Threat Intelligence Feeds: Comparativa y Automatizacion con MISP

Threat Intelligence Feeds: Comparativa y Automatizacion con MISP - Analisis tecnico y guia practica por David Moya

David Moya12 min read
#cti#misp#feeds#automatizacion
Compartir:

La realidad es que la mayoría de equipos de ciberseguridad en España están ahogados en alertas y datos inconexos. Llevamos años escuchando que la inteligencia de amenazas (CTI) es clave, pero la implementación práctica suele ser un desastre: feeds gratuitos que saturan el SIEM, listas de IoCs que caducan antes de que alguien los revise, y una desconexión total entre lo que dicen los proveedores y lo que realmente amenaza a tu organización. En mi experiencia con clientes del sector financiero y energía, he visto equipos gastar decenas de miles de euros en feeds premium cuyos datos nunca se correlacionaron con un solo incidente real. El problema gordo aquí no es la falta de datos, sino la falta de contexto, automatización y gestión centralizada. Y es precisamente en este lío donde una herramienta como MISP (Malware Information Sharing Platform & Threat Sharing) puede cambiar las reglas del juego, si sabes usarla bien y no la conviertes en otro repositorio de basura.

Vamos al lío. En 2026, la discusión ya no es si necesitas threat intelligence, sino cómo filtrar la señal del ruido y automatizar su acción. La madurez del ecosistema MISP, que en su versión 2.4.185 ha refinado enormemente sus capacidades de correlación y taxonomías, lo convierte en el núcleo ideal para esta tarea. Pero su potencia es directamente proporcional a la estrategia con la que lo alimentes.

¿Qué feeds de inteligencia merecen realmente la pena en 2026?

Esto es un error que veo constantemente en auditorías: empresas que se suscriben a cinco o seis feeds gratuitos (AlienVault OTX, Abuse.ch, etc.) y los ingieren a ciegas en su SIEM. El resultado es un volumen ingente de IoCs (direcciones IP, dominios, hashes) que, en el mejor de los casos, generan alertas irrelevantes y, en el peor, enmascaran un ataque real porque tu equipo está desbordado. La clave en 2026 es la especificidad y la acciónabilidad.

En mi opinión, tras trabajar con clientes que sufrieron incidentes de ransomware en 2024 y 2025, la jerarquía de feeds debería ser esta:

  1. Inteligencia de tu propio entorno: Esto no es un feed externo, pero es la fuente más valiosa. Los logs de tu EDR (como CrowdStrike Falcon 7.12 o Microsoft Defender for Endpoint), los datos de tu proxy, y los resultados de tus herramientas de vulnerabilidad (Tenable.io, Qualys) son oro puro. Un hash malicioso visto en un endpoint de tu red es infinitamente más relevante que 10.000 hashes de una lista genérica. MISP te permite crear eventos privados con estos indicadores y enriquecerlos.
  2. Feeds sectoriales y comunitarios: Aquí es donde MISP brilla. Plataformas como CIRCL (especialmente relevante en Europa), el ISAC de tu sector (como el FS-ISAC para banca), o comunidades cerradas de confianza. La calidad suele ser muy superior porque los participantes comparten TTPs (Tácticas, Técnicas y Procedimientos) e indicadores contextualizados, no solo listas planas. Recuerdo un caso con un cliente del sector energético donde un feed del ISAC compartió la firma YARA de un malware dirigido a SCADA semanas antes de que apareciera en cualquier feed público. Esa ventaja es invaluable.
  3. Feeds comerciales de calidad, bien filtrados: Proveedores como Recorded Future, Intel 471, o Mandiant (ahora parte de Google Cloud) tienen equipos de investigación excelentes. El truco está en no comprar el feed "estándar". Negocia para recibir solo inteligencia relacionada con tu sector, tu región, y las amenazas a tecnologías que tú uses. Pagar por un feed de amenazas a infraestructuras cloud cuando tu empresa es 100% on-premise es tirar el dinero.
  4. Feeds abiertos, pero con curaduría agresiva: Feeds como los de Abuse.ch (para malware), PhishTank, o Blocklist.de son útiles, pero nunca deben ingerirse directamente. Deben pasar por un proceso de filtrado en MISP. Por ejemplo, puedes configurar que solo se importen indicadores con una puntuación de "veracidad" alta, o aquellos que estén activos en las últimas 48 horas, descartando automáticamente los que lleven más de 30 días sin ser reportados.

¿Cómo evaluar la calidad de un feed? Más allá del volumen de IoCs

La métrica estúpida es "cuántos millones de indicadores me das al día". La métrica inteligente, que es la que aplicamos en Riskitera para nuestros clientes, se basa en estos pilares:

  • Tasa de falsos positivos: ¿Cuántos de los bloques recomendados te habrían llevado a bloquear tráfico legítimo? Un feed con una tasa alta es peor que no tener nada.
  • Contexto proporcionado: ¿El feed solo da una IP, o incluye el actor de amenaza asociado (APT29, FIN7), la campaña, los TTPs de MITRE ATT&CK, y muestras de malware (YARA, Sigma rules)? Un buen evento en MISP debería enriquecerse con todas estas capas.
  • Velocidad vs. Precisión: Hay un equilibrio. Algunos feeds son ultra-rápidos pero poco precisos (útil para detección temprana en entornos con alta tolerancia al riesgo). Otros son más lentos pero verificados (críticos para bloquear en el firewall o el proxy).
  • Relevancia geográfica/sectorial: Un feed excelente para empresas tecnológicas en EE.UU. puede ser ruido puro para una administración pública en España.

threat-intelligence-feeds-comparativa-y-automatizacion-con-misp diagram 1

threat-intelligence-feeds-comparativa-y-automatizacion-con-misp diagram 1

threat-intelligence-feeds-comparativa-y-automatizacion-con-misp diagram 1

threat-intelligence-feeds-comparativa-y-automatizacion-con-misp diagram 1

threat-intelligence-feeds-comparativa-y-automatizacion-con-misp diagram 1

threat-intelligence-feeds-comparativa-y-automatizacion-con-misp diagram 1

threat-intelligence-feeds-comparativa-y-automatizacion-con-misp diagram 1

Automatización con MISP: De la ingestión pasiva a la orquestación activa

Instalar MISP y conectar un par de feeds es el 10% del trabajo. El 90% restante, y donde la mayoría falla, es en la automatización del ciclo de vida de la inteligencia: ingestión, enriquecimiento, correlación, puntuación, y acción automatizada. MISP no es solo una base de datos, es una plataforma de orquestación.

Configuración práctica: Conectando feeds y enriqueciendo eventos

Te voy a mostrar un fragmento de configuración real que usamos para un cliente. No es solo copiar-pegar la URL del feed. Se trata de crear lógica. Usamos el sistema de "feeds" y "servidores remotos" de MISP, y luego automatizamos con sus herramientas de trabajo (Workflows) y la API REST.

Primero, un script Python (usando pymisp v2.4.180) que consulta la API de MISP, busca eventos recientes de alto riesgo y los empuja a nuestro SOAR (TheHive 5.x en este caso) para crear un caso de investigación. Esto lo ejecutamos cada hora con un cron job.

#!/usr/bin/env python3
"""
Script para extraer eventos de MISP con alta puntuación de amenaza y crear casos en TheHive.
Se enfoca en indicadores relacionados con ransomware (tag 'ransomware') y puntuación >75.
"""

from pymisp import ExpandedPyMISP, MISPEvent
from thehive4py.api import TheHiveApi
from thehive4py.models import Case, CaseTask
import logging
from datetime import datetime, timedelta

# Configuración
MISP_URL = 'https://misp.tuempresa.internal'
MISP_KEY = 'TU_API_KEY_AQUI'
THEHIVE_URL = 'https://thehive.tuempresa.internal'
THEHIVE_KEY = 'TU_API_KEY_THEHIVE_AQUI'

# Inicializar clientes
misp = ExpandedPyMISP(MISP_URL, MISP_KEY, ssl=False)  # Ajusta SSL según tu CA
hive = TheHiveApi(THEHIVE_URL, THEHIVE_KEY)

# Buscar eventos de las últimas 24h con tag 'ransomware' y threat_level_id alto (1=Alto, 2=Medio)
# threat_level_id 1 y score > 75
search_params = {
    'tags': ['ransomware'],
    'threat_level_id': [1],
    'last': '24h',  # Últimas 24 horas
    'timestamp': int((datetime.now() - timedelta(days=1)).timestamp())
}

try:
    events = misp.search(**search_params)
    if events:
        for event in events:
            # Calcular una puntuación simple basada en threat_level y cantidad de IoCs
            score = event.get('threat_level_id', 3)  # 1=Alto, 2=Medio, 3=Bajo, 4=Indefinido
            ioc_count = len(event.get('Attribute', []))
            # Puntuación personalizada: invertir threat_level (1->100, 4->25) + bonus por volumen
            calculated_score = (4 - score) * 25 + min(ioc_count, 10)  # Máximo bonus de 10

            if calculated_score > 75:
                logging.info(f"Creando caso para evento MISP {event['id']} - {event['info']} (Score: {calculated_score})")
                
                # Crear el caso en TheHive
                new_case = Case(
                    title=f"[MISP-AUTO] {event['info']}",
                    description=f"Evento MISP {event['id']} importado automáticamente.\n\n"
                               f"Tags: {', '.join(event.get('Tag', []))}\n"
                               f"Link: {MISP_URL}/events/view/{event['id']}",
                    severity=calculated_score // 25,  # Convertir score 0-100 a severidad 1-4
                    tags=[t['name'] for t in event.get('Tag', [])][:5],  # Limitar tags
                    flag=True
                )
                created_case = hive.create_case(new_case)
                logging.info(f"Caso creado: {created_case.json()['_id']}")
                
except Exception as e:
    logging.error(f"Error en la automatización MISP->TheHive: {e}", exc_info=True)

Este script es un ejemplo básico. En producción, añadiríamos más lógica: filtrar por organizaciones de confianza, excluir tags como tlp:white, o enriquecer los eventos con datos de VirusTotal o Shodan usando los módulos de enriquecimiento de MISP antes de tomar una decisión.

Workflows en MISP: La automatización nativa que muchos ignoran

A partir de la versión 2.4.170, MISP incluye un motor de workflows visual bastante potente. Sinceramente, la mayoría de empresas españolas no lo tocan, y es un error. Te permite crear reglas del tipo: "Si un evento nuevo tiene la tag phishing Y la organización creadora es de confianza (trusted-org) Y contiene más de 5 URLs, entonces: 1) Añadirle la tag review-urgent, 2) Enviar una notificación al canal de Slack del SOC, y 3) Crear automáticamente una regla de bloqueo en el firewall (via webhook a la API de Palo Alto o Fortinet)".

Configurar esto no requiere programación, solo lógica. Es aquí donde MISP deja de ser un repositorio y se convierte en el cerebro de tu operativa de CTI.

Integración con el SOC: Cómo hacer que la CTI se consuma y actúe

De nada sirve tener MISP lleno de datos brillantes si los analistas del SOC no los ven o no saben qué hacer con ellos. La integración debe ser bidireccional.

Hacia el SIEM/SOC: Los IoCs de MISP deben exportarse a formatos que tu SIEM entienda. Para Splunk ES o IBM QRadar, puedes usar las listas de búsqueda (lookup tables). Para Microsoft Sentinel, lo más eficiente es usar el conector oficial de MISP (que existe desde 2024) o scripts que empujen los indicadores a tablas personalizadas. La clave es sincronización frecuente y delta updates (solo lo nuevo/modificado). No vuelques la base de datos entera cada vez.

Desde el SOC hacia MISP: Cuando un analista investiga un incidente y descubre un nuevo hash malicioso, una IP C2, o un dominio de phishing, debe poder, con un clic desde la consola del SIEM o del EDR, enviarlo a MISP para crear un evento interno. Esto alimenta tu inteligencia orgánica. En un pentest que hicimos el mes pasado para una aseguradora, encontramos que su equipo de blue team había detectado artefactos de Cobalt Strike pero nunca los había compartido con el equipo de threat intelligence. Eran islas desconectadas. Con un simple webhook desde su EDR a la API de MISP, solucionaron ese gap.

Ejemplo: Crear una regla Sigma a partir de un evento MISP

Uno de los usos más potentes es generar reglas de detección (Sigma) a partir de TTPs compartidos en MISP. Imagina que recibes un evento sobre la campaña de phishing "IcePhish 2026" que usa un patrón específico en el User-Agent. Puedes automatizar la creación de una regla Sigma para tu SIEM.

title: Detección de patrón User-Agent asociado a campaña IcePhish 2026
id: a1b2c3d4-5e6f-7890-abcd-ef1234567890 # Generado automáticamente
status: experimental
description: Detecta el patrón 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:105.0) IcePhish/1.0' en User-Agent, asociado a campaña de phishing reportada en MISP Event ID 66789.
references:
  - https://misp.tuempresa.internal/events/view/66789
author: Riskitera CTI Team (via MISP Automation)
date: 2026-03-05
tags:
  - attack.initial_access
  - attack.t1566.001 # Phishing: Spearphishing Attachment
  - attack.t1589.002 # Gather Victim Identity Information: Email Addresses
logsource:
  category: proxy
  product: squid
  service: http
detection:
  selection:
    cs_user_agent|contains: 'IcePhish/1.0'
  condition: selection
falsepositives:
  - Desconocido. Podría ser un herramienta de test interno mal configurada.
level: high

Esta regla YAML, generada automáticamente por un script que parsea la descripción del evento MISP, puede ser empujada directamente a tu repositorio de reglas Sigma y desplegada en tu SIEM en minutos, no en días.

El futuro en 2026: CTI contextual y automatización basada en TTPs

La tendencia clara que vemos para 2026 y más allá es el alejamiento de la obsesión por los IoCs (que son efímeros) y el enfoque en los TTPs y los comportamientos. Herramientas como MITRE ATT&CK y D3FEND están integradas de forma nativa en MISP. Los feeds más avanzados ya no te venden listas de IPs, te venden "paquetes de inteligencia" que incluyen:

  • Reglas de detección Sigma o YARA listas para usar.
  • Consultas para herramientas de hunting como Kestrel o EQL.
  • Simulaciones de adversarios (con Caldera o Atomic Red Team) para probar tus defensas.
  • Contexto sobre cadenas de explotación específicas, como la que usó el grupo APT29 en 2025 contra vulnerabilidades en gateways de VPN (ej. CVE-2025-12345, ficticio para el ejemplo).

MISP se está convirtiendo en el "conector" universal que toma estos paquetes, los descompone, correlaciona los elementos con tus eventos internos, y dispara automatizaciones específicas. Por ejemplo, si un feed reporta que el grupo FIN7 está usando una nueva variante de malware que se comunica por DNS tunneling con un patrón de subdominios específico, MISP puede:

  1. Ingresar la regla YARA/Sigma.
  2. Buscar en tu historial de logs DNS de los últimos 30 días si ese patrón ya ha aparecido (usando la función de "búsqueda retrospectiva").
  3. Si encuentra un match, crear un caso de incidente de alta prioridad en tu SOAR.
  4. Actualizar las reglas de tu firewall o DNS sinkhole para bloquear el patrón a futuro.

Esto no es ciencia ficción, son flujos que ya estamos implementando en Riskitera para clientes con un nivel de madurez alto. La diferencia entre un equipo de CTI reactivo y uno proactivo y eficiente se reduce, en gran medida, a cómo aprovecha las capacidades de automatización de una plataforma como MISP y la alimenta con fuentes de inteligencia de calidad, no con ruido.

Al final, la pregunta no es "¿tienes MISP?" sino "¿qué hace tu MISP por ti mientras duermes?". Si la respuesta es "nada", tienes un costoso archivador de datos. Si la respuesta es "está correlacionando, puntuando, enriqueciendo y orquestando respuestas", entonces tienes un multiplicador de fuerza para tu equipo de seguridad. En el panorama de amenazas actual, esa diferencia no es un lujo, es la línea que separa la resiliencia de la brecha.

Recursos y referencias