¿Las fuentes OSINT gratuitas son suficientes para un programa CTI?

Para la mayoría de organizaciones medianas, sí. Las 20 fuentes de esta guía cubren IOCs, vulnerabilidades, informes de amenazas, análisis en sandbox y reputación. Lo que marca la diferencia no es pagar por feeds premium, sino tener un proceso de normalización, correlación y consumo operativo de la inteligencia.

¿Qué fuente debería priorizar si solo puedo integrar una?

CISA KEV (Known Exploited Vulnerabilities). Es la lista de vulnerabilidades que se explotan activamente en el mundo real, mantenida por el gobierno de EE.UU. Si una CVE está en KEV, parcheala inmediatamente. Es accionable, actualizada y con impacto directo en la reducción de riesgo.

¿Cómo evito falsos positivos al consumir feeds gratuitos?

Tres reglas: (1) Nunca bloquear automáticamente por un solo feed, exigir al menos 2 fuentes coincidentes. (2) Verificar la reputación del IOC en servicios como VirusTotal o AbuseIPDB antes de actuar. (3) Aplicar decaimiento temporal: un IOC de hace 6 meses sin confirmación reciente pierde confianza.

IntermedioOSINTfuentesCTIfeedsherramientas

OSINT para CTI: 20 Fuentes Gratuitas Esenciales para Analistas

Guía práctica con 20 fuentes OSINT gratuitas para analistas de Cyber Threat Intelligence: feeds de IOCs, bases de vulnerabilidades, sandboxes, repositorios de informes y herramientas de reputación. Cómo construir un pipeline OSINT operativo.

MalwareIntel Research·5 de junio de 2026·12 min lectura

Serie: Cyber Threat Intelligence — Parte 11

La inteligencia de amenazas no requiere presupuesto para empezar: 20 fuentes gratuitas cubren el 80% de las necesidades de un equipo CTI

OSINT (Open Source Intelligence) aplicado a CTI es la disciplina de recopilar, procesar y analizar información de amenazas a partir de fuentes públicas y gratuitas. La barrera de entrada no es el dinero, sino saber qué fuentes existen, qué tipo de datos ofrecen y cómo integrarlas en un flujo de trabajo operativo.

Esta guía presenta 20 fuentes organizadas por categoría, con datos concretos sobre qué ofrecen, cómo acceder a sus datos y cómo combinarlas para construir un pipeline OSINT funcional.

Qué es OSINT en el contexto CTI

OSINT en ciberseguridad es la recopilación de inteligencia de amenazas a partir de fuentes accesibles públicamente: feeds de IOCs, bases de datos de vulnerabilidades, informes de investigadores, sandboxes online y repositorios de reglas de detección.

No es scraping indiscriminado. OSINT eficaz implica:

Selección: elegir fuentes con alta señal y baja tasa de falsos positivos
Normalización: convertir datos heterogéneos a un formato común (STIX 2.1, CSV estructurado)
Correlación: cruzar datos entre fuentes para aumentar la confianza
Consumo: alimentar SIEMs, EDRs o plataformas CTI con los datos procesados
Decaimiento: reducir la confianza en IOCs antiguos que no se confirman

Categoría 1: Feeds de IOCs

1. abuse.ch (MalwareBazaar, ThreatFox, URLhaus, Feodo Tracker)

abuse.ch es probablemente el proyecto más importante del ecosistema CTI gratuito. Operado desde Suiza, agrupa cuatro feeds complementarios:

MalwareBazaar: hashes de muestras de malware con metadatos (familia, tags, primera y última vez visto). API REST con búsqueda por hash, tag o familia. Más de 2 millones de muestras catalogadas.

ThreatFox: IOCs de infraestructura C2 (IPs, dominios, URLs) con atribución a familia de malware. Actualización continua por la comunidad.

URLhaus: URLs utilizadas para distribución de malware. Incluye el payload asociado y su estado (online/offline).

Feodo Tracker: IPs de servidores C2 de botnets como Emotet, Dridex, TrickBot y QakBot. Lista actualizada cada 5 minutos.

Acceso: API REST gratuita, CSV descargable. API key opcional para mayor rate limit.

2. AlienVault OTX (Open Threat Exchange)

La plataforma comunitaria de inteligencia de amenazas más grande del mundo. Los analistas publican "pulsos" con IOCs, TTPs y contexto de investigación.

Datos: IOCs (IPs, dominios, hashes, URLs, emails), TTPs mapeados a ATT&CK, informes narrativos.

Acceso: API REST con autenticación gratuita. SDKs en Python y Go. DirectConnect para integración con SIEMs.

3. CISA KEV (Known Exploited Vulnerabilities)

El catálogo de vulnerabilidades que se explotan activamente en el mundo real, mantenido por la Cybersecurity and Infrastructure Security Agency de EE.UU.

Cada entrada incluye: CVE ID, vendor, producto, nombre de la vulnerabilidad, fecha de adición, fecha límite para parchear (para agencias federales de EE.UU., pero referencia útil para todos) y acción requerida.

Acceso: JSON y CSV descargables. Actualización diaria.

4. Malpedia (Fraunhofer FKIE)

Base de conocimiento curada sobre familias de malware y actores de amenazas. No es un feed de IOCs en tiempo real, sino una referencia taxonómica con YARA rules, informes técnicos y relaciones entre familias.

Datos: perfiles de familias, aliases, YARA rules, referencias a informes públicos, mapeo a MITRE ATT&CK.

Acceso: registro gratuito para acceder a la API. YARA rules descargables.

5. MISP Default Feeds

MISP (Malware Information Sharing Platform) ofrece feeds públicos preconfigurados que cualquier instancia MISP puede consumir automáticamente. Los feeds de CIRCL (Computer Incident Response Center Luxembourg) son los más relevantes: OSINT feed con eventos verificados.

Acceso: integración directa en MISP. También consultables via API REST.

Categoría 2: Bases de vulnerabilidades

6. NVD (National Vulnerability Database)

La base de datos de referencia para vulnerabilidades CVE, mantenida por NIST. Cada CVE tiene scores CVSS v3.1, CPE (productos afectados), referencias y, en muchos casos, parches disponibles.

Acceso: API REST 2.0 (requiere API key gratuita). Búsqueda por CVE ID, keyword, vendor, producto, rango de fechas, score CVSS.

7. Vulners

Agregador de vulnerabilidades que indexa NVD, exploit databases, advisories de vendors y boletines de seguridad. Su valor añadido es la búsqueda unificada: un solo query cubre NVD, ExploitDB, PacketStorm y advisories de Red Hat, Ubuntu, Debian, Microsoft, Cisco y más.

Acceso: API gratuita con límite de 100 requests/día. Planes de pago para mayor volumen.

8. Exploit-DB

Base de datos de exploits públicos mantenida por OffSec. Cada entrada incluye el código del exploit, la CVE asociada, la plataforma afectada y verificación por el equipo de OffSec.

Acceso: descarga completa del archivo, búsqueda web, herramienta CLI searchsploit (incluida en Kali Linux).

Categoría 3: Informes y análisis de amenazas

9. Mandiant Blog (Google Cloud)

Investigación de amenazas de uno de los equipos más respetados del sector. Publican informes detallados sobre APTs, campañas activas y nuevas familias de malware con TTPs, IOCs y recomendaciones.

Frecuencia: 2-4 informes por semana. RSS disponible.

10. CrowdStrike Blog (Adversary Universe)

Inteligencia sobre actores de amenazas con la taxonomía de CrowdStrike (nombres de animales: Fancy Bear, Cozy Bear, Wizard Spider). Sus informes incluyen IOCs, cadenas de infección y mapeos ATT&CK detallados.

Frecuencia: semanal. RSS disponible.

11. Cisco Talos Intelligence Blog

Investigación del equipo de inteligencia de Cisco. Cubre amenazas emergentes, campañas de phishing, malware dirigido a infraestructura de red y análisis de vulnerabilidades en productos Cisco y de terceros.

Frecuencia: 2-3 informes por semana. RSS y newsletter disponibles.

12. Microsoft Security Blog (MSRC)

El Microsoft Security Response Center publica investigación sobre amenazas que afectan al ecosistema Microsoft (Windows, Azure, Office 365). Incluye análisis de exploits de zero-day, campañas de phishing masivas y actividad de actores estatales.

Frecuencia: semanal. RSS disponible.

Categoría 4: Sandboxes online

13. ANY.RUN

Sandbox interactiva que permite ejecutar muestras de malware en un entorno controlado y observar su comportamiento en tiempo real. La versión gratuita permite análisis públicos con Windows 10 y tiempo limitado.

Datos: IOCs extraídos (DNS queries, conexiones HTTP/HTTPS, ficheros creados), TTPs mapeados a ATT&CK, screenshots de la ejecución, PCAP de tráfico de red.

Acceso: cuenta gratuita con análisis públicos. Los análisis de la comunidad son consultables sin cuenta.

14. Hybrid Analysis (CrowdStrike Falcon Sandbox)

Sandbox automatizada que analiza ficheros y URLs. Genera informes detallados con indicadores de comportamiento, extracción de strings, tráfico de red y detección por múltiples motores antivirus.

Datos: IOCs, comportamiento, MITRE ATT&CK mapping, veredicto de threat score, ficheros extraídos (dropped files).

Acceso: API gratuita con registro. Búsqueda de análisis públicos por hash, nombre de fichero o dominio.

15. JoeSandbox Community

Versión comunitaria de Joe Sandbox. Análisis automatizado profundo con emulación de múltiples sistemas operativos. Los informes incluyen grafos de comportamiento, IOCs y clasificación por familia.

Acceso: cuenta gratuita con análisis públicos. Límite de submissions diarias.

Categoría 5: Reputación y enriquecimiento

16. VirusTotal

El servicio de análisis multi-motor más conocido. Analiza ficheros, URLs, dominios e IPs contra 70+ motores antivirus y herramientas de análisis. Su valor para CTI está en las relaciones: un hash revela dominios contactados, IPs de C2, ficheros relacionados y detecciones por familia.

Acceso: API gratuita con 500 requests/día y 4 requests/minuto. La versión Enterprise (de pago) ofrece Livehunt, Retrohunt y acceso a muestras.

17. URLScan.io

Escanea URLs y captura screenshots, DOM, cookies, peticiones HTTP, certificados TLS y recursos cargados. Ideal para analizar páginas de phishing sin exponerse.

Datos: captura visual, ASN de la IP, tecnologías detectadas, dominios contactados, respuestas HTTP completas.

Acceso: API gratuita. Scans públicos consultables por cualquiera.

18. AbuseIPDB

Base de datos comunitaria de IPs reportadas por actividad maliciosa (escaneo de puertos, brute force, spam, C2). Cada IP tiene un score de confianza basado en la cantidad y consistencia de los reportes.

Acceso: API gratuita con registro. 1.000 checks/día en el plan gratuito.

19. Shodan

Motor de búsqueda de dispositivos conectados a Internet. Indexa puertos abiertos, banners de servicios, certificados TLS, versiones de software y configuraciones expuestas.

Para CTI: identificar infraestructura C2 por banners conocidos (Cobalt Strike default cert, Metasploit listeners), encontrar servidores con vulnerabilidades conocidas expuestas, y rastrear infraestructura de actores.

Acceso: búsqueda web limitada sin cuenta. API con cuenta gratuita (limitada) o planes de pago.

Categoría 6: Comunidad y colaboración

20. Twitter/X CTI Community

La comunidad CTI en Twitter/X sigue siendo una de las fuentes más rápidas de inteligencia sobre amenazas emergentes. Investigadores publican IOCs, análisis preliminares y hilos técnicos horas (a veces días) antes de que aparezcan en informes formales.

Cuentas clave a seguir: @malaboratory, @VK_Intel, @0xDUDE, @MBThreatIntel, @abuse_ch, @ABORTSIGNAL, @c3rb3ru5d3d53c, @IntelFetch, @Unit42_Intel, @MalwareHunterTeam.

Acceso: gratuito. Herramientas como TweetFeed.live o Nitter permiten monitorizar sin cuenta premium.

Tabla resumen de las 20 fuentes

#	Fuente	Categoría	Datos principales	Frecuencia	API
1	abuse.ch (4 feeds)	IOC Feed	Hashes, C2 IPs, URLs, dominios	Continua	REST, CSV
2	AlienVault OTX	IOC Feed	IOCs, TTPs, pulsos	Continua	REST
3	CISA KEV	IOC Feed	CVEs explotadas activamente	Diaria	JSON/CSV
4	Malpedia	IOC Feed	Familias, YARA rules, taxonomía	Semanal	REST
5	MISP Default Feeds	IOC Feed	Eventos con IOCs verificados	Diaria	REST
6	NVD	Vulnerabilidades	CVEs con CVSS, CPE, parches	Diaria	REST 2.0
7	Vulners	Vulnerabilidades	CVEs, exploits, advisories	Continua	REST
8	Exploit-DB	Vulnerabilidades	Exploits públicos verificados	Diaria	Archivo/CLI
9	Mandiant Blog	Informes	APTs, campañas, TTPs	Semanal	RSS
10	CrowdStrike Blog	Informes	Actores, IOCs, cadenas infección	Semanal	RSS
11	Cisco Talos Blog	Informes	Amenazas emergentes, phishing	Semanal	RSS
12	Microsoft MSRC Blog	Informes	Zero-days, amenazas Windows	Semanal	RSS
13	ANY.RUN	Sandbox	Comportamiento, IOCs, PCAP	Continua	Web/API
14	Hybrid Analysis	Sandbox	Comportamiento, ATT&CK, hashes	Continua	REST
15	JoeSandbox Community	Sandbox	Análisis profundo, grafos	Continua	Web
16	VirusTotal	Reputación	Multi-AV, relaciones, grafos	Continua	REST
17	URLScan.io	Reputación	Screenshots, DOM, HTTP	Continua	REST
18	AbuseIPDB	Reputación	Reportes IP, scores	Continua	REST
19	Shodan	Reputación	Puertos, banners, servicios	Continua	REST
20	Twitter/X CTI	Comunidad	IOCs tempranos, análisis, hilos	Continua	Web/RSS

Cómo construir un pipeline OSINT

Un pipeline OSINT operativo tiene cinco fases:

Fase 1: Recopilación

Configura la ingesta automatizada de las fuentes seleccionadas. No intentes integrar las 20 de golpe. Empieza con las que cubren tu superficie de ataque:

Organización genérica: abuse.ch + CISA KEV + OTX + NVD = base sólida
Foco en ransomware: añade Ransomware.live + Hybrid Analysis
Foco en phishing: añade URLhaus + URLScan.io + AbuseIPDB

Herramientas de recopilación: scripts Python con requests, n8n para orquestación, MISP como agregador nativo.

Fase 2: Normalización

Convierte todos los datos a un formato común. STIX 2.1 es el estándar, pero para uso interno un schema más simple puede funcionar:

{
  "type": "ipv4",
  "value": "203.0.113.42",
  "confidence": 85,
  "source": "threatfox",
  "first_seen": "2026-05-01",
  "last_seen": "2026-06-01",
  "tags": ["emotet", "c2"],
  "tlp": "white"
}

La normalización incluye: deduplicación (mismo IOC de múltiples fuentes), validación de formato (IPs válidas, hashes con longitud correcta), y asignación de confianza inicial.

Fase 3: Enriquecimiento

Cruzar IOCs con fuentes de enriquecimiento para añadir contexto:

Hash encontrado en ThreatFox: consultar VirusTotal para obtener familia, detecciones, relaciones
IP de abuse.ch: consultar AbuseIPDB para score de reputación, Shodan para servicios expuestos
Dominio sospechoso: consultar URLScan.io para captura visual, WhoisXMLAPI para datos de registro

Fase 4: Correlación

Buscar patrones entre IOCs de diferentes fuentes:

Misma IP aparece en ThreatFox (C2 Emotet) y AbuseIPDB (reportada por brute force): alta confianza
Hash de MalwareBazaar contacta dominio de URLhaus: relación loader-payload
CVE de CISA KEV explotada por actor documentado en CrowdStrike blog: priorizar parche

Fase 5: Consumo

Los datos procesados deben llegar a donde se necesitan:

SIEM: reglas de correlación con IOCs actualizados (Splunk, QRadar, Elastic)
EDR: listas de bloqueo de hashes y dominios (CrowdStrike, SentinelOne, Defender)
Firewall/Proxy: listas de IPs y dominios para bloqueo o monitorización
Plataforma CTI: MalwareIntel, MISP u OpenCTI para visualización y análisis
Alertas: notificaciones cuando un IOC de alta confianza coincide con tráfico interno

Errores comunes al consumir fuentes OSINT

Bloquear automáticamente por un solo feed: un falso positivo en un feed puede bloquear un servicio legítimo. Exigir confirmación de al menos 2 fuentes independientes antes de bloquear.
No aplicar decaimiento: un IOC de hace 12 meses sin confirmación reciente probablemente ya no es relevante. Configurar TTL (time to live) para reducir la confianza gradualmente.
Ignorar el contexto: una IP puede ser maliciosa en un contexto (C2 de Emotet) y legítima en otro (CDN compartido). El tipo de IOC, la fuente y el contexto de la atribución importan.
Consumir sin normalizar: inyectar datos crudos de múltiples fuentes en un SIEM genera duplicados, formatos inconsistentes y reglas que no funcionan. La normalización no es opcional.
No medir la calidad: rastrear la tasa de falsos positivos por fuente. Si un feed genera más de un 5% de falsos positivos, reevaluar su inclusión.