¿Cuál es la estructura mínima de un threat intelligence report?

Executive summary (1 párrafo con la conclusión principal), key findings (3-5 bullets accionables), análisis detallado (contexto, TTPs, atribución), IOCs en formato procesable (tabla o apéndice), y recomendaciones priorizadas. Sin executive summary no hay report, hay un dump de datos.

¿Cómo adapto un mismo análisis a audiencias distintas (SOC vs CISO vs board)?

Produces tres documentos distintos o tres secciones claramente separadas. SOC necesita IOCs, reglas de detección y playbooks. CISO necesita impacto en el negocio, riesgo residual y recursos necesarios. Board necesita una narrativa ejecutiva de 1 página con impacto financiero y decisiones requeridas.

¿Qué clasificación TLP debo usar en mis informes?

TLP:RED para información que solo puede compartirse con los destinatarios directos. TLP:AMBER para compartir dentro de la organización con need-to-know. TLP:GREEN para compartir con la comunidad CTI de confianza. TLP:CLEAR (antes WHITE) para información pública. La mayoría de informes internos son TLP:AMBER.

IntermedioCTIreportesanálisiscomunicaciónframeworks

Escribir un Threat Intelligence Report: Estructura, Audiencia y Actionable Output

Guía completa para escribir informes de threat intelligence eficaces: tipos de report (tactical, operational, strategic), estructura por audiencia (SOC, CISO, board), TLP, elementos visuales y errores comunes que reducen el impacto de tus análisis.

MalwareIntel Research·5 de junio de 2026·12 min lectura

Serie: Cyber Threat Intelligence — Parte 19

El informe es el producto final del ciclo de inteligencia. Si no comunica bien, el análisis no existió

Un threat intelligence report transforma datos crudos (IOCs, TTPs, artefactos) en inteligencia accionable para un consumidor específico. La diferencia entre un buen informe y un volcado de datos es la estructura, la audiencia y la capacidad de generar acción. Un analista CTI puede hacer un análisis técnico brillante y que nadie lo lea porque el informe no habla el idioma del receptor.

Este artículo cubre los tipos de informes, cómo estructurarlos según la audiencia, principios de escritura, clasificación TLP, elementos visuales y los errores más frecuentes que reducen el impacto de la inteligencia producida.

Tipos de informes CTI

No todos los informes sirven al mismo propósito. Cada tipo tiene un ciclo de vida, una audiencia y un nivel de detalle distinto.

Tactical Flash Report

Informe urgente emitido durante o inmediatamente después de un incidente o campaña activa. Su vida útil es de horas a días.

Elemento	Detalle
Tiempo de producción	Minutos a pocas horas
Extensión	1-2 páginas
Audiencia primaria	SOC, IR team
Contenido clave	IOCs inmediatos, reglas de detección, acciones de contención
Formato	Email, ticket SIEM, Slack/Teams

Ejemplo: "Flash: Campaña de phishing activa suplantando portal VPN corporativo. 3 dominios identificados, regla Sigma adjunta, bloquear en proxy inmediatamente."

Operational Report

Análisis de una campaña, actor o familia de malware con profundidad táctica y operacional. Su vida útil es de semanas a meses.

Elemento	Detalle
Tiempo de producción	Días a semanas
Extensión	5-15 páginas
Audiencia primaria	Threat hunters, analistas N2/N3, IR leads
Contenido clave	TTPs mapeados a ATT&CK, infraestructura C2, cadena de infección, IOCs con contexto
Formato	PDF, plataforma CTI interna, wiki

Strategic Report

Análisis de tendencias, evolución del panorama de amenazas o evaluación de riesgo sectorial. Su vida útil es de meses a un año.

Elemento	Detalle
Tiempo de producción	Semanas a meses
Extensión	10-30 páginas
Audiencia primaria	CISO, dirección, board, reguladores
Contenido clave	Tendencias, impacto en el negocio, comparativas sectoriales, recomendaciones estratégicas
Formato	PDF ejecutivo, presentación

RFI Response (Request for Information)

Respuesta a una solicitud específica de inteligencia de un stakeholder interno. El formato se adapta a la pregunta.

Ejemplos de RFI: "¿Estamos expuestos a la vulnerabilidad MOVEit?", "¿Qué actores atacan el sector energético en Europa?", "¿Debemos preocuparnos por el ransomware X?"

Audiencias y qué necesita cada una

El mismo evento de seguridad genera necesidades de información radicalmente distintas según quién lo consume.

SOC Analyst (N1/N2/N3)

Necesita actuar en minutos. Su pregunta es: "¿Qué hago ahora?"

IOCs en formato procesable (CSV, STIX, reglas YARA/Sigma)
Contexto mínimo suficiente: qué familia, qué actor, qué campaña
Playbook de respuesta o acciones de contención inmediatas
Prioridad clara: ¿es crítico o informativo?
Enlaces a análisis más profundos para quien quiera profundizar

CISO / Security Manager

Necesita tomar decisiones de recursos y riesgo. Su pregunta es: "¿Cuál es el impacto y qué necesito?"

Resumen ejecutivo de 1 párrafo con la conclusión
Impacto potencial en el negocio (no solo técnico)
Estado de exposición de la organización
Recursos necesarios para mitigar
Riesgo residual si no se actúa
Comparativa con peers del sector

Board / Dirección Ejecutiva

Necesita decidir inversiones y prioridades. Su pregunta es: "¿Cuánto nos puede costar y qué decisión se requiere?"

Narrativa ejecutiva sin jerga técnica (1 página máximo)
Impacto financiero estimado (coste de incidente, multas regulatorias)
Estado respecto a normativa aplicable (NIS2, DORA, ENS)
Decisión concreta requerida (aprobar presupuesto, contratar, aceptar riesgo)
Benchmarking sectorial

Estructura de un informe operacional completo

Esta es la estructura estándar que cubre la mayoría de informes CTI operacionales. Adaptable según tipo y audiencia.

1. Metadata y clasificación

TLP:AMBER
Informe: OPS-2026-042
Fecha: 2026-06-05
Autor: CTI Team
Confianza: ALTA (fuentes múltiples confirmadas)
Versión: 1.0

2. Executive Summary

Un párrafo. Máximo dos. Contiene la conclusión principal y la acción requerida. Quien solo lea esto debe entender qué pasa y qué hacer.

Ejemplo: "Se ha identificado una campaña activa del actor UNC4736 dirigida a empresas del sector energético europeo mediante spear-phishing con documentos Excel que explotan CVE-2024-XXXX. Tres organizaciones del sector en España han sido comprometidas. Se recomienda bloquear los IOCs adjuntos y revisar logs de las últimas 72 horas."

3. Key Findings

3-5 bullets concisos con los hallazgos principales. Cada bullet es una afirmación con nivel de confianza.

- [ALTA] Actor UNC4736 opera campaña activa contra sector energético EU desde 2026-05-20
- [ALTA] Vector inicial: spear-phishing con Excel (.xlsm) explotando CVE-2024-XXXX
- [MEDIA] C2 utiliza infraestructura en AS174xx, 3 IPs identificadas
- [MEDIA] Posible relación con APT28 basada en overlap de infraestructura
- [BAJA] Objetivo final estimado: exfiltración de datos SCADA

4. Análisis detallado

El cuerpo del informe. Aquí se desarrolla el "por qué" y el "cómo" de cada finding.

Cadena de infección: Descripción paso a paso del ataque, desde el acceso inicial hasta el impacto. Idealmente con diagrama.

Mapeo ATT&CK: Técnicas observadas mapeadas a MITRE ATT&CK con evidencia de cada mapeo.

Táctica	Técnica	ID	Evidencia
Initial Access	Spear-Phishing Attachment	T1566.001	Excel con macro VBA
Execution	Command and Scripting Interpreter	T1059.001	PowerShell encoded
Persistence	Registry Run Keys	T1547.001	HKCU\Software\Microsoft\Windows\CurrentVersion\Run
C2	Application Layer Protocol	T1071.001	HTTPS a dominio DGA

Atribución: Nivel de confianza, evidencia que soporta la atribución, hipótesis alternativas consideradas.

Análisis de infraestructura: Dominios, IPs, certificados, registradores, hosting, relaciones con campañas anteriores.

5. Indicadores de Compromiso (IOCs)

Tabla limpia con formato procesable. Incluir contexto para cada IOC.

Tipo	Valor	Contexto	TLP	Confianza
SHA256	a1b2c3d4...	Dropper Excel stage 1	AMBER	Alta
IPv4	185.xx.xx.xx	C2 server activo	AMBER	Alta
FQDN	update-srv[.]example	C2 domain DGA	AMBER	Alta
URL	hxxps://...	Distribución phishing	AMBER	Alta

Incluir también en formato STIX 2.1 o CSV como apéndice para ingesta directa en SIEM/SOAR.

6. Recomendaciones

Priorizadas por urgencia e impacto. Cada recomendación es accionable (quién hace qué).

INMEDIATO (24h):
  1. Bloquear IOCs en proxy/firewall/EDR
  2. Buscar IOCs en logs SIEM últimas 72h
  3. Verificar exposición a CVE-2024-XXXX en assets críticos

CORTO PLAZO (1-2 semanas):
  4. Desplegar regla Sigma adjunta en SIEM
  5. Actualizar playbook de phishing con variante Excel
  6. Parchear CVE-2024-XXXX en sistemas expuestos

MEDIO PLAZO (1-3 meses):
  7. Evaluar segmentación de red SCADA
  8. Implementar detección de DGA en DNS

7. Apéndices

IOCs en formato STIX 2.1
Reglas YARA para detección del dropper
Regla Sigma para detección en SIEM
Referencias y fuentes consultadas

Niveles de confianza en el análisis

Toda afirmación en un informe CTI debe llevar un nivel de confianza. Sin confianza, el receptor no sabe cuánto peso darle.

Nivel	Significado	Cuándo usar
CONFIRMADO	Verificado con evidencia directa	IOC observado en el entorno, malware analizado
ALTA	Múltiples fuentes independientes coinciden	Atribución con TTP overlap + infraestructura compartida
MEDIA	Evidencia parcial o fuente única confiable	Atribución basada solo en infraestructura
BAJA	Hipótesis basada en indicios circunstanciales	Relación inferida por proximidad temporal
ESPECULATIVA	Sin evidencia directa, basada en experiencia	Predicción de próximo movimiento del actor

La escala ICD 203 (Intelligence Community Directive) define niveles similares con terminología estandarizada. Lo importante no es la escala exacta sino que sea consistente dentro de tu equipo.

Clasificación TLP (Traffic Light Protocol)

TLP define con quién puedes compartir la información. Versión actual: TLP 2.0 (FIRST, 2022).

Color	Compartir con	Ejemplo
TLP:RED	Solo destinatarios directos	Vulnerabilidad 0-day no parcheada en tu infraestructura
TLP:AMBER+STRICT	Organización del receptor, solo need-to-know	Informe de incidente activo con datos de víctima
TLP:AMBER	Organización del receptor y sus clientes si aplica	Análisis de campaña con IOCs para compartir con subsidiarias
TLP:GREEN	Comunidad CTI de confianza (ISACs, CERTs)	Análisis de nueva variante de ransomware sin datos de víctima
TLP:CLEAR	Público	Advisory general, IOCs de feeds públicos

Regla práctica: cuando dudes, sube un nivel. Es más fácil reclasificar a la baja que contener una fuga.

Elementos visuales que mejoran el informe

Los informes puramente textuales se leen menos y se entienden peor. Los elementos visuales no son decoración, son herramientas de comunicación.

ATT&CK Navigator Heatmap

Exporta desde ATT&CK Navigator un heatmap con las técnicas observadas en la campaña. Muestra de un vistazo qué tácticas usa el actor y dónde están los gaps defensivos.

Timeline de eventos

Línea temporal con los hitos clave de la campaña o incidente. Fecha, evento, evidencia. Permite reconstruir la secuencia y detectar patrones temporales.

2026-05-20 14:30 UTC  →  Primer email de phishing detectado
2026-05-20 15:12 UTC  →  Primer dropper ejecutado (host-042)
2026-05-20 15:18 UTC  →  Beacon C2 inicial a 185.xx.xx.xx
2026-05-21 02:00 UTC  →  Lateral movement vía PsExec
2026-05-22 03:30 UTC  →  Exfiltración detectada (DNS tunneling)

Diagrama de infraestructura

Relaciones entre dominios, IPs, certificados, registradores. Herramientas: Maltego, draw.io, Cytoscape. Muestra pivots y overlap con campañas anteriores.

Diagrama de cadena de infección

Flujo visual desde el vector inicial hasta el impacto final. Cada paso con la técnica ATT&CK correspondiente.

Distribución del informe

Un informe que no llega al consumidor correcto en el momento adecuado es inútil.

Canal	Tipo de informe	Audiencia
SIEM/SOAR (automático)	IOCs en STIX/CSV	SOC, detección automática
Ticket/email urgente	Tactical flash	SOC, IR team
Plataforma CTI interna	Operacional completo	Analistas, threat hunters
Presentación ejecutiva	Strategic summary	CISO, board
ISAC/CERT sharing	Operacional sanitizado	Comunidad sectorial

Templates de informe

Template: Tactical Flash

[TLP:AMBER] FLASH — [título corto]
Fecha: YYYY-MM-DD HH:MM UTC
Confianza: [ALTA/MEDIA/BAJA]

SITUACIÓN: [1-2 líneas describiendo qué pasa]

ACCIÓN INMEDIATA:
  1. [acción concreta]
  2. [acción concreta]

IOCs:
  [tipo] | [valor] | [contexto]

CONTEXTO: [1 párrafo con el "por qué"]

Analista: [nombre] | Próxima actualización: [fecha/hora]

Template: Executive Brief (1 página)

[TLP:AMBER] EXECUTIVE BRIEF — [título]
Fecha: YYYY-MM-DD

RESUMEN: [1 párrafo con conclusión y acción requerida]

IMPACTO EN EL NEGOCIO:
  - [impacto operacional]
  - [impacto regulatorio]
  - [impacto financiero estimado]

ESTADO DE EXPOSICIÓN: [expuestos / no expuestos / en evaluación]

DECISIÓN REQUERIDA: [qué necesitas del receptor]

PRÓXIMOS PASOS: [qué hará el equipo CTI]

Errores comunes que matan la utilidad del informe

1. Escribir para ti mismo, no para el receptor

El informe no es tu cuaderno de notas. Si el SOC analyst necesita IOCs para bloquear y le das 10 páginas de análisis geopolítico, has fallado. Si el CISO necesita impacto de negocio y le das una tabla de hashes, has fallado.

2. IOCs sin contexto

Una lista de hashes sin explicar qué son, de qué familia, en qué fase de la cadena de infección aparecen y con qué confianza los atribuyes es un ejercicio de volcado de datos, no inteligencia.

3. Ausencia de niveles de confianza

"APT28 está detrás de este ataque" sin indicar el nivel de confianza es irresponsable. La diferencia entre "confirmado con evidencia directa" y "hipótesis basada en overlap de una IP" es abismal para la toma de decisiones.

4. Recomendaciones genéricas

"Mejorar la postura de seguridad" no es una recomendación. "Bloquear las 3 IPs adjuntas en el firewall perimetral antes de las 18:00 UTC" sí lo es. Cada recomendación debe responder: quién, qué, cuándo.

5. Informe sin fecha de caducidad

Los IOCs caducan. Las campañas terminan. Un informe sin fecha de revisión o caducidad circula indefinidamente generando falsos positivos o decisiones basadas en información obsoleta.

6. Sobrecargar de información

Un informe táctico no necesita contexto geopolítico. Un informe estratégico no necesita 500 IOCs. Más información no es mejor información. La selección y priorización son parte del trabajo del analista.

7. No incluir formato procesable por máquinas

Si el SOC tiene que copiar IOCs de un PDF y pegarlos uno a uno en el SIEM, has añadido fricción innecesaria. Adjuntar siempre un CSV, STIX bundle o regla YARA/Sigma que se pueda ingestar directamente.

Proceso de revisión antes de publicar

Todo informe debe pasar por un proceso de revisión antes de la distribución:

Fact-check: ¿Las afirmaciones técnicas son correctas? ¿Los IOCs están validados?
Clasificación TLP: ¿El nivel es apropiado? ¿Hay datos que requieran un nivel más alto?
Peer review: Otro analista revisa la lógica del análisis y la atribución
Sanitización: Eliminar metadatos del documento, nombres internos, referencias a sistemas propios
Formato: ¿El informe es legible? ¿Los IOCs están en formato procesable?

Herramientas para producción de informes

Herramienta	Uso
MITRE ATT&CK Navigator	Heatmaps de técnicas
Maltego	Diagramas de infraestructura
MISP	Generación automática de informes desde eventos
OpenCTI	Reports integrados con knowledge graph
TheHive	Informes de incidentes con observables
draw.io / Mermaid	Diagramas de cadena de infección
CyberChef	Deofuscación para incluir en análisis

Recursos

FIRST TLP 2.0 (Traffic Light Protocol specification)
MITRE ATT&CK Navigator (heatmap interactivo)
ICD 203 Analytic Standards (estándares de confianza)
ENISA Threat Intelligence Reports (ejemplos de informes estratégicos)
CTI League Report Templates (templates open source)
SANS CTI Summit Talks (presentaciones sobre writing CTI)