INTELIGENCIA DE AMENAZAS // CHIMERASCOPE
Análisis cruzado de diez bases de datos de inteligencia autorizadas, mapeado al marco MITRE ATT&CK con predicción de explotación en el mundo real. Enriquecido, correlacionado, accionable.
Analizamos escenarios de amenazas, campañas e incidentes mediante una metodología propietaria de referencia cruzada. Cada indicador de compromiso se enriquece automáticamente contra diez bases de datos autorizadas, se mapea al marco MITRE ATT&CK y se sintetiza en un único producto de inteligencia accionable.
Se trata de un análisis de inteligencia estructurado que correlaciona hallazgos a través de diez fuentes autorizadas e independientes para identificar consensos, discrepancias y puntos ciegos que el análisis de una sola fuente pasa por alto.
Evaluación integral de amenazas sintetizada a partir de diez bases de datos de inteligencia autorizadas. Incluye resumen ejecutivo, hallazgos ponderados por confianza, indicadores conflictivos y brechas de inteligencia. Entregado como HTML cifrado con cadena completa de evidencia.
Cada dirección IP, dominio, hash, URL e identificador CVE extraído del análisis se enriquece automáticamente a través de diez fuentes autorizadas: puntuación de reputación, historial de abuso, exposición de infraestructura, atribución de familia de malware, probabilidad de explotación y clasificación de ruido en Internet. No se requiere búsqueda manual.
Todas las técnicas y procedimientos identificados se mapean al marco MITRE ATT&CK con granularidad de sub‑técnicas. Se identifican brechas de cobertura. Recomendaciones de prioridad de detección para cada técnica basadas en prevalencia e impacto.
Cada identificador CVE se enriquece con la puntuación base CVSS, clasificación de severidad, productos afectados y fecha de publicación de NIST NVD, predicción de explotación en el mundo real de EPSS y estado de explotación activa de CISA KEV. Va más allá del CVSS teórico para priorizar vulnerabilidades con explotación confirmada en entornos reales.
Nuestro análisis cruza referencias de indicadores contra diez bases de datos autorizadas en cuatro categorías — inteligencia de vulnerabilidades gubernamentales, reputación comercial, intercambio de amenazas comunitario e infraestructura de internet — cada una proporcionando una dimensión diferente del contexto de amenazas:
El repositorio oficial del gobierno de EE. UU. de datos de vulnerabilidades mantenido por el Instituto Nacional de Estándares y Tecnología. Proporciona puntuaciones CVSS, clasificación de gravedad, identificación de productos afectados y referencias de remediación para cada CVE conocido. La misma fuente utilizada por BSI CERT-Bund, ENISA y CISA para la divulgación coordinada de vulnerabilidades.
Mantenido por la Agencia de Seguridad de la Ciberseguridad e Infraestructura de EE. UU. (CISA), el organismo federal responsable de la defensa cibernética nacional. El catálogo KEV enumera vulnerabilidades con explotación activa confirmada en entornos reales — no riesgos teóricos, sino amenazas del mundo real. Las agencias federales civiles del poder ejecutivo de EE. UU. están obligadas a remediar las vulnerabilidades listadas en KEV bajo la Directiva Operativa Vinculante 22-01, lo que convierte a esta lista en la lista de prioridades de facto para la gestión de parches empresariales.
Mantenido por el Foro de Equipos de Respuesta a Incidentes y Seguridad (FIRST.org), el mismo organismo de estándares de la industria detrás de CVSS. EPSS ofrece puntuaciones de probabilidad actualizadas diariamente para la probabilidad de explotación en entornos reales dentro de los próximos 30 días. Complementa la gravedad estática de CVSS con una predicción de explotación dinámica y basada en datos, lo que permite priorizar vulnerabilidades según la probabilidad de amenaza real en lugar de solo la gravedad teórica.
Agrega resultados de detección de más de 70 proveedores de seguridad y entornos de pruebas. Cada dirección IP y dominio se verifica en busca de actividad maliciosa, proporcionando una puntuación de reputación basada en el consenso de detección más amplio disponible en la industria.
Inteligencia de infraestructura a nivel de Internet que identifica servicios expuestos, puertos abiertos, huellas tecnológicas y vulnerabilidades conocidas en direcciones IP objetivo. Revela la superficie de ataque técnica que complementa el análisis basado en reputación.
Base de datos de informes de abuso de IP de origen colaborativo con puntuación de confianza. Identifica direcciones IP involucradas en ataques de fuerza bruta, escaneo de puertos, spam y otras actividades maliciosas reportadas por operadores de red en todo el mundo.
Clasificación de ruido de Internet que distingue entre ataques dirigidos y escaneos masivos. Identifica si una dirección IP es un escáner conocido, un servicio benigno o realmente sospechoso, reduciendo falsos positivos en la evaluación de amenazas.
Operado por abuse.ch, una iniciativa sin fines de lucro de inteligencia de amenazas parcialmente financiada por el gobierno federal suizo. URLhaus mantiene una de las bases de datos abiertas más grandes de URLs maliciosas usadas activamente para la distribución de malware. Se actualiza continuamente a partir de contribuciones de la comunidad y análisis automatizados, alcanzando decenas de miles de URLs maliciosas confirmadas.
Plataforma de intercambio de indicadores de compromiso de abuse.ch con una red activa de colaboradores que abarca CERTs nacionales, investigadores de seguridad y socios de la industria. Valida cruzadamente los IOC contra observaciones de analistas independientes en todo el mundo, confirmando o contradiciendo hallazgos de bases de datos comerciales.
Repositorio de muestras de malware de abuse.ch con atribución de familia. Los hashes de archivos extraídos del análisis se cruzan para identificar familias de malware conocidas, campañas relacionadas y cadenas de herramientas de actores de amenaza, proporcionando un contexto de atribución que los servicios de reputación basados solo en hashes no pueden ofrecer.
Analice campañas de amenazas persistentes avanzadas conocidas o sospechosas. Identifique patrones de infraestructura, TTP y IOC con puntuación de confianza de atribución. Mapee la evolución de la campaña a lo largo del tiempo con validación de IOC proveniente de la comunidad.
Triaging rápido de incidentes de seguridad a partir de múltiples fuentes. Identifique vectores de ataque, prioridades de contención y requisitos de preservación de evidencia. Alineación con el marco NIST IR y contexto de vulnerabilidades priorizadas por KEV.
Vaya más allá de las puntuaciones base de CVSS. Contextualice las vulnerabilidades con la predicción de exploits EPSS, el estado de explotación activa CISA KEV y factores de riesgo específicos del sector. Priorice la aplicación de parches según la relevancia de la amenaza en el mundo real, no por la gravedad teórica.
Analice dependencias de terceros, indicadores de la cadena de suministro de software y patrones de compromiso de proveedores. Identifique riesgos de proveedores ascendentes mediante correlación multifuente antes de que se conviertan en incidentes.
Atribución basada en hash a familias de malware conocidas mediante correlación con MalwareBazaar. Identifique muestras relacionadas, infraestructura de campaña y cadenas de herramientas de actores de amenaza, convirtiendo IOC aislados en inteligencia a nivel de campaña.
Cruce referencias de URLs sospechosas contra URLhaus y exchanges de amenazas de la comunidad. Identifique infraestructura de distribución maliciosa conocida, campañas de phishing activas y servicios legítimos comprometidos utilizados para el alojamiento de malware.
La inteligencia de amenazas de una sola fuente tiene puntos ciegos conocidos. Los servicios comerciales de reputación sobresalen en cobertura amplia, pero pueden pasar por alto amenazas más recientes o específicas de una región. Las bases de datos gubernamentales son autoritativas para datos de vulnerabilidades, pero no capturan indicadores dinámicos como URLs maliciosas o el comportamiento de escáneres. Los intercambios comunitarios de amenazas proporcionan observaciones actuales y diversas, pero carecen de la autoridad de los organismos de estándares. Combinar diez fuentes autoritativas en cuatro categorías — gobierno, organismo de estándares, comercial y comunidad — genera hallazgos que son tanto confiables como exhaustivos. Cada indicador en el informe final incluye atribución de fuente, puntuación de confianza y estado de referencia cruzada, lo que permite un análisis transparente en lugar de conclusiones de caja negra.
Los informes de inteligencia se entregan como HTML cifrado autocontenido con cadena completa de evidencia, tablas de enriquecimiento de IOC, mapeo MITRE ATT&CK, puntuación de vulnerabilidades CVSS con predicción de explotación EPSS y contexto de explotación activa CISA KEV. Exportación JSON legible por máquinas disponible para integración con SIEM.
Plazo estándar: 24–48 horas desde la presentación. Análisis prioritario disponible para incidentes activos.
Envíe un escenario de amenaza, un identificador de campaña o una descripción del incidente. Nuestro análisis cruza referencias de cada indicador en diez bases de datos autorizadas y entrega un informe enriquecido y cifrado.
Describe el escenario de amenaza que necesita que analicemos. Todas las presentaciones se procesan a través de nuestra infraestructura cifrada.