Explorar docs

Funciones

Feeds de amenazas seleccionados en lugar de listas sin procesar arriesgadas

Cómo Cybora obtiene una feed de amenazas lista para firewall a partir de OSINT, fuentes comerciales, sensores y señales reales.

Última actualización: 26 de junio de 2026

En esta página

Una buena fuente de firewall no es simplemente la lista más grande posible. Los datos sin procesar contienen duplicados, entradas obsoletas, fuentes contradictorias, categorías poco claras y señales que son demasiado riesgosas para bloquear la producción. Cybora selecciona estas señales antes de enviarlas como feed.

La curación es el valor real del servicio. Reduce el trabajo que un administrador tendría que hacer manualmente: comparar fuentes, normalizar entradas, eliminar datos obsoletos, verificar objetivos riesgosos y convertir el resultado en un formato que el firewall realmente pueda consumir.

La cadena de curación

Cybora sigue una cadena técnica simple:

Source -> observed behavior -> independent evidence -> confidence -> collateral damage -> aging -> feed delivery

Esta cadena es deliberadamente más fuerte que un solo señal de reputación. Un indicador se vuelve más valioso cuando es nuevo, se observa repetidamente, está vinculado a un comportamiento claro y no crea un riesgo obvio para la infraestructura empresarial legítima.

El contexto del comportamiento es decisivo. Una IP no es simplemente “mala” porque aparece en una lista. Lo que importa es si se destaca a través del escaneo, intentos de explotación, comunicación de botnets, phishing, entrega de malware o ataques repetidos a credenciales. Más información sobre esto está documentada en Señales basadas en comportamiento.

Por qué las listas sin procesar son problemáticas

Las listas públicas pueden resultar muy útiles, pero rara vez se optimizan directamente para las políticas de firewall de producción. Los problemas comunes incluyen:

  • IP obsoletas o dominios que ahora se usan legítimamente
  • tipos de indicadores mixtos en un solo archivo
  • falta información sobre la frescura de la señal
  • Muy poco contexto para hosting compartido, CDN o proveedores de nube.
  • listas más grandes que la capacidad de ciertos modelos de firewall

Cybora no acepta ciegamente dichas fuentes. Se tratan como señales de entrada, no como listas de bloqueo terminadas.

¿Qué fuentes están incluidas?

Cybora continúa utilizando listas OSINT públicas y fuentes comerciales de inteligencia sobre amenazas como señales de entrada importantes. Se complementan con datos patentados de sensores y honeypots, señales reales de firewall de entornos de producción participantes y señales de identidad cuidadosamente evaluadas, como repetidos inicios de sesión fallidos en la nube en múltiples entornos independientes.

Cada fuente tiene fortalezas y límites. OSINT puede ser amplio y rápido, pero obsoleto o de bajo contexto. Los feeds comerciales añaden cobertura, pero tampoco están automáticamente preparados para el firewall. Los Honeypots ven el ruido temprano de Internet, los firewalls reales muestran la realidad del perímetro de producción y las señales de identidad pueden indicar la pulverización de contraseñas o el relleno de credenciales.

Por lo tanto, Cybora trata estas fuentes como señales, no como decisiones finales. Se vuelven valiosos a través de la normalización, la deduplicación, la correlación, la evaluación de la frescura y la verificación de si un indicador se puede utilizar en una política de firewall de producción con un riesgo aceptable.

Lo que permanece público y lo que permanece interno

El principio público importa: Cybora combina múltiples tipos de señales, verifica su relevancia y ofrece solo indicadores listos para firewall. Las ponderaciones concretas, los umbrales, las prioridades de fuentes y los detalles individuales de los socios siguen siendo internos. Esto mantiene el proceso comprensible sin exponer la lógica de curación real.

El formato de salida técnica está documentado en Formato de URL del feed y clave de licencia.