¿Cuántos analistas CTI necesita un SOC?

Depende del tamaño. Un SOC con 10-20 analistas N1/N2 funciona con 1-2 analistas CTI dedicados. Un SOC enterprise (50+ analistas) necesita 3-5, idealmente con especialización (uno en malware, uno en threat actors, uno en vulnerabilidades). En SOCs pequeños (menos de 10), un analista N2/N3 puede asumir funciones CTI parciales (30-50% de su tiempo).

¿Qué formación necesita un analista CTI?

Base: conocimientos de redes, sistemas operativos, fundamentos de seguridad ofensiva/defensiva. Específico: análisis de malware (al menos estático básico), frameworks CTI (ATT&CK, Diamond Model, Kill Chain), herramientas (MISP, YARA, Sigma), idiomas (inglés técnico obligatorio, ruso/chino/árabe es diferencial). Certificaciones útiles: GIAC GCTI, SANS FOR578, CREST CRTIA.

¿Cómo mido si el CTI está aportando valor al SOC?

Tres métricas clave: 1) Reducción de MTTD (Mean Time to Detect) en incidentes donde CTI proporcionó IOCs o context antes de la detección. 2) Hit rate de reglas CTI-driven (porcentaje de reglas custom que detectaron algo real). 3) Feedback del SOC: los analistas N1/N2 usan los productos CTI o los ignoran. Si los ignoran, el formato o la relevancia fallan.

IntermedioCTISOCworkflowanalistaoperacionalizaciónreporting

CTI en el SOC: Flujo de Trabajo Diario del Analista de Inteligencia

Flujo de trabajo diario del analista CTI integrado en un SOC: revisión matutina de feeds, triage de IOCs, enriquecimiento, correlación, reporting y soporte a threat hunting. Cómo CTI alimenta cada nivel del SOC.

MalwareIntel Research·5 de junio de 2026·13 min lectura

Serie: Cyber Threat Intelligence — Parte 30

El rol del analista CTI en el SOC

El analista de Cyber Threat Intelligence dentro de un SOC tiene un rol que muchos equipos definen mal: no es un analista N3 que también mira feeds, ni un investigador académico que publica reportes que nadie lee.

El analista CTI es el traductor entre el mundo exterior (amenazas, campañas, vulnerabilidades, actores) y el mundo interior (las defensas, las reglas, los analistas de turno). Su trabajo es que el SOC detecte más, responda mejor y anticipe antes.

Este artículo describe el flujo de trabajo diario, semanal y mensual de un analista CTI integrado en un SOC operativo.

Bloque matutino: feeds, triage y priorización

08:00 - 08:30: Revisión de feeds y fuentes

La jornada empieza revisando qué ha cambiado en el panorama de amenazas desde el día anterior.

Fuentes a revisar cada mañana (por orden de prioridad):

Alertas del stack propio: IOCs que han generado detecciones durante la noche. Esto es lo primero porque es lo que afecta a tu organización ahora.
MISP: nuevos eventos de las comunidades y feeds configurados. Filtrar por TLP, confianza y relevancia sectorial.
Feeds especializados del sector: si trabajas en banca, los feeds financieros. Si trabajas en energía, los feeds de ICS/SCADA. Si estás en gobierno, CCN-CERT y CISA.
Noticias CTI: Twitter/X (lista curada de investigadores), blogs de vendors (Mandiant, CrowdStrike, ESET, Kaspersky), Reddit r/netsec.
Vulnerabilidades nuevas: CISA KEV (vulnerabilidades explotadas activamente), NVD (nuevas CVEs críticas).

Lo que NO hacer por la mañana: leer todos los reportes completos. La revisión matutina es triage, no análisis profundo. Marca lo relevante para análisis posterior.

08:30 - 09:00: Triage de IOCs

De todo lo que has revisado, ¿qué es relevante para tu organización?

Criterios de triage:

Factor	Pregunta	Peso
Relevancia sectorial	¿El actor/malware ataca nuestro sector?	Alto
Relevancia geográfica	¿Ataca nuestra región?	Alto
Tipo de amenaza	¿Ransomware, espionaje, sabotaje?	Medio
Confianza del IOC	¿Fuente verificada? ¿Corroborado?	Alto
Frescura	¿IOC de hoy o de hace 6 meses?	Medio
Impacto potencial	¿Qué pasa si nos afecta?	Alto

Resultado del triage (tres cubos):

Acción inmediata: IOCs de alta confianza relevantes para nuestro sector. Van a reglas de detección hoy.
Análisis posterior: reportes interesantes que requieren lectura profunda. Se programan para el bloque de mediodía.
Archivo: información general útil para contexto pero sin acción inmediata.

09:00 - 09:15: Daily standup de inteligencia

Briefing corto al equipo SOC (5-10 minutos, no más). Formato estandarizado:

BRIEFING CTI DIARIO - [FECHA]

ALERTAS ACTIVAS:
- [Amenaza 1]: qué, quién, cómo nos afecta, acción recomendada.
- [Amenaza 2]: ...

NUEVOS IOCs DESPLEGADOS:
- [N] reglas YARA nuevas (campaña X).
- [N] IPs añadidas a blocklist (actor Y).
- [N] reglas Sigma actualizadas.

TENDENCIAS:
- [Una línea sobre cambio relevante en el panorama].

PENDIENTE:
- [Análisis en curso que puede generar acción].

Este briefing se envía también por Slack/Teams para el equipo que no está en el turno de mañana. Breve, accionable, sin relleno.

Bloque de mediodía: enriquecimiento, correlación y análisis

10:00 - 12:00: Enriquecimiento y análisis profundo

Los IOCs marcados como "análisis posterior" en el triage matutino se procesan ahora.

Workflow de enriquecimiento por tipo de IOC:

Hash de fichero:

Consultar VirusTotal: ¿detección? ¿comportamiento en sandbox?
Consultar MalwareBazaar: ¿familia conocida? ¿tags?
Si es desconocido: análisis estático básico (strings, imports, PDB path).
Si justifica: análisis dinámico (sandbox: ANY.RUN, Hybrid Analysis).
Resultado: ficha de malware con familia, TTPs, IOCs asociados.

IP/Dominio:

Consultar AbuseIPDB, VirusTotal, Shodan.
Resoluciones DNS pasivas (PassiveTotal, SecurityTrails).
Whois: ¿registrante? ¿fecha de registro reciente?
Geolocalización y ASN.
¿Aparece en otras campañas conocidas?
Resultado: perfil de infraestructura con relaciones.

Reporte de amenazas (vendor/investigador):

Leer el reporte completo.
Extraer IOCs, TTPs (mapeo ATT&CK), actores.
¿Nuestro sector/región aparece como objetivo?
¿Tenemos visibilidad para detectar las TTPs descritas?
Resultado: resumen ejecutivo + IOCs extraídos + gap analysis de detección.

12:00 - 13:00: Correlación con contexto interno

Aquí es donde CTI pasa de ser inteligencia externa a ser inteligencia accionable.

Preguntas de correlación:

¿Alguno de los IOCs nuevos aparece en nuestros logs históricos? (retrohunting)
¿Las TTPs descritas coinciden con alertas recientes del SOC que se cerraron como falsos positivos?
¿Tenemos los mismos productos/tecnologías que las víctimas del reporte?
¿Nuestras reglas de detección cubren las técnicas descritas?

Retrohunting: buscar IOCs nuevos en logs históricos es una de las tareas de mayor valor. Si encuentras una coincidencia, significa que el ataque ya ocurrió (o está en curso) y no lo detectaste con las reglas existentes. Eso es un incidente, no un dato curioso.

Bloque de tarde: producción, hunting y soporte

14:00 - 15:30: Producción de inteligencia

Los hallazgos del análisis se convierten en productos consumibles por diferentes audiencias.

Productos CTI por audiencia:

Producto	Audiencia	Frecuencia	Formato
IOCs para detección	SOC N1/N2, SIEM	Continuo	Reglas YARA/Sigma/Suricata
Alertas tácticas	SOC N2/N3	Según necesidad	Ticket + contexto en MISP
Briefing diario	Todo el SOC	Diario	Slack/email (5 líneas)
Reporte semanal	SOC Lead, CISO	Semanal	PDF/email (2-3 páginas)
Reporte mensual estratégico	CISO, Dirección	Mensual	PDF (5-10 páginas)
Threat landscape update	Stakeholders	Trimestral	Presentación

Regla de oro de la producción CTI: cada producto debe responder "so what?" para su audiencia. Un analista N1 necesita saber qué buscar. Un CISO necesita saber qué riesgo tiene. Si no responde "so what?", es información, no inteligencia.

15:30 - 16:30: Soporte a threat hunting

El analista CTI no hace hunting directamente (eso es rol del threat hunter o N3), pero proporciona las hipótesis y el contexto.

Cómo CTI alimenta el hunting:

Hipótesis basadas en inteligencia: "El actor APT-X ha atacado nuestro sector esta semana usando la técnica T1053.005 (Scheduled Task). Hipótesis: revisar si hay tareas programadas sospechosas creadas en los últimos 7 días."
IOCs para hunting retroactivo: hashes, IPs y dominios nuevos que no estaban en las reglas cuando ocurrieron posibles ataques.
TTPs traducidas a queries: CTI traduce las técnicas del reporte de amenazas en queries concretas para el SIEM. Ejemplo: T1053.005 en Sysmon -> EventID 1 con ParentImage schtasks.exe y CommandLine sospechoso.
Contexto durante la investigación: cuando el hunter encuentra algo, CTI aporta contexto. "Esa IP que encontraste está asociada al actor Lazarus Group, que usa esa infraestructura para staging de herramientas."

16:30 - 17:00: Actualización de plataformas y cierre

Subir nuevos IOCs a MISP con taxonomías y contexto.
Actualizar casos en TheHive si procede.
Desplegar reglas de detección nuevas (YARA, Sigma, Suricata).
Documentar análisis del día en el knowledge base del equipo.
Preparar handoff para el siguiente turno (si hay rotación).

Integración CTI con los niveles del SOC

N1 (Triage): IOCs y contexto rápido

El analista N1 recibe alertas y necesita decidir en segundos: ¿escalar o cerrar?

Lo que CTI proporciona a N1:

Blocklists actualizadas que generan alertas con contexto ("IP asociada a Emotet C2, confianza alta, activa desde hace 3 días").
Dashboards de IOCs activos con severity.
Documentación corta: "si ves X, escala como Y."

Lo que N1 devuelve a CTI:

Volumen de alertas por tipo (¿las reglas CTI generan demasiado ruido?).
Alertas cerradas que podrían ser falsos negativos (CTI revisa si la decisión fue correcta).

N2 (Investigación): contexto y correlación

El analista N2 investiga las alertas escaladas y necesita entender qué está pasando.

Lo que CTI proporciona a N2:

Contexto del actor/campaña: motivación, TTPs habituales, infraestructura conocida.
IOCs relacionados para ampliar la investigación.
Mapeo ATT&CK del incidente: qué técnicas se han observado, qué técnicas faltan por observar.

Lo que N2 devuelve a CTI:

Nuevos IOCs descubiertos durante la investigación (dominios, hashes, mutex no documentados).
Confirmación o negación de la atribución sugerida por CTI.
Lagunas de detección identificadas durante la investigación.

N3 (Hunting / Respuesta): TTPs y hipótesis

El analista N3 busca amenazas que las reglas no han detectado y lidera la respuesta a incidentes.

Lo que CTI proporciona a N3:

Hipótesis de hunting basadas en inteligencia actual.
TTPs priorizadas por relevancia sectorial.
Reglas de detección experimental para validar.
Apoyo analítico durante la respuesta a incidentes (atribución, alcance del compromiso).

Lo que N3 devuelve a CTI:

Hallazgos de hunting que confirman o desmienten hipótesis CTI.
Muestras de malware y artefactos para análisis.
Feedback sobre la calidad de las reglas de detección.

Cadencia semanal y mensual

Reporte semanal de amenazas

Cada viernes (o lunes, según la preferencia del equipo), el analista CTI produce un reporte semanal. Estructura recomendada:

THREAT LANDSCAPE SEMANAL - Semana [N]

1. RESUMEN EJECUTIVO (3 líneas)
   Lo más relevante de la semana para nuestra organización.

2. AMENAZAS ACTIVAS
   - Campañas observadas que afectan a nuestro sector.
   - Vulnerabilidades explotadas activamente (KEV nuevas).
   - Cambios en la infraestructura de actores relevantes.

3. DETECCIONES CTI
   - Reglas desplegadas esta semana: [N YARA, N Sigma, N Suricata].
   - Hit rate de reglas CTI: [%].
   - IOCs procesados: [N] de [N fuentes].

4. GAPS DE DETECCIÓN
   - Técnicas ATT&CK sin cobertura identificadas esta semana.
   - Recomendaciones de mejora.

5. PRÓXIMA SEMANA
   - Análisis pendientes.
   - Eventos relevantes (conferencias, publicaciones esperadas).

Reporte mensual estratégico

Dirigido al CISO y dirección. No técnico. Enfocado en riesgo y tendencias.

Contenido:

Tendencias de amenazas del mes (ransomware, espionaje, hacktivismo).
Incidentes del sector (qué les pasó a otros, qué aprendemos).
Estado de la cobertura de detección (% de ATT&CK cubierto).
ROI del programa CTI (incidentes detectados o evitados gracias a CTI).
Recomendaciones estratégicas (inversiones, prioridades).

Herramientas del día a día

Stack mínimo del analista CTI

Herramienta	Función	Uso diario
MISP	Base de datos de IOCs, correlación, compartición	Continuo
TheHive	Gestión de casos	Cada alerta relevante
Cortex	Enriquecimiento automatizado	Cada IOC nuevo
SIEM (Wazuh/Elastic/Splunk)	Retrohunting, validación de detecciones	2-3 veces/día
n8n o similar	Automatización de workflows	Configuración semanal, ejecución continua
YARA / yarGen	Escritura de reglas de fichero	Según necesidad
Sigma / pySigma	Escritura de reglas de log	Según necesidad
CyberChef	Decodificación, análisis rápido	Varias veces/día
MalwareIntel	Feed CTI, contexto IOCs	Revisión matutina

Herramientas complementarias

Maltego: análisis de relaciones y grafos (investigaciones complejas).
Obsidian / Wiki: knowledge base del equipo CTI.
Draw.io / Mermaid: diagramas de infraestructura de actores.
ANY.RUN / Hybrid Analysis: análisis dinámico de malware.
Shodan / Censys: reconocimiento de infraestructura.

Métricas para CTI en el SOC

Métricas operativas (semanales)

IOCs procesados: volumen de IOCs ingeridos, enriquecidos y desplegados.
Reglas desplegadas: nuevas reglas YARA/Sigma/Suricata creadas.
Hit rate: porcentaje de reglas CTI que generaron detecciones reales.
False positive rate: alertas CTI descartadas como FP.
Tiempo de despliegue: desde la publicación del IOC hasta su activación en el stack de detección.

Métricas de impacto (mensuales)

MTTD delta: diferencia en tiempo de detección con y sin CTI.
Incidentes evitados: amenazas detectadas proactivamente gracias a CTI (antes de que el atacante lograra su objetivo).
Cobertura ATT&CK: porcentaje de técnicas relevantes con regla de detección activa.
Valor del retrohunting: incidentes descubiertos buscando IOCs nuevos en logs históricos.

Cómo presentar métricas al CISO

El CISO no quiere saber cuántos IOCs procesaste. Quiere saber:

¿Estamos más seguros que el mes pasado? (tendencia de cobertura).
¿Cuánto nos ha ahorrado CTI? (incidentes evitados x coste medio de incidente).
¿Qué no estamos viendo? (gaps de detección priorizados por riesgo).

Construir la relación CTI y SOC

El problema más común

El equipo CTI produce reportes que el SOC no lee. El SOC quiere IOCs para bloquear y no entiende por qué CTI tarda días en producir un informe. Hay un gap de expectativas.

Cómo resolverlo

Integrar físicamente (o virtualmente): el analista CTI debe sentarse con el SOC, no en otra planta o edificio. Debe escuchar las alertas, los problemas, las quejas.
Producir en formato consumible: el SOC N1 necesita reglas, no PDFs. El N2 necesita contexto en el ticket, no un reporte aparte. El N3 necesita hipótesis concretas, no "el panorama de amenazas está evolucionando".
Pedir feedback activamente: "¿Las reglas que desplegué esta semana generaron ruido? ¿El briefing matutino es útil o lo ignoras? ¿Qué información te falta para investigar mejor?"
Celebrar los hits: cuando una regla CTI detecta un ataque real, comunícalo. Es la prueba de valor del programa.
Aceptar la velocidad del SOC: CTI quiere analizar a fondo. El SOC necesita respuestas en minutos. Aprende a dar respuestas parciales rápidas y completar después.

Desarrollo profesional del analista CTI

Ruta de crecimiento

Junior CTI Analyst (0-2 años)
├── Ingesta y triage de feeds
├── Enriquecimiento básico de IOCs
├── Escritura de reglas simples (YARA/Sigma)
└── Soporte al briefing diario

Mid CTI Analyst (2-5 años)
├── Análisis de campañas y actores
├── Producción de reportes tácticos y operacionales
├── Threat hunting con hipótesis propias
├── Relaciones con comunidades MISP
└── Mentoría de juniors

Senior CTI Analyst (5+ años)
├── Análisis estratégico y forecasting
├── Relación con CISO y dirección
├── Diseño de la estrategia CTI del SOC
├── Contribución a comunidad (publicaciones, conferencias)
└── Gestión del programa CTI completo

Formación continua

Certificaciones: GIAC GCTI, SANS FOR578 (más práctico), CREST CRTIA.
Comunidades: FIRST, MISP communities, ISACs sectoriales, foros de análisis de malware.
Conferencias: FIRST Conference, Virus Bulletin, CyberWarCon, SANS CTI Summit.
Práctica: CTF de threat intelligence, MalwareBazaar submissions, contribuciones a SigmaHQ.
Lecturas: APT reports (Mandiant, CrowdStrike, ESET), libros de Michael Mezzanotte ("Intelligence-Driven Incident Response").

Recursos

MISP Project (plataforma de compartición y gestión de IOCs).
SigmaHQ (reglas de detección basadas en logs).
MITRE ATT&CK (framework de TTPs).
SANS FOR578 (curso CTI de referencia).
Intelligence-Driven Incident Response (libro recomendado).
MalwareIntel (feed CTI con contexto en español, integrable en MISP).
CyberChef (herramienta de análisis y decodificación).