¿Qué es un ISAC y cómo me uno a uno?

Un ISAC (Information Sharing and Analysis Center) es una organización sectorial sin ánimo de lucro que facilita la compartición de inteligencia sobre amenazas entre empresas del mismo sector. Para unirte necesitas que tu organización pertenezca al sector del ISAC, pagar la cuota de membresía (variable según ISAC y tamaño de empresa) y firmar un acuerdo de compartición. El proceso típico incluye una verificación de identidad y un período de probation.

¿Cuál es la diferencia entre TLP:AMBER y TLP:RED?

TLP:AMBER permite compartir la información dentro de tu organización y con clientes o socios que necesiten conocerla para protegerse ('need to know'). TLP:RED restringe la información exclusivamente a los participantes de la reunión, llamada o email en la que se compartió. No puede reenviarse ni compartirse con nadie más, ni siquiera dentro de tu propia organización.

¿Puedo obtener inteligencia valiosa sin pertenecer a un ISAC?

Sí. Los CERTs nacionales (como CCN-CERT o INCIBE-CERT en España) ofrecen servicios gratuitos a las organizaciones de su jurisdicción. Los vendor advisories son públicos. Las comunidades de investigadores en plataformas como FIRST proporcionan acceso a trust groups. Y los feeds técnicos abiertos (abuse.ch, OTX, MISP público) cubren una parte significativa de la inteligencia operativa. Los ISACs añaden valor específico sectorial, pero no son el único camino.

IntermedioCTIHUMINTISACsCERTsTLPcomparticiónfuentes cerradas

HUMINT y Closed Sources: ISACs, CERTs y Compartición Bilateral

Fuentes de inteligencia no públicas en CTI: ISACs sectoriales (FS-ISAC, H-ISAC, E-ISAC), CERTs nacionales, compartición bilateral, protocolo TLP, trust groups y vendor intelligence. Cómo acceder a inteligencia que no está en feeds abiertos.

MalwareIntel Research·5 de junio de 2026·12 min lectura

Serie: Cyber Threat Intelligence — Parte 14

No toda la inteligencia relevante está en feeds públicos

Los feeds técnicos abiertos (abuse.ch, OTX, MISP público, CISA KEV) cubren una parte importante de la inteligencia operativa. Pero existe un estrato de inteligencia que nunca llega a los feeds públicos: indicadores compartidos bajo TLP:AMBER entre miembros de un ISAC, alertas tempranas de un CERT nacional antes de la publicación pública, briefings bilaterales entre equipos de seguridad de organizaciones del mismo sector, o inteligencia de vendor que solo reciben los clientes con contrato de soporte.

Este artículo explora las fuentes de inteligencia "cerradas" o de acceso restringido: ISACs, CERTs, acuerdos bilaterales, trust groups y vendor intelligence.

HUMINT en el contexto cyber

HUMINT (Human Intelligence) en ciberseguridad no se refiere a espionaje tradicional. Se refiere a inteligencia obtenida a través de relaciones humanas: conversaciones con otros profesionales de seguridad, participación en comunidades cerradas, asistencia a conferencias, briefings directos de CERTs, y la confianza construida entre equipos que comparten información que no publicarían en un feed abierto.

La HUMINT cyber tiene características propias:

Es relacional: Requiere construir confianza antes de recibir valor. Un analista que solo consume sin aportar, deja de recibir.
Es contextual: La información incluye matices que los feeds automáticos pierden: "este actor está cambiando de objetivo", "esta familia tiene una variante sin documentar que afecta a vuestro sector".
Es perecedera: Mucha HUMINT tiene valor durante horas o días. Si tarda semanas en procesarse, ya no es accionable.
Es difícil de escalar: No puedes automatizar una relación de confianza.

ISACs: compartición sectorial

Los Information Sharing and Analysis Centers (ISACs) son organizaciones sectoriales que facilitan la compartición de inteligencia sobre amenazas entre organizaciones del mismo sector. Nacieron en EE.UU. tras la Presidential Decision Directive 63 (1998) y se han expandido globalmente.

Principales ISACs por sector

ISAC	Sector	Fundación	Miembros	Cobertura
FS-ISAC	Financiero	1999	~7.000	Global
H-ISAC	Salud	2010	~900	EE.UU. + global
E-ISAC	Energía eléctrica	1999	~1.500	EE.UU. + Canadá
IT-ISAC	Tecnología	2000	~100 empresas tech	Global
MS-ISAC	Gobierno estatal/local	2003	~14.000	EE.UU.
A-ISAC	Aviación	2014	~300	Global
AUTO-ISAC	Automoción	2015	~60	Global
RH-ISAC	Retail/Hospitality	2014	~200	Global
WaterISAC	Agua	2002	~5.000	EE.UU.
ONG-ISAC	Organizaciones sin ánimo de lucro	2021	Emergente	Global

En Europa

Europa tiene un ecosistema equivalente pero con nomenclatura diferente:

EE-ISAC: Energía eléctrica europea
EBF (European Banking Federation): Compartición en banca
ECSO (European Cyber Security Organisation): Cross-sector
ENISA Cooperation Groups: Por sectores NIS2 (transporte, digital, salud...)

España cuenta con el CSIRT.es como coordinador nacional y CERTs sectoriales como el CCN-CERT (administración pública) e INCIBE-CERT (ciudadanos y empresas).

Qué aporta un ISAC que no aporta un feed público

Alertas tempranas sectoriales: "Estamos viendo una campaña de phishing dirigida a bancos españoles que usa esta familia X con estos IOCs". Esto puede llegar horas o días antes de que aparezca en feeds públicos.
Contexto sectorial: Los IOCs vienen acompañados de análisis específico del sector. No es lo mismo un IOC genérico que uno con el contexto "este grupo está atacando hospitales europeos con ransomware que cifra sistemas DICOM".
Validación comunitaria: Cuando un miembro reporta un IOC, otros miembros confirman o desmienten si lo ven en su red. Esto reduce falsos positivos de forma comunitaria.
Relaciones de confianza: Las personas detrás de los reportes tienen nombre y cara. Puedes llamar por teléfono para pedir más contexto.
Ejercicios conjuntos: Simulacros de incidentes sectoriales, tabletop exercises, y playbooks compartidos.

Cómo unirse a un ISAC

El proceso típico:

Verificar que tu organización pertenece al sector del ISAC
Contactar al ISAC y solicitar membresía
Firmar el acuerdo de compartición (NDA + reglas de handling)
Pagar la cuota anual (varía: desde gratuito para MS-ISAC hasta decenas de miles para FS-ISAC, según tamaño de empresa)
Designar un punto de contacto (POC) y un POC de respaldo
Período de onboarding (formación en protocolos de compartición)

CERTs como fuentes de inteligencia

Los Computer Emergency Response Teams (CERTs) o Computer Security Incident Response Teams (CSIRTs) nacionales son una fuente de inteligencia frecuentemente infrautilizada.

Servicios de inteligencia de los CERTs

Servicio	Descripción
Alertas tempranas	Avisos sobre vulnerabilidades y campañas activas antes de publicación pública
Informes de situación	Análisis periódicos del panorama de amenazas nacional/sectorial
IOCs curados	Indicadores verificados, a menudo bajo TLP:AMBER
Coordinación de incidentes	Actúan como intermediarios cuando la víctima no quiere ser identificada
Briefings sectoriales	Sesiones informativas para operadores de servicios esenciales

CERTs relevantes en el ecosistema español y europeo

CERT	Ámbito	Servicios CTI
CCN-CERT	Administración pública española	SAT-INET, informes CCN-CERT, LUCIA, REYES
INCIBE-CERT	Ciudadanos y empresas españolas	Avisos de seguridad, boletines sectoriales
CERT-EU	Instituciones de la UE	Briefings, IOCs curados, informes de amenazas
ENISA	Agencia de la UE	Threat Landscape anual, guías, coordinación
BSI	Alemania	CERT-Bund, alertas técnicas, informes anuales
ANSSI	Francia	Alertas, informes APT detallados (excelentes)
NCSC	Reino Unido	Weekly Threat Reports, advisories conjuntos

Acceso a la inteligencia de CERTs

La mayoría de CERTs nacionales ofrecen servicios gratuitos a las organizaciones de su jurisdicción. El proceso:

Registrarse como constituency (organización atendida por el CERT)
Designar un POC técnico
Suscribirse a las listas de distribución
Participar en los ejercicios (recomendado para construir relación)

En España, el CCN-CERT requiere que las organizaciones de la administración pública estén registradas. INCIBE-CERT atiende a cualquier empresa española.

Compartición bilateral

Más allá de los ISACs y CERTs, la compartición bilateral (organización a organización) es una de las fuentes de inteligencia más valiosas y menos documentadas.

Modelos de compartición bilateral

Peer-to-peer sectorial: Dos bancos, dos utilities, dos telcos que comparten IOCs y contexto directamente. Funciona porque comparten superficie de ataque similar.

Proveedor-cliente: Un MSSP o vendor de seguridad comparte inteligencia específica con sus clientes. Ejemplo: CrowdStrike Intelligence comparte IOCs y análisis de actores con clientes de Falcon.

Investigador-SOC: Investigadores independientes o académicos comparten hallazgos con equipos SOC de organizaciones afectadas.

Cross-sector coordinado: Organizaciones de sectores diferentes que se ven afectadas por la misma cadena de suministro. Ejemplo: un ataque a un proveedor cloud afecta a clientes de múltiples sectores.

Reglas para compartición bilateral efectiva

Reciprocidad: Aporta tanto como recibes. Si solo consumes, la relación se seca.
Velocidad: Comparte pronto, incluso si la información es preliminar. Mejor un IOC sin contexto completo ahora que un informe perfecto en dos semanas.
Formato estandarizado: Usa STIX/TAXII o MISP para que el receptor pueda ingestar automáticamente.
TLP explícito: Siempre marca el nivel de compartición. Sin TLP, el receptor no sabe qué puede hacer con la información.
Canal seguro: PGP para email, plataformas cifradas para chat. Nunca IOCs en texto plano por email corporativo sin cifrar.

El protocolo TLP en detalle

El Traffic Light Protocol (TLP) es el estándar de facto para marcar el nivel de compartición de información de inteligencia. La versión actual es TLP 2.0 (publicada por FIRST en agosto 2022).

Los cuatro niveles

Nivel	Color	Alcance de compartición
TLP:RED	Rojo	Solo los participantes directos. No reenviar.
TLP:AMBER	Ámbar	Tu organización + clientes/socios que necesiten saberlo (need-to-know)
TLP:AMBER+STRICT	Ámbar	Solo tu organización. No compartir con clientes ni socios.
TLP:GREEN	Verde	Tu comunidad (sector, ISAC, partners). No publicar en Internet.
TLP:CLEAR	Blanco	Sin restricciones. Publicar libremente.

Cambios de TLP 1.0 a TLP 2.0

TLP:WHITE pasa a llamarse TLP:CLEAR
Se añade TLP:AMBER+STRICT para distinguir entre compartir con tu org sola vs. tu org + sus clientes
Se clarifica que TLP aplica a la información, no al documento. Un documento TLP:GREEN puede contener un IOC que alguien compartió como TLP:AMBER (en ese caso, el IOC individual mantiene TLP:AMBER)

Errores comunes con TLP

No marcar TLP: Si no marcas nivel, el receptor asume la restricción máxima y no puede actuar.
Elevar sin permiso: Tratar TLP:GREEN como TLP:CLEAR y publicar en un blog. Esto destruye la confianza.
Ignorar el contexto: TLP:AMBER no significa "secreto". Significa "comparte con quien necesite saberlo dentro de tu org y clientes directos".

Trust groups y comunidades de confianza

Los trust groups son comunidades más pequeñas e informales que los ISACs, basadas en relaciones personales entre profesionales de seguridad.

Ejemplos de trust groups

FIRST (Forum of Incident Response and Security Teams): La organización global que agrupa a CERTs y CSIRTs. Sus SIGs (Special Interest Groups) funcionan como trust groups temáticos.
Grupos regionales de FIRST: FIRST tiene capítulos regionales donde los miembros se conocen personalmente.
Grupos de Verizon DBIR: Los contribuidores al Data Breach Investigations Report forman una comunidad que comparte datos de incidentes.
Conferencias como trust building: BSides, sector-specific cons, y los pasillos de Black Hat/DEF CON son donde se construyen relaciones que luego generan compartición bilateral.

Construir tu propia red de confianza

Asiste a conferencias sectoriales (no solo las grandes). Las locales y regionales son donde se construye la confianza real.
Publica investigación propia. No tienes que descubrir un APT nuevo. Un análisis sólido de una campaña de phishing dirigida a tu sector tiene valor.
Contribuye a comunidades abiertas (abuse.ch, MISP, VirusTotal). Tu historial de contribuciones es tu credencial.
Sé consistente. La confianza se construye con años de interacción, no con un email.
Respeta el TLP. Un solo incumplimiento destruye años de relación.

Vendor Threat Intelligence

Los vendors de seguridad (CrowdStrike, Mandiant, Microsoft, Palo Alto Unit 42, Cisco Talos, Recorded Future) operan sus propios equipos de inteligencia y publican una mezcla de contenido público y restringido.

Lo que publican abiertamente

Blog posts con análisis de campañas y familias
Informes anuales de amenazas (Mandiant M-Trends, CrowdStrike Global Threat Report)
IOCs seleccionados en sus blogs y GitHub repos
Advisories de vulnerabilidades en sus productos

Lo que requiere licencia

Feeds automatizados de IOCs curados
Informes detallados de actores con TTPs completos
Acceso a plataformas de inteligencia (Recorded Future, Intel471, Mandiant Advantage)
Briefings personalizados por sector o región
Acceso a sandbox results y análisis de malware

Evaluación crítica

La inteligencia de vendor tiene un sesgo inherente: cada vendor ve las amenazas a través de su propia telemetría. CrowdStrike tiene visibilidad fuerte en endpoints Windows de enterprises grandes. Palo Alto ve tráfico de red. Microsoft ve amenazas en Azure y O365. Ninguno tiene visibilidad completa.

La estrategia correcta es triangular: usar la inteligencia de tu vendor principal como base, complementar con feeds abiertos para cobertura, y usar la inteligencia de ISACs/CERTs para contexto sectorial.

Compartición gubernamental

Los gobiernos operan programas de compartición de inteligencia con el sector privado, especialmente para infraestructuras críticas.

Programas relevantes

Programa	País	Sector	Acceso
AIS (Automated Indicator Sharing)	EE.UU.	Cross-sector	STIX/TAXII gratuito
CISA Shields Up	EE.UU.	Infraestructura crítica	Público
CCN-CERT SAT	España	Administración pública	Registrado
NCSC Active Cyber Defence	Reino Unido	Cross-sector	Según programa
ANSSI Bulletins	Francia	Cross-sector	Público + restringido
BSI Warnings	Alemania	Cross-sector	Público + restringido

NIS2 y la compartición obligatoria

La directiva NIS2 de la Unión Europea (transpuesta en 2024) introduce obligaciones de compartición para operadores de servicios esenciales e importantes. Las organizaciones afectadas deben:

Notificar incidentes significativos al CSIRT nacional en 24 horas (alerta temprana) y 72 horas (informe completo)
Participar en mecanismos de compartición de información
Cooperar con las autoridades competentes

Esto está creando nuevos flujos de inteligencia desde el sector privado hacia los CERTs, que a su vez redistribuyen (anonimizados) al resto del sector.

Construir un programa de fuentes cerradas

Paso 1: Mapea tu ecosistema

Identifica qué ISACs, CERTs y comunidades son relevantes para tu sector y jurisdicción. No intentes unirte a todo: selecciona 2 o 3 fuentes de alto valor.

Paso 2: Designa un responsable

La compartición de inteligencia requiere una persona dedicada (o al menos con tiempo asignado). No funciona como tarea residual.

Paso 3: Define tu política TLP interna

Antes de recibir información restringida, tu organización debe saber cómo la maneja. ¿Quién puede ver TLP:AMBER? ¿Dónde se almacena? ¿Cómo se destruye cuando expira?

Paso 4: Aporta antes de pedir

Tu primera interacción con un ISAC o trust group debería ser aportar algo: un IOC verificado, un análisis de una campaña que has sufrido, una regla YARA que funciona.

Paso 5: Automatiza lo automatizable

La recepción de IOCs vía STIX/TAXII puede (y debe) automatizarse. Las relaciones humanas, no.

Recursos

FIRST (Forum of Incident Response and Security Teams)
TLP 2.0 specification (FIRST)
FS-ISAC (Financial Services ISAC)
H-ISAC (Health ISAC)
CCN-CERT (Centro Criptológico Nacional, España)
INCIBE-CERT (Instituto Nacional de Ciberseguridad, España)
ENISA (Agencia de la UE para Ciberseguridad)
NIS2 Directive (Comisión Europea)
National Council of ISACs (directorio de ISACs de EE.UU.)