Funciones
Cómo ingresa un indicador al feed
La cadena de decisión de Cybora: fuentes, comportamiento, correlación, riesgo operativo, aging y entrega al firewall.
Última actualización: 29 de junio de 2026
En esta página
Un feed de Cybora no es una colección sin procesar de IP, dominios y URL. Cada indicador entregado pasa por una evaluación que conecta las señales técnicas de amenaza con la aplicabilidad operativa. Esta cadena de decisiones es lo que separa una lista grande de un feed que los administradores pueden defender en las políticas de firewall de producción.
El principio básico es simple:
Cadena de decisión
Los pasos individuales se describen intencionalmente de manera que los administradores puedan seguirlos. Los umbrales concretos, los pesos, las fuentes de socios y las reglas de puntuación internas permanecen protegidos porque son parte de la calidad del feed y no deben ser explotados por los atacantes ni copiados por los competidores.
1. Las fuentes proporcionan señales, no decisiones finales
Cybora utiliza diferentes fuentes de señales: OSINT, fuentes comerciales de inteligencia sobre amenazas, honeypots, sensores, observaciones reales de firewall de entornos de producción y señales de identidad cuidadosamente evaluadas, como repetidos inicios de sesión fallidos en la nube.
Ningun feed es perfecta por sí sola. OSINT puede ser amplio y rápido, pero obsoleto o de bajo contexto. Los feeds comerciales añaden cobertura, pero no están automáticamente preparados para el firewall. Los Honeypots ven ruido temprano en Internet, mientras que los firewalls de producción muestran qué infraestructura toca perímetros comerciales reales con servicios reales.
Por lo tanto, Cybora trata las fuentes como señales de entrada. Sólo la normalización, la deduplicación, la evaluación del comportamiento y la correlación los convierten en candidatos a feeds utilizables.
2. La normalización hace que las señales sean comparables
Antes de poder evaluar una señal, es necesario clasificarla técnicamente. Las IP, los dominios y las URL son tipos de indicadores diferentes y luego pertenecen a diferentes funciones de firewall.
En esta fase, se estandarizan las señales, se reducen los duplicados y se separan los problemas de formato obvios. Esto no es glamoroso, pero es importante: un firewall sólo puede funcionar de manera confiable cuando el feed se entrega en un formato claro y cada indicador se utiliza en el lugar correcto.
Más información sobre el formato de salida está documentada en Formato de feed nativo del firewall.
3. El comportamiento explica por qué es importante un indicador
Un simple señal de reputación no dice suficiente. Para las políticas de firewall de producción, el comportamiento observado es importante:
- escaneo masivo
- intentos de explotación contra servicios expuestos
- botnet o comunicación de comando y control
- Entrega de phishing o malware.
- ataques repetidos a credenciales
- actividad sospechosa en múltiples puntos de observación
Esta clasificación hace que el feed sea más operativo. Un administrador puede comprender mejor si un indicador representa un amplio ruido automatizado, una infraestructura de atacante activa o una señal de campaña más fuerte.
Más información sobre esto está documentada en Señales basadas en comportamiento.
4. La correlación aumenta la confianza
Un solo golpe puede ser ruido. Un indicador se vuelve mucho más sólido cuando múltiples puntos de observación independientes respaldan la misma infraestructura.
Ejemplos:
- la misma IP aparece en OSINT y en feeds comerciales
- un sensor ve el escaneo mientras que los firewalls de producción también observan la misma fuente
- Las señales de identidad se repiten en entornos independientes.
- un dominio coincide con el comportamiento de phishing y también está confirmado por fuentes adicionales
La correlación no significa agregar ciegamente tantas listas como sea posible. La pregunta clave es si diferentes señales respaldan de manera plausible e independiente el mismo riesgo.
Más información sobre esto está documentada en Confirmado en puntos de observación independientes.
5. Los daños colaterales deciden la idoneidad del firewall
Un indicador puede ser técnicamente sospechoso y aun así ser demasiado riesgoso para un bloqueo duro. Cybora trata lo siguiente con especial precaución:
- grandes proveedores de alojamiento y nube
- CDN y proxies inversos
- SaaS compartido, correo, VPN o infraestructura de identidad
- redes de proveedores dinámicas
- dominios con uso principal legítimo y subrutas comprometidas
Cuanto mayor sea el riesgo de afectar el tráfico legítimo, más sólidas deben ser las pruebas. Ésta es una de las diferencias más importantes entre la inteligencia de análisis y un feed de políticas de firewall de producción.
Más información sobre esto está documentada en Menor riesgo de falsos positivos, más confianza operativa.
6. El envejecimiento mantiene el feed actualizada
Cambios en la infraestructura de amenazas. Las IP se reasignan, los dominios cambian de propietario, los sistemas comprometidos se limpian y las campañas antiguas pierden relevancia. Un feed no mejora simplemente porque crece.
Por lo tanto, Cybora no sólo evalúa si un indicador alguna vez fue sospechoso. Lo que importa es qué tan actualizada está la evidencia, si se ha observado repetidamente y si el papel del indicador todavía parece plausible. La evidencia obsoleta pierde peso de forma controlada.
Más información sobre esto está documentada en Señales actuales en lugar de evidencia obsoleta.
7. Entrega como feed listo para firewall
Si un indicador es adecuado para el feed relevante, se entrega en un formato simple listo para firewall: un indicador por línea, recuperable a través de HTTPS, separado en feeds de IP, dominio y URL.
La posición dentro de un feed puede entenderse como priorización operativa. Los indicadores con evidencia más sólida, mayor actualidad y menores daños colaterales esperados se ubican más arriba en la lista. Cada entrada entregada aún debe cumplir con los criterios internos del feed correspondiente.
El firewall recupera el feed en su propio intervalo de sondeo y la utiliza en funciones nativas de lista externa, lista dinámica, alias o feed de amenazas.
Lo que deliberadamente permanece interno
Cybora documenta el principio, no la receta exacta. Quedan internos:
- reglas concretas de puntuación y ponderación
- umbrales y ventanas de tiempo
- fuentes de socios individuales y detalles de clientes
- Lógica de detección de intentos de abuso y evasión.
- reglas exactas para la admisión, priorización y eliminación
Para los administradores, el punto clave es este: un indicador no ingresa al feed simplemente porque se mencionó en alguna parte. Se evalúa como una señal, se compara con otras observaciones, se evalúa la aplicabilidad de la producción y luego se entrega en un formato que los firewalls pueden usar directamente.