Una Threat Intelligence Platform (TIP) centraliza indicadores de compromiso (IOCs: hashes, IPs, dominios, URLs), tácticas y técnicas (TTPs) y los enriquece con contexto: actor atribuido, campaña, sectores afectados. Su valor está en automatizar el ciclo: ingestar feeds → correlacionar → enriquecer → distribuir a SIEM/EDR/firewall.
En español es un nicho de baja competencia editorial. Las dos referencias open source (MISP y OpenCTI) cubren bien la mayor parte de necesidades; los comerciales (Recorded Future, Mandiant, ThreatConnect) añaden feeds curados y analistas humanos.
Tabla comparativa rapida
| Herramienta | Modelo | Mejor para |
|---|---|---|
| MISP | Open source (AGPL) | Sharing comunitario, IOCs, integración SOC |
Herramientas
Guia de compra
¿Necesitas compartir IOCs con otras organizaciones?
MISP es el estándar de facto para sharing en comunidades ISAC, CSIRTs, banca y administración pública.
¿Te interesa la atribución a actores?
OpenCTI modela el conocimiento STIX 2.1 con grafo de actores/campañas. Comerciales (Recorded Future, Mandiant) tienen analistas humanos.
¿Quieres pagar por feeds o operar con públicos?
Feeds comerciales: Recorded Future, Mandiant, Crowdstrike. Públicos: AlienVault OTX, abuse.ch, MISP communities. Mezcla ambos.