En ciberinteligencia el reto no es conseguir información: es transformarla en conocimiento accionable. Foros underground, canales de Telegram, leak sites y fuentes abiertas dejan de ser ruido para convertirse en respuestas concretas sobre quién amenaza a una organización, cómo opera y por qué. Este módulo te entrena en ese proceso de principio a fin, desde la pregunta del negocio hasta el informe entregado, pasando por la recolección, el análisis y el perfilado de actores.
Diseño de operaciones de inteligencia
El ciclo de inteligencia y los niveles estratégico, operacional y táctico
Aprende a distinguir entre dato, información e inteligencia, y entiende por qué esa diferencia lo cambia todo. Domina las seis fases del ciclo de inteligencia —dirección, recolección, procesamiento, análisis, difusión y retroalimentación— y cómo se aplican en cada uno de los tres niveles: el estratégico, que informa decisiones directivas a largo plazo; el operacional, que ayuda a los equipos a priorizar; y el táctico, que proporciona indicadores concretos para detectar ataques.
Requisitos de inteligencia (RI) y de información (RFI)
Una de las habilidades más subestimadas en este trabajo es saber formular buenas preguntas. Aprende a traducir una necesidad del negocio en Requisitos de Inteligencia (RI) concretos y a descomponerlos en Requisitos de Información (RFI) investigables. Trabaja la priorización, la trazabilidad y la conexión entre cada conclusión del informe y la evidencia que la respalda.
Modelo Diamante y otros modelos de análisis
Para analizar a un actor o una intrusión de forma estructurada, los analistas aplican modelos que organizan la evidencia y guían las preguntas. Profundiza en el Modelo Diamante —adversario, víctima, infraestructura y capacidades— y aprende cuándo tiene sentido usarlo frente a otros enfoques según el tipo de pregunta de inteligencia que quieras responder.
Roles y organización de una unidad de ciberinteligencia
Conoce los roles clave de una unidad real: collector, analista, jefe de unidad y disseminator. Entiende cómo se conectan entre sí y cómo la unidad se relaciona con el SOC, el equipo de respuesta a incidentes, el área legal y la dirección, bajo distintos modelos organizativos: in-house, MSSP o híbrido.
Técnicas analíticas estructuradas (SATs): ACH, Pre-mortem y Devil’s Advocate
El mayor enemigo del analista no es la falta de datos, sino sus propios sesgos. Aplica las principales Structured Analytic Techniques (SATs) para pensar con más rigor: el Análisis de Hipótesis Competidoras (ACH), el Key Assumptions Check, el Devil’s Advocate, el Crystal Ball y el Pre-mortem. Herramientas diseñadas para detectar puntos ciegos antes de que comprometan el análisis.
Ejecución de operaciones de inteligencia
Preparación del entorno: OPSEC del analista y sock puppets
Investigar ecosistemas hostiles sin protección adecuada puede exponer tu identidad y comprometer la operación entera. Aprende a preparar un entorno seguro: separación de identidades digitales, máquinas dedicadas por operación, gestión del tráfico según el nivel de riesgo (VPN, Tor, Whonix, Tails, VPS) y creación de identidades ficticias creíbles (sock puppets) con historial coherente y huella digital consistente.
Ecosistemas underground: foros, marketplaces y leak sites
Los ecosistemas clandestinos no son homogéneos. Explora la estructura interna de los foros —jerarquías, reputación, escrow, vouching— y las diferencias entre los ecosistemas angloparlante, ruso y chino. Aprende cómo funcionan los marketplaces y los sitios de filtraciones, cómo localizarlos y cómo recopilar información de forma sistemática con técnicas de scraping adaptadas a este tipo de entornos.
Telegram como fuente de inteligencia: Telethon y Pyrogram
Telegram ha desplazado parcialmente a los foros tradicionales como espacio de comunicación entre actores maliciosos. Entiende por qué se produjo ese desplazamiento, qué diferencia a canales, grupos y chats privados en términos de inteligencia, y cómo automatizar la recolección con Telethon y Pyrogram. Se trabaja con scripts funcionales y las consideraciones de OPSEC específicas para este entorno.
Procesamiento y enriquecimiento de datos: MISP, VirusTotal y OpenCTI
Entre la recolección y el análisis hay una fase crítica que suele subestimarse. Aprende a normalizar formatos heterogéneos, unificar alias, eliminar duplicados y extraer IOCs mediante técnicas de regex y NLP. Aplica el enriquecimiento con herramientas como VirusTotal, WHOIS, Shodan y pasivos DNS, pondera la fiabilidad de cada fuente con el Código Almirante y almacena todo con trazabilidad en plataformas como MISP u OpenCTI.
Taxonomía de actores: IABs, APTs, RaaS y hacktivistas
Para investigar a un actor, primero hay que entender el ecosistema en el que opera. Conoce los roles principales de la cadena de valor criminal: los traffers, los Initial Access Brokers (IABs), los grupos de ransomware bajo el modelo RaaS, las APTs con respaldo estatal y los hacktivistas. Comprender qué hace cada uno y cómo interactúan es imprescindible para interpretar correctamente la actividad observada, en coordinación con lo trabajado en Operaciones – Threat.
Construcción de un perfil de actor amenaza
Aprende a construir un perfil estructurado de un actor: identidad y alias conocidos, TTPs, infraestructura, motivaciones, tipo de víctimas y evolución en el tiempo. Trabaja con una plantilla estándar de perfil, aprende a alimentarla con evidencias trazables y a mantenerla actualizada a medida que el actor cambia. Se incluyen ejemplos reales anonimizados.
Reporting de inteligencia y generación de artefactos STIX 2.1
Un análisis impecable no sirve de nada si no llega bien a quien debe actuar. Aprende a adaptar el mismo informe a distintas audiencias: formato BLUF para el C-level, TTPs accionables para el SOC y IOCs listos para implementar para el analista técnico. Domina el uso de palabras de probabilidad estimativa para comunicar el nivel de certeza con precisión. Y da un paso más: traduce el informe narrativo a objetos STIX 2.1 —Threat Actor, Campaign, Indicator, Malware— para compartir inteligencia de forma estructurada y automatizable entre organizaciones.