia con un simple feed de indicadores es que el ciclo parte de una pregunta concreta del negocio y no de los datos que casualmente están disponibles.
La tabla siguiente resume las seis fases con sus entradas, actividades, salidas y responsable típico. Sirve como diagrama de referencia del programa.
| Fase | Entradas | Actividades | Salidas | Responsable |
|---|---|---|---|---|
| Dirección | Riesgos del negocio, PIR, RFI | Priorizar preguntas, asignar recursos | Requisitos de inteligencia | CISO, líder CTI |
| Recolección | Fuentes OSINT, feeds, HUMINT, telemetría | Reunir datos según los PIR | Datos crudos y sin filtrar | Analistas de recolección |
| Procesamiento | Datos crudos heterogéneos | Normalizar, deduplicar, enriquecer, traducir | Datos estructurados (STIX) | Ingeniería de datos CTI |
| Análisis | Datos procesados | Pivotar, correlacionar, aplicar marcos | Inteligencia valorada | Analistas CTI |
| Difusión | Inteligencia valorada | Formatear y entregar por audiencia | Informes, feeds, alertas | Analistas y producción |
| Retroalimentación | Uso real de la inteligencia | Medir, recoger feedback, ajustar | PIR revisados, mejoras | Líder CTI, stakeholders |
Las 6 fases del ciclo CTI
1. Dirección
Todo empieza aquí. Los stakeholders (dirección, SOC, respuesta a incidentes, gestión de riesgos) definen qué necesitan saber. La herramienta central son los PIR, requisitos prioritarios de inteligencia formulados como preguntas: por ejemplo, "¿qué grupos de ransomware atacan al sector sanitario en EMEA y qué técnicas usan para el acceso inicial?". Las peticiones puntuales se canalizan como RFI (request for information). Sin una dirección clara, el equipo acaba acumulando indicadores que nadie usa. Un buen PIR es específico, tiene un dueño y una decisión asociada.
2. Recolección
Con los PIR definidos, se reúnen datos de fuentes diversas. El OSINT (inteligencia de fuentes abiertas) es una de las principales, y por sí solo tiene su propio ciclo, que explicamos en qué es OSINT. A él se suman feeds abiertos (abuse.ch con URLhaus, ThreatFox y Feodo Tracker, AlienVault OTX, el catálogo CISA KEV), feeds comerciales, HUMINT (acceso a foros cerrados, comunidades ISAC, compartición sectorial) y, muy importante, la telemetría propia: logs del SIEM, alertas del EDR, sandbox de malware y honeypots. La monitorización de credenciales filtradas encaja aquí como fuente, tal y como detallamos en monitorización de la dark web.
3. Procesamiento
Los datos crudos llegan en formatos heterogéneos y con mucho ruido. El procesamiento los convierte en algo utilizable: normalización a un esquema común (STIX 2.1 es el estándar de facto), deduplicación de indicadores repetidos, enriquecimiento (GeoIP, WHOIS, DNS pasivo, ASN, reputación en VirusTotal), filtrado de falsos positivos, traducción y etiquetado. En esta fase se asigna la confianza de cada dato, con escalas como la Admiralty (fiabilidad de la fuente y credibilidad de la información), y se marca el nivel TLP (Traffic Light Protocol) que regirá su distribución. Un indicador sin contexto ni confianza es casi inservible.
4. Análisis
Aquí los datos procesados se convierten en inteligencia. El analista pivota sobre infraestructura (DNS pasivo, certificados SSL compartidos, patrones de registro) para descubrir activos relacionados del adversario, y aplica marcos analíticos que estructuran el razonamiento:
- Diamond Model: relaciona los cuatro vértices de una intrusión (adversario, capacidad, infraestructura y víctima).
- MITRE ATT&CK: mapea las TTP observadas a técnicas concretas (por ejemplo T1566 phishing, T1486 cifrado de datos), lo que permite medir cobertura de detección.
- Cyber Kill Chain: ordena la intrusión por fases, desde el reconocimiento hasta las acciones sobre objetivos.
Para reducir sesgos se usa el Análisis de Hipótesis en Competencia (ACH). La atribución, cuando procede, se expresa siempre con niveles de confianza, nunca como certeza. Buena parte de este trabajo se solapa con el threat hunting, que consume las hipótesis que produce el análisis CTI.
5. Difusión
La mejor inteligencia es inútil si no llega a quien decide, en el formato correcto y a tiempo. La difusión adapta el producto a cada audiencia: informes de riesgo para dirección, informes de campaña para el SOC y la respuesta a incidentes, y feeds de indicadores para las herramientas defensivas. En el plano automatizable, la inteligencia se comparte como STIX 2.1 sobre TAXII 2.1, y a nivel táctico se materializa en reglas Sigma (detección en el SIEM), YARA (identificación de malware) y firmas Suricata o Snort. El marcado TLP define con quién se puede compartir cada informe.
6. Retroalimentación
La fase que más se descuida y la que convierte el proceso en un ciclo. Aquí se mide si la inteligencia respondió a los PIR, si fue accionable y si llegó a tiempo. Métricas útiles: cobertura de los PIR, tiempo de producción, tasa de adopción, detecciones generadas y ratio de falsos positivos. El feedback de los stakeholders ajusta y redefine los requisitos, y así el ciclo vuelve a la fase de dirección con preguntas mejores. Sin este bucle, el programa se estanca produciendo lo mismo aunque cambien las amenazas.
Ciclo CTI frente al ciclo OSINT
Es habitual confundir ambos, pero operan a escalas distintas.
- El ciclo OSINT es una disciplina de recolección centrada en fuentes abiertas (planificación, recolección, procesamiento, análisis y difusión). Produce hallazgos a partir de lo que es públicamente accesible.
- El ciclo CTI es un programa más amplio que ingiere OSINT como una fuente más, junto con feeds cerrados, HUMINT y telemetría interna, y añade una fase explícita de retroalimentación gobernada por los PIR de los stakeholders.
Dicho de otro modo: el OSINT es uno de los insumos de la fase de recolección del CTI, no un sustituto del ciclo completo.
Niveles de la inteligencia: estratégica, operativa y táctica
El producto de inteligencia se entrega en tres niveles que atienden a audiencias y horizontes distintos:
- Estratégico: dirigido a la alta dirección. Tendencias, motivaciones de actores, riesgo geopolítico y sectorial. Horizonte largo, poco técnico, apoya decisiones de inversión.
- Operativo: dirigido al SOC y a la respuesta a incidentes. Campañas concretas, TTP de grupos activos, infraestructura en uso. Apoya la caza y la preparación.
- Táctico: dirigido a las herramientas y analistas de primera línea. Indicadores de compromiso, reglas de detección, hashes y dominios. Vida útil corta y consumo automatizado en el SOC.
Un programa maduro produce en los tres niveles y ajusta la cadencia de cada uno; uno inmaduro se queda solo en el táctico, inundado de indicadores sin contexto.
Plataformas TIP y feeds
Sostener el ciclo a mano no escala. Una TIP (Threat Intelligence Platform) automatiza ingesta, normalización STIX/TAXII, deduplicación, enriquecimiento, puntuación y envío a SIEM, EDR y cortafuegos. En el mundo abierto destacan MISP (con sus galaxias y taxonomías), OpenCTI y Yeti; en el comercial, Anomali ThreatStream, Recorded Future, ThreatConnect o EclecticIQ. Estas plataformas conectan la fase de procesamiento con la de difusión y son la columna vertebral operativa del programa. La elección depende de la madurez y del encaje con el resto del stack defensivo.
Preguntas frecuentes
¿Cuántas fases tiene el ciclo de inteligencia de amenazas?
El modelo más extendido tiene seis fases: dirección, recolección, procesamiento, análisis, difusión y retroalimentación. Algunas variantes lo condensan en cinco (fusionando procesamiento y análisis) o en cuatro, pero la de seis es la más útil porque separa el procesamiento del análisis y hace explícito el bucle de retroalimentación.
¿Qué diferencia hay entre CTI y OSINT?
El OSINT es una disciplina de recolección basada en fuentes abiertas y con su propio ciclo. El CTI es un programa más amplio que consume OSINT como una fuente entre varias (junto con feeds cerrados, HUMINT y telemetría propia) y lo gobierna con requisitos de negocio y una fase de retroalimentación. El OSINT alimenta la recolección del CTI.
¿Qué es un PIR en threat intelligence?
Un PIR (Priority Intelligence Requirement, requisito prioritario de inteligencia) es una pregunta clave, definida por los stakeholders, que orienta todo el ciclo. Un buen PIR es específico, tiene un dueño y está asociado a una decisión. Los PIR evitan que el equipo recolecte datos que nadie va a usar.
¿Necesito una TIP para hacer inteligencia de amenazas?
No para empezar, pero sí para escalar. Un equipo pequeño puede arrancar con feeds abiertos y hojas de cálculo, pero en cuanto crece el volumen de indicadores, una TIP como MISP u OpenCTI es imprescindible para normalizar, deduplicar y distribuir sin errores manuales.
¿Para qué sirven el Diamond Model y MITRE ATT&CK en el ciclo?
Ambos son marcos de la fase de análisis. El Diamond Model estructura cada intrusión en cuatro vértices (adversario, capacidad, infraestructura, víctima) y facilita el pivotaje. MITRE ATT&CK mapea las técnicas observadas a un catálogo común, lo que permite medir cobertura de detección y comunicar TTP de forma inequívoca entre equipos.
Recursos relacionados
- Qué es OSINT: ciclo, fuentes, herramientas y marco legal
- Qué es el threat hunting: metodología y práctica
- Monitorización de la dark web para empresas
- Qué es un SOC: centro de operaciones de seguridad
- Ransomware en España 2026: panorama y respuesta
Inteligencia de amenazas con Secra
En Secra operamos el ciclo CTI completo como un servicio adaptado a tu organización: definición de PIR junto a tus stakeholders, recolección multifuente, procesamiento con STIX/TAXII, análisis con Diamond Model y MITRE ATT&CK, y difusión en los tres niveles con métricas que cierran el bucle de retroalimentación. Todo integrado con tu SOC y alineado con NIS2.
Conoce nuestro servicio de threat intelligence y construyamos tu programa de inteligencia de amenazas.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

