Feeds Técnicos: abuse.ch, OTX, MISP, CISA KEV y Malpedia en Detalle

Los feeds técnicos son la columna vertebral de cualquier programa CTI operativo

Un feed técnico de Threat Intelligence es una fuente estructurada y automatizable de indicadores, artefactos o metadatos sobre amenazas. A diferencia de los informes narrativos o los briefings estratégicos, los feeds técnicos están diseñados para consumo máquina: formatos parseables, APIs REST, actualizaciones periódicas y volúmenes que van desde decenas hasta millones de registros.

La calidad de tu CTI depende directamente de la calidad de tus feeds. Un SOC que solo consume un feed tiene puntos ciegos enormes. Un SOC que consume 30 feeds sin normalizar tiene ruido inmanejable. El punto óptimo está en seleccionar feeds complementarios, normalizar sus datos a un esquema común y evaluar continuamente su cobertura y frescura.

Este artículo analiza en profundidad los feeds técnicos más relevantes para un programa CTI: el ecosistema abuse.ch, AlienVault OTX, MISP feeds públicos, CISA KEV y Malpedia.

El ecosistema abuse.ch: cuatro feeds complementarios

abuse.ch, operado desde Suiza por el Institute for Cybersecurity and Engineering de la Bern University of Applied Sciences, es probablemente el proyecto de threat intelligence comunitario más importante del mundo. Ofrece cuatro feeds principales, cada uno especializado en un tipo de dato.

MalwareBazaar: el repositorio de samples

MalwareBazaar es una base de datos colaborativa de muestras de malware. Los investigadores suben samples y la comunidad los etiqueta con familias, tags y metadatos.

Datos que proporciona:

• Hashes (MD5, SHA1, SHA256) de cada sample
• Familia de malware (signature/tag)
• Fecha de primera vista y última actividad
• Tipo de archivo, tamaño, imphash
• Tags de la comunidad (CobaltStrike, Emotet, AgentTesla...)
• Información del uploader y comentarios

API y formatos:

POST https://mb-api.abuse.ch/api/v1/
Content-Type: application/x-www-form-urlencoded

query=get_recent&selector=time&limit=100

La API acepta consultas por hash, tag, signature, imphash y rango temporal. El formato de respuesta es JSON. También ofrece dumps completos en CSV (actualizados cada hora) que pueden pesar varios GB para el histórico completo.

Frecuencia: Tiempo real (API) o cada hora (dumps CSV).

Uso defensivo: Alimentar reglas de detección basadas en hash en EDR/SIEM. Correlacionar samples con familias conocidas. Enriquecer alertas con contexto de familia.

ThreatFox: IOCs de C2

ThreatFox recopila indicadores de command-and-control: IPs, dominios y URLs que el malware usa para comunicarse con sus operadores.

Datos que proporciona:

• IOC (IP:puerto, dominio, URL)
• Tipo de IOC (ip:port, domain, url)
• Familia de malware asociada
• Nivel de confianza (confidence_level: 0-100)
• Tags y contexto
• Reporter y fecha de reporte

API:

POST https://threatfox-api.abuse.ch/api/v1/
Content-Type: application/json

{"query": "get_iocs", "days": 7}

Frecuencia: Tiempo real. Los IOCs se publican conforme los investigadores los reportan.

Valor diferencial: ThreatFox vincula cada IOC con la familia de malware que lo utiliza. Esto permite construir el grafo malware-infraestructura de forma automatizada.

URLhaus: URLs de distribución

URLhaus rastrea URLs que distribuyen malware: servidores de descarga, sitios comprometidos que sirven payloads, y enlaces de phishing que entregan ejecutables.

Datos que proporciona:

• URL completa de distribución
• Estado (online/offline)
• Familia de malware servida
• Tags (exe, dll, doc, elf, apk, js...)
• Fecha de adición y última comprobación
• ASN y país del servidor

Formatos disponibles: JSON API, CSV dumps (reciente y completo), feeds en formato abuse-DNSBL.

Frecuencia: Cada 5 minutos (verificación de estado). Nuevas URLs en tiempo real.

Caso de uso crítico: Alimentar proxies web y firewalls para bloquear URLs de distribución activas. La verificación periódica del estado (online/offline) es especialmente útil para no bloquear URLs que ya han sido limpiadas.

Feodo Tracker: botnets bancarios

Feodo Tracker se especializa en infraestructura de botnets bancarios, particularmente las familias Dridex, Emotet (antes de su takedown), TrickBot y QakBot.

Datos que proporciona:

• IPs de servidores C2 de botnets
• Puerto utilizado
• Estado (online/offline)
• Familia de botnet
• Fecha de primera y última vista
• ASN y geolocalización

Formatos: JSON (ipblocklist.json), CSV, reglas para Suricata/Snort.

Frecuencia: Cada 5 minutos.

Integración directa: Las reglas Suricata/Snort pre-generadas permiten desplegar detección en IDS/IPS sin procesamiento adicional.

Resumen del ecosistema abuse.ch

Feed	Tipo de dato	Formato	Actualización	API key
MalwareBazaar	Hashes de samples	JSON, CSV	Tiempo real / 1h	Gratuita
ThreatFox	IOCs C2 (IP, domain, URL)	JSON	Tiempo real	Gratuita
URLhaus	URLs de distribución	JSON, CSV	5 min	No requiere
Feodo Tracker	IPs de botnets	JSON, CSV, Suricata	5 min	No requiere

AlienVault OTX: inteligencia comunitaria por pulsos

AlienVault Open Threat Exchange (OTX) es una plataforma comunitaria donde investigadores publican "pulsos" de inteligencia. Cada pulso agrupa IOCs relacionados con una amenaza, campaña o vulnerabilidad específica.

Estructura de un pulso OTX

Un pulso contiene:

• Nombre y descripción de la amenaza
• Indicadores (IPs, dominios, hashes, URLs, emails, CVEs, mutex, YARA rules)
• Tags y categorías
• Referencias a fuentes externas (blogs, reports, CVEs)
• TTPs mapeados a MITRE ATT&CK
• Grupos objetivo (sectores, regiones)
• Autor y fecha de creación

API de OTX

La API v2 de OTX permite:

GET https://otx.alienvault.com/api/v1/pulses/subscribed
Authorization: [API_KEY]

GET https://otx.alienvault.com/api/v1/indicators/IPv4/{ip}/general
GET https://otx.alienvault.com/api/v1/indicators/file/{hash}/general

Endpoints principales:

Endpoint	Función
/pulses/subscribed	Pulsos de tus suscripciones
/pulses/activity	Actividad reciente global
/indicators/{type}/{value}	Lookup de IOC individual
/search/pulses	Búsqueda por texto

Rate limits: 10.000 requests/día en el plan gratuito. Suficiente para la mayoría de integraciones automatizadas.

Fortalezas y limitaciones

Fortalezas:

• Volumen enorme: miles de pulsos nuevos por semana
• Cobertura amplia: desde APTs hasta phishing commodity
• Integración nativa con USM, OSSIM y productos AlienVault
• SDK oficial en Python (OTXv2)

Limitaciones:

• Calidad variable: cualquier usuario puede crear pulsos
• Duplicación frecuente de IOCs entre pulsos
• Algunos pulsos son copias automáticas de otros feeds sin valor añadido
• La atribución a familias/actores depende del autor del pulso

Estrategia de consumo: No suscribirse a todo. Crear listas de autores de confianza (investigadores conocidos, CERTs, vendors reputados) y filtrar por relevancia para tu sector.

MISP feeds: el estándar de compartición

MISP (Malware Information Sharing Platform) no es solo una herramienta: es un ecosistema de compartición con feeds estandarizados que cualquier instancia MISP puede consumir.

Feeds públicos de CIRCL

CIRCL (Computer Incident Response Center Luxembourg) opera los feeds MISP públicos más utilizados:

Feed	Contenido	URL
CIRCL OSINT	Eventos MISP curados	https://www.circl.lu/doc/misp/feed-osint/
Botvrij	IOCs de botnets	https://www.botvrij.eu/data/feed-osint/

Formato MISP

Los feeds MISP usan el formato MISP JSON, que estructura cada evento con:

{
  "Event": {
    "info": "Emotet campaign targeting DE financial sector",
    "date": "2026-06-01",
    "threat_level_id": "2",
    "analysis": "2",
    "Attribute": [
      {
        "type": "ip-dst",
        "value": "192.0.2.100",
        "category": "Network activity",
        "to_ids": true,
        "Tag": [{"name": "tlp:green"}]
      }
    ],
    "Galaxy": [...],
    "Tag": [{"name": "misp-galaxy:threat-actor=\"APT28\""}]
  }
}

Galaxies y taxonomías

Lo que hace a MISP especialmente potente para CTI es su sistema de galaxies: clusters de conocimiento que enlazan eventos con actores, familias de malware, técnicas ATT&CK, sectores y regiones. Un evento MISP no es solo una lista de IOCs; es un paquete de inteligencia contextualizada.

Integración sin instancia MISP propia

No necesitas operar una instancia MISP para consumir sus feeds. Los feeds públicos son archivos JSON estáticos que puedes descargar y parsear con cualquier lenguaje. Pero si operas una instancia, la sincronización es automática y bidireccional.

CISA KEV: el catálogo de vulnerabilidades explotadas

El catálogo Known Exploited Vulnerabilities (KEV) de CISA es una lista curada de CVEs con evidencia confirmada de explotación activa "in the wild".

Por qué KEV es diferente

Existen más de 250.000 CVEs publicados. La mayoría nunca se explotan activamente. KEV filtra esa masa para identificar las vulnerabilidades que los atacantes realmente están usando. Cada entrada requiere:

1. Tiene asignado un CVE
2. Existe evidencia fiable de explotación activa
3. Existe un parche o mitigación disponible

Campos del catálogo

Campo	Descripción
cveID	Identificador CVE
vendorProject	Fabricante afectado
product	Producto vulnerable
vulnerabilityName	Nombre descriptivo
dateAdded	Fecha de adición al catálogo
shortDescription	Descripción breve
requiredAction	Acción requerida (parche, mitigación)
dueDate	Fecha límite para agencias federales
knownRansomwareCampaignUse	Si se ha usado en ransomware (Known/Unknown)

API y formato

GET https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json

El feed es un único JSON que se actualiza conforme se añaden nuevas entradas. No requiere autenticación.

Frecuencia de actualización: Variable. CISA añade CVEs conforme confirma explotación activa. Pueden pasar días sin adiciones o añadir varias en un día.

Uso en priorización

KEV transforma la gestión de vulnerabilidades de "parchear por CVSS" (que puede ser engañoso) a "parchear lo que los atacantes realmente explotan". Un CVE con CVSS 6.5 en KEV es más urgente que un CVE con CVSS 9.8 sin evidencia de explotación.

La combinación de KEV con EPSS (Exploit Prediction Scoring System) da la imagen más completa: KEV dice qué se explota ahora, EPSS predice qué se explotará pronto.

Malpedia: la enciclopedia de familias y actores

Malpedia, mantenido por el Fraunhofer FKIE (Alemania), es una base de conocimiento sobre familias de malware y actores de amenaza. No es un feed de IOCs en el sentido tradicional: es un repositorio de conocimiento estructurado.

Qué contiene Malpedia

• Familias de malware: Nombre canónico, aliases, tipo (ransomware, RAT, loader...), descripción, plataformas afectadas
• Actores de amenaza: Nombre, aliases, país de origen, motivación, familias atribuidas
• Reglas YARA: Reglas de detección escritas y curadas por investigadores
• Referencias: Enlaces a reports, blogs y análisis publicados sobre cada familia
• Mapeado ATT&CK: Técnicas asociadas a cada familia

API REST

GET https://malpedia.caad.fkie.fraunhofer.de/api/list/families
GET https://malpedia.caad.fkie.fraunhofer.de/api/get/family/{family_name}
GET https://malpedia.caad.fkie.fraunhofer.de/api/get/yara/{family_name}
Authorization: apitoken [TOKEN]

Acceso: Requiere registro. Disponible para investigadores, profesionales de seguridad y organizaciones académicas. La aprobación no es automática.

Valor diferencial

Malpedia aporta algo que la mayoría de feeds no tienen: normalización taxonómica. Cuando 5 feeds distintos llaman a la misma familia "QBot", "Qakbot", "QuakBot" y "Pinkslipbot", Malpedia establece el nombre canónico y lista todos los aliases. Esta normalización es fundamental para correlacionar datos de múltiples feeds.

Tabla comparativa: 14 feeds técnicos

Feed	Tipo de dato	Formato	Frecuencia	API	Coste	Volumen
MalwareBazaar	Hashes, families	JSON, CSV	Real-time/1h	REST	Gratis	~500K samples
ThreatFox	C2 IOCs	JSON	Real-time	REST	Gratis	~150K IOCs
URLhaus	URLs distribución	JSON, CSV	5 min	REST	Gratis	~2M URLs
Feodo Tracker	IPs botnet	JSON, CSV, Suricata	5 min	No	Gratis	~2K IPs activas
OTX	Pulsos multi-IOC	JSON	Real-time	REST	Gratis	Millones
MISP CIRCL OSINT	Eventos MISP	MISP JSON	Variable	MISP sync	Gratis	~50K eventos
Botvrij	Botnets	MISP JSON	Variable	MISP sync	Gratis	~5K eventos
CISA KEV	CVEs explotados	JSON	Variable	No	Gratis	~1.200 CVEs
Malpedia	Families, YARA	JSON	Variable	REST	Gratis (registro)	~3K families
MITRE ATT&CK	TTPs, groups	STIX 2.1	Trimestral	TAXII	Gratis	~800 técnicas
ANY.RUN feeds	Comportamiento	JSON	Real-time	REST	Freemium	Variable
Ransomware.live	Víctimas RaaS	JSON	Diario	GitHub	Gratis	~15K víctimas
SigmaHQ	Reglas detección	YAML	Continuo	GitHub	Gratis	~3.5K reglas
EPSS	Predicción exploit	CSV	Diario	REST	Gratis	~200K CVEs

Evaluación de calidad de un feed

No todos los feeds merecen el mismo nivel de confianza. Antes de integrar un feed en tu pipeline, evalúa estos criterios:

Criterios de evaluación

Criterio	Preguntas clave
Frescura	¿Con qué frecuencia se actualiza? ¿Cuál es el lag entre la amenaza y la publicación?
Cobertura	¿Qué tipos de IOC incluye? ¿Qué familias/actores cubre? ¿Qué regiones/sectores?
Precisión	¿Cuál es la tasa de falsos positivos? ¿Se verifican los IOCs antes de publicarlos?
Contexto	¿Los IOCs vienen con familia, actor, TTP? ¿O son listas planas sin contexto?
Formato	¿Es parseable automáticamente? ¿Usa estándares (STIX, MISP, CSV)?
Estabilidad	¿La API tiene SLA? ¿Se ha caído en los últimos 12 meses? ¿Hay changelog?
Provenance	¿Quién opera el feed? ¿Qué incentivos tiene para mantener la calidad?

Matriz de madurez

• Nivel 1: Feed crudo sin contexto (lista de IPs). Útil para blocking, poco para analysis.
• Nivel 2: Feed con metadatos básicos (familia, fecha, tipo). Permite correlación simple.
• Nivel 3: Feed contextualizado (TTPs, actor, campaña, TLP). Habilita threat hunting.
• Nivel 4: Feed curado con verificación humana y YARA/Sigma rules. Permite detection engineering.

Patrones de integración

Ingesta directa vs. agregador

Ingesta directa: Cada feed se consume individualmente. Ventaja: control total. Desventaja: N pipelines que mantener, N esquemas que normalizar.

Agregador: Una plataforma (MISP, OpenCTI, MalwareIntel) normaliza todos los feeds a un esquema común. Ventaja: punto único de consulta, deduplicación automática, correlación cross-feed. Desventaja: dependencia del agregador.

Pipeline de ingesta recomendado

Feed API → Fetch (rate limited) → Validación formato
  → Normalización a esquema común → Deduplicación (type + value)
    → Enriquecimiento (familia, actor, TTP) → Almacenamiento
      → Distribución (SIEM, EDR, firewall, analistas)

Cada paso del pipeline debe ser idempotente. Si el worker falla a mitad, puede re-ejecutar sin duplicar datos.

Gestión de solapamiento

Todos los feeds se solapan parcialmente. La misma IP puede aparecer en ThreatFox, OTX y MISP simultáneamente. La estrategia correcta no es eliminar duplicados ciegos, sino merging inteligente:

1. Si el IOC ya existe, actualizar last_seen y confidence
2. Agregar la nueva fuente a la lista de sources
3. Si la nueva fuente aporta contexto adicional (familia, TTP), enriquecer
4. Si hay conflicto en la atribución de familia, mantener ambas con sus confidence respectivos

MalwareIntel como agregador de feeds

MalwareIntel integra 16 feeds técnicos en una interfaz unificada. Cada IOC en la plataforma incluye:

• Fuente original con enlace al feed
• Familia de malware normalizada (nomenclatura Malpedia)
• Fecha de primera y última vista consolidada entre feeds
• Confidence score calculado a partir de la cantidad de fuentes que lo reportan
• Estado activo/inactivo basado en decay temporal configurable

La pestaña /sources muestra el estado de cada feed: última ingesta, registros procesados, cobertura y freshness. Esto permite al analista evaluar la salud de sus fuentes de inteligencia de un vistazo.

Recursos

• abuse.ch (portal principal del ecosistema)
• MalwareBazaar API docs
• ThreatFox API docs
• URLhaus API docs
• Feodo Tracker
• AlienVault OTX (registro gratuito)
• MISP feeds documentation
• CISA KEV catalog
• Malpedia (registro requerido)
• EPSS (Exploit Prediction Scoring System, FIRST.org)