📋 Contenido
⚡ Veredicto rápido
**MISP es el estándar de facto open source para sharing de threat intelligence**, ampliamente adoptado por CSIRTs gubernamentales, ISACs sectoriales y SOCs corporativos. Es potente pero su UX y curva de aprendizaje son duras — no es una herramienta plug-and-play, requiere inversión en ontologías, taxonomías y procesos.
✓ Puntos fuertes
- Estándar de facto para sharing comunitario (CSIRTs, ISACs, banca)
- Modelo de datos rico: eventos, atributos, objetos, galaxies, taxonomies
- Integraciones nativas con SIEM (Wazuh, Splunk), EDR, firewall, SOAR (TheHive)
- STIX 2.1 + TAXII 2.x soportados out of the box
- Comunidad activa con +100 feeds gratuitos curados
✗ Puntos débiles
- UX anticuada (PHP/CakePHP) — el dashboard requiere training
- Configuración inicial laboriosa: feeds, sharing groups, taxonomies, RBAC
- Sin atribución a actores out-of-the-box (hace falta enriquecer con MISP Galaxy)
- Escalado horizontal complicado en deployments grandes (>5M atributos)
Puntuación SecOpsIA: ★★★★☆ 4.4/5
Qué es MISP
MISP (originalmente Malware Information Sharing Platform, ahora simplemente MISP) es la plataforma open source para gestión y compartición de threat intelligence más adoptada del mundo. Nació en 2011 dentro del CSIRT del Ministerio de Defensa de Bélgica y se generalizó cuando CIRCL (CERT de Luxemburgo) y NATO NCIA tomaron el mantenimiento.
Hoy es la lingua franca entre CSIRTs gubernamentales, ISACs sectoriales (financial, energy, healthcare), banca y SOCs corporativos. Sus competidores comerciales (Recorded Future, Mandiant, ThreatConnect) añaden valor en feeds curados y analistas humanos, pero el formato y el ecosistema dependen de poder hablar MISP.
Ficha técnica
| Categoría | Threat Intelligence Platform (TIP) |
|---|---|
| Licencia | AGPL v3 (open source) |
| Desarrollador | MISP Project (mantenido por CIRCL y comunidad) |
| Lanzamiento | 2011 |
| Stack | PHP (CakePHP) + MySQL/MariaDB + Redis + workers Python |
| Modelo de datos | Eventos → Objetos → Atributos + Galaxies + Taxonomies + Warninglists |
| Sharing | Sharing Groups + Sync Servers + Feeds + Pull/Push |
| Formatos | STIX 1.x, STIX 2.1, OpenIOC, MISP JSON, CSV, Snort/Suricata, YARA |
| API | REST + PyMISP (cliente Python oficial) |
| Comunidad | +6.000 instancias activas, +100 feeds públicos |
| Web oficial | misp-project.org |
Modelo de datos: eventos, objetos, atributos
MISP organiza la información en una jerarquía:
- Evento — un incidente o investigación (ej: "Campaign X observada en febrero 2026").
- Objeto — agrupa atributos relacionados (ej: "file" con hash, nombre, tamaño, firma).
- Atributo — el dato atómico (un hash, una IP, un dominio).
- Galaxy — taxonomía de actores, ransomware, TTPs MITRE ATT&CK.
- Taxonomies — etiquetado estandarizado (TLP, PAP, admiralty-scale).
- Warninglists — listas de falsos positivos (rangos RFC1918, top Alexa, etc.).
Ejemplo simplificado de evento:
{
"Event": {
"info": "Spearphishing campaign attributed to APT-X",
"distribution": "3",
"threat_level_id": "2",
"analysis": "2",
"Attribute": [
{ "type": "sha256", "category": "Payload delivery", "value": "abc123..." },
{ "type": "domain", "category": "Network activity", "value": "malicious.example" }
],
"Tag": [
{ "name": "tlp:amber" },
{ "name": "misp-galaxy:threat-actor=\"APT-X\"" }
]
}
}
Compartir IOCs con la comunidad
MISP define tres mecanismos de sharing:
- Sharing Groups — grupos de organizaciones que comparten ciertos eventos. Útil para ISACs sectoriales.
- Sync Servers — sincronización bidireccional entre instancias MISP via PyMISP / REST.
- Feeds — consumir feeds públicos o privados (formato MISP JSON, CSV, STIX).
Las comunidades públicas más conocidas:
- CIRCL MISP — el feed más antiguo, multisectorial.
- abuse.ch — URLhaus, MalwareBazaar, ThreatFox (todos en formato MISP).
- ThreatFox — IOCs en tiempo real con etiquetado MITRE.
- OTX AlienVault — feed clásico, calidad mixta.
Gobierno español: CCN-CERT mantiene MISP propia para administración pública y operadores críticos.
Integración con el SOC
MISP no es un detector — su valor está en alimentar al resto del stack:
- Wazuh + MISP — integration script que consulta MISP en cada alerta, enriquece con IOCs conocidos. Ver /es/guias/wazuh-misp-integracion/.
- Splunk / Elastic — modules que importan atributos como lookup tables para correlación.
- TheHive + Cortex — TheHive crea casos desde eventos MISP, Cortex analiza atributos con analyzers (VirusTotal, AbuseIPDB, etc.).
- Firewall / Proxy — exportar listas de IPs/dominios para bloqueo automático.
- EDR — algunos EDRs (Sentinel, Elastic) consumen feeds STIX/TAXII directamente.
Un patrón maduro: MISP centraliza, SIEM correlaciona, EDR/Firewall bloquea, SOAR responde.
Instalación rápida
Hay tres opciones:
- Script oficial sobre Ubuntu 24.04 LTS:
wget --no-cache -O /tmp/INSTALL.sh https://raw.githubusercontent.com/MISP/MISP/2.5/INSTALL/INSTALL.sh
bash /tmp/INSTALL.sh -A
- Docker oficial (
misp-dockermantenido por la comunidad):
git clone https://github.com/MISP/misp-docker
cd misp-docker
cp template.env .env
# Edita FQDN, ADMIN_EMAIL, SECRETKEY, etc.
docker compose up -d
- Apliance — VM lista para descargar desde misp-project.org/download/.
Recomendado para producción: mínimo 4 vCPU + 8 GB RAM + 100 GB disco. Para deployments con +1M atributos, considera 16 vCPU + 32 GB RAM + tuning de MySQL.
Precios y modelo de negocio
| Precio | Incluye | |
|---|---|---|
| Open Source | Gratis (AGPL v3) | Todo el producto sin limitaciones |
| Soporte profesional CIRCL | Bajo demanda | Consultoría, training, deployments enterprise |
Preguntas frecuentes
¿Es MISP realmente gratuito?
Sí, AGPL v3. Puedes usarlo en producción sin coste de licencia. CIRCL ofrece soporte profesional opcional para deployments grandes.
¿MISP reemplaza a un SIEM?
No. MISP gestiona y comparte IOCs/TTPs. Es complementario al SIEM (que correlaciona logs y dispara alertas). Pattern habitual: el SIEM consulta MISP para enriquecer alertas.
¿Cuál es la diferencia entre MISP y OpenCTI?
MISP se centra en sharing operacional de IOCs entre organizaciones. OpenCTI modela conocimiento STIX 2.1 con grafo de actores/campañas, más orientado a análisis estratégico. Muchas organizaciones operan ambos en paralelo.
¿Es seguro exponer MISP a internet?
Solo si lo necesitas para sync entre instancias. Para uso interno, mantenlo en red privada y consúmelo via VPN. Si lo expones, configura RBAC estricto, 2FA y un WAF delante.