Los feeds de inteligencia de amenazas son flujos de datos estructurados que entregan indicadores de compromiso (IOC): direcciones IP, dominios, URLs, hashes de malware y patrones de reputación con los que alimentar tu SIEM, tu firewall o tu SOC. Bien elegidos, acortan el tiempo de detección de una intrusión. Mal integrados, generan miles de alertas de falso positivo que saturan al equipo y erosionan la confianza en el sistema. Esta guía trata los feeds como lo que realmente son, la capa de datos, y no como la plataforma que los agrega, y explica cómo escoger entre fuentes gratuitas y de pago sin acabar ahogado en ruido.
Lo esencial
- Un feed es la capa de datos (IOC en bruto o enriquecidos), distinta de la plataforma que los agrega y correla, como MISP u OpenCTI.
- Lo gratuito no es lo peor: abuse.ch, el feed OSINT de CIRCL o AlienVault OTX ofrecen calidad alta si filtras por relevancia.
- Los estándares STIX 2.1 y TAXII 2.1 permiten intercambiar indicadores entre herramientas sin parsear formatos propietarios.
- Lo que importa no es el número de indicadores, sino la relevancia para tu sector, la frescura, la tasa de falsos positivos y la cobertura.
- Un feed sin proceso de decaimiento (aging) ni enriquecimiento se convierte en ruido que degrada el rendimiento del SOC.
Qué es un feed de inteligencia de amenazas
Un feed es una fuente que emite indicadores de forma continua o periódica, normalmente en formato CSV, JSON o STIX. Cada indicador describe un artefacto observable ligado a actividad maliciosa: el hash de una muestra de ransomware, la IP de un servidor de mando y control, el dominio de una campaña de phishing o la URL de un panel de exfiltración. El feed es materia prima. No decide nada por sí mismo, solo aporta datos que otra capa tendrá que agregar, correlar y contextualizar.
Conviene situar los feeds en su lugar dentro del ciclo de inteligencia. Por debajo está la recolección (los propios feeds y fuentes OSINT). Por encima está la agregación en una plataforma, luego el análisis humano y la caza de amenazas, y finalmente la acción defensiva. Los feeds ocupan el escalón más básico, y su valor varía enormemente según el tipo de indicador. El modelo de la Pirámide del Dolor de David Bianco lo resume bien: bloquear un hash molesta poco al atacante, que solo tiene que recompilar, mientras que detectar sus tácticas, técnicas y procedimientos (TTP) le obliga a rediseñar su operación. Los feeds brillan en la base de la pirámide (hashes, IP, dominios) y raramente cubren la cúspide, que es terreno de la caza de amenazas y de la investigación con grafos que describimos en qué es Maltego.
Feeds gratuitos frente a feeds de pago
La primera decisión de compra no es qué proveedor, sino cuánto de tu inteligencia puede venir de fuentes abiertas.
Fuentes gratuitas y de la comunidad
El ecosistema abierto es sorprendentemente sólido. abuse.ch publica varios feeds de altísima señal: URLhaus (URLs de distribución de malware), ThreatFox (IOC asociados a familias concretas), Feodo Tracker (C2 de botnets como Emotet o Dridex) y SSL Blacklist. El feed OSINT de CIRCL se distribuye ya en formato MISP y es un estándar de facto en Europa. AlienVault OTX agrega pulsos aportados por la comunidad, útiles como señal temprana aunque con ruido variable. A ello se suman las listas de CISA sobre vulnerabilidades explotadas conocidas (KEV), Spamhaus DROP, los nodos de salida de Tor y el conjunto de reglas abierto de Emerging Threats. Para muchas pymes, una selección cuidada de estas fuentes cubre buena parte de la necesidad.
Feeds comerciales
Lo que pagas en un feed comercial no son más indicadores, sino curación. Proveedores como Recorded Future, Mandiant, CrowdStrike o Anomali aportan contexto de actor, inteligencia procesada (finished intelligence), acuerdos de nivel de servicio, cobertura de fuentes cerradas y, sobre todo, una tasa de falsos positivos más baja gracias a la validación previa. Para una organización sujeta a NIS2 con un SOC maduro, ese contexto acelera la respuesta. Para quien todavía no procesa bien lo gratuito, pagar por más volumen suele empeorar el problema.
Plataformas open source para gestionar feeds
Aquí está la confusión más común: MISP y OpenCTI no son feeds, son las plataformas que los consumen. MISP es el estándar de compartición de indicadores, con correlación automática, taxonomías, niveles TLP y decenas de feeds preconfigurados que puedes activar y filtrar. OpenCTI es nativo en STIX 2.1, modela el conocimiento como un grafo (indicadores, malware, actores, campañas, técnicas ATT&CK) y se conecta a fuentes mediante connectors. Ambos ingieren feeds gratuitos y de pago, deduplican, puntúan la confianza y exportan un subconjunto depurado hacia tus controles. Tratar la plataforma como si fuera el feed, o al revés, es la raíz de muchos programas de inteligencia mal dimensionados.
Estándares: IOC, STIX y TAXII
La interoperabilidad se apoya en dos estándares de OASIS. STIX 2.1 es el lenguaje: define objetos como indicator (con su patrón de detección), malware, threat-actor, campaign y las relaciones entre ellos, de forma que un indicador viaje con su contexto y no como una línea suelta de texto. TAXII 2.1 es el transporte: define colecciones y canales que un cliente consulta (poll) para recibir esos objetos por API en lugar de descargar ficheros sueltos. A ello se añade el Traffic Light Protocol (TLP), que marca cómo se puede compartir cada dato, y los formatos de detección como YARA para ficheros o Sigma para logs. Priorizar feeds que hablen STIX/TAXII te ahorra escribir y mantener parsers propietarios para cada fuente.
Cómo elegir un feed: criterios de selección
Evalúa cada fuente con criterios medibles, no por marketing:
- Relevancia. ¿Cubre tu sector, tu geografía y tu stack tecnológico? Un feed centrado en banca norteamericana aporta poco a una industria española.
- Frescura (timeliness). La latencia entre que un IOC se observa y llega a tu feed. Un dominio de phishing vale horas, no semanas.
- Tasa de falsos positivos. Mide cuántos indicadores generan alertas sin valor. Una fuente ruidosa cuesta más en horas de analista de lo que ahorra.
- Cobertura y solapamiento. Añadir un feed que replica el 90 % de otro no aporta cobertura, solo duplica trabajo. Mide el solapamiento antes de contratar.
- Contexto y confianza. ¿Cada indicador llega con puntuación, fuente, TLP y fecha de primera observación? Sin contexto no puedes priorizar.
- Formato e integración. STIX/TAXII o MISP se integran solos. Un CSV sin esquema estable te obliga a mantenerlo tú.
La forma honesta de validar un feed es medir sus verdaderos positivos durante un periodo de prueba antes de pagarlo, no fiarte del número de indicadores anunciado.
Integración en el SIEM/SOC y la trampa de la sobrecarga
El error más caro es volcar feeds en bruto directamente en la correlación del SIEM. El resultado es una tormenta de falsos positivos que quema al equipo de guardia. El flujo correcto pasa por una plataforma intermedia: los feeds entran por TAXII en MISP u OpenCTI, allí se deduplican, se puntúan y se enriquecen con servicios como VirusTotal o GreyNoise, y solo un subconjunto de alta confianza se empuja hacia el SIEM, el EDR o el firewall como listas de vigilancia.
Tres controles marcan la diferencia. El decaimiento (aging) retira los indicadores que caducan, porque una IP maliciosa hoy puede ser una IP legítima de un proveedor cloud dentro de un mes. El listado de confianza (whitelisting) protege los dominios e IP legítimos de mayor tráfico (por ejemplo con la lista Tranco o los rangos de CDN) para que nunca disparen alerta. Y el umbral de confianza filtra por debajo de cierta puntuación. Esa inteligencia depurada es la que alimenta después el trabajo proactivo que explicamos en qué es threat hunting y la operativa diaria de qué es un SOC. Sin este proceso, más feeds significan menos seguridad, no más.
Los feeds también aportan contexto valioso cuando se cruzan con otras capas de inteligencia, como la monitorización de la dark web o el seguimiento de familias de robo de credenciales que tratamos en qué es un infostealer.
Preguntas frecuentes
¿Qué diferencia hay entre un feed y una plataforma de inteligencia de amenazas?
El feed es la fuente de datos, el flujo de IOC. La plataforma (MISP, OpenCTI) es donde esos datos se agregan, deduplican, puntúan y correlan. Un feed sin plataforma es una lista sin contexto, y una plataforma sin feeds está vacía. Necesitas ambas capas, pero son cosas distintas y conviene no confundirlas al diseñar el programa.
¿Merecen la pena los feeds gratuitos?
Sí, y para muchas organizaciones son el punto de partida idóneo. Fuentes como abuse.ch, el feed OSINT de CIRCL o las listas KEV de CISA tienen una relación señal/ruido excelente. La clave no es cuánto pagas, sino cuánto proceso pones detrás. Un feed gratuito bien filtrado supera a un feed caro volcado en bruto.
¿Qué son STIX y TAXII?
STIX 2.1 es un lenguaje estandarizado para describir amenazas (indicadores, malware, actores y sus relaciones). TAXII 2.1 es el protocolo de transporte que permite consultar y recibir esos objetos por API. Juntos evitan que tengas que mantener un parser distinto para cada proveedor y facilitan compartir inteligencia entre organizaciones.
¿Cuántos feeds debería integrar?
Menos de los que crees. Es preferible un puñado de fuentes relevantes y bien procesadas que decenas solapadas. Mide el solapamiento y los verdaderos positivos de cada una, y retira las que no aporten señal nueva. La calidad del proceso importa mucho más que el número de suscripciones.
¿Cómo evito la sobrecarga de falsos positivos?
No ingieras feeds en bruto en el SIEM. Pásalos primero por una plataforma que deduplique, puntúe y enriquezca, aplica decaimiento a los indicadores caducos, protege con listas de confianza los activos legítimos de mayor tráfico y empuja solo indicadores por encima de un umbral de confianza hacia tus controles de detección.
Recursos relacionados
- Qué es threat hunting: metodología y proceso proactivo
- Qué es un SOC: centro de operaciones de seguridad
- Monitorización de la dark web para empresas
- Qué es Maltego: investigación OSINT con grafos
- Qué es la cyber kill chain: fases y defensa
Feeds de inteligencia de amenazas con Secra
En Secra integramos los feeds de inteligencia de amenazas dentro de un programa completo de threat intelligence: seleccionamos las fuentes relevantes para tu sector, las agregamos en una plataforma que deduplica y puntúa, aplicamos decaimiento y listas de confianza para controlar el ruido, y conectamos la inteligencia depurada con tu SIEM, tu EDR y tu proceso de respuesta. Todo con encaje en NIS2 y trazabilidad para el expediente.
Descubre nuestro servicio de ciberseguridad gestionada y diseñemos juntos una capa de inteligencia que reduzca el ruido en lugar de amplificarlo.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

