Getting Started
Introducción a Cybora
Aprende qué proporciona Cybora, cómo funcionan los threat feeds para firewall y cómo desplegar Cybora de forma controlada en producción.
Última actualización: 15 de junio de 2026
En esta página
Cybora proporciona feeds de threat intelligence curados para firewalls y dispositivos de seguridad de red. La idea básica es simple: tu firewall recupera un feed por HTTPS, importa los indicadores en un objeto o lista nativa y usa esa lista en la policy.
Cybora está diseñado para complementar tus controles de seguridad existentes. Puede ayudar a reducir la exposición a infraestructura maliciosa conocida en el perímetro, pero no reemplaza IPS, EDR, seguridad DNS, monitoreo SIEM ni una policy firewall revisada.
Qué entrega Cybora
Cybora publica feeds de threat intelligence aptos para firewalls como archivos TXT simples entregados por HTTPS. La salida es intencionalmente sencilla: un indicador por línea, sin wrappers específicos de proveedor, payloads JSON ni formatos propietarios.
Según tu plan, Cybora puede cubrir categorías de indicadores como direcciones IPv4, dominios y URLs. El formato del archivo se mantiene igual. Lo que cambia es la categoría del indicador en el feed y la función nativa del firewall que lo consume.
Esto mantiene el despliegue cerca del workflow nativo del proveedor de firewall y evita agentes personalizados o integraciones API complejas en el caso común. La parte específica del firewall es la ubicación de configuración dentro del producto, no un formato de archivo específico de Cybora.
El patrón habitual de despliegue es:
- Copia la URL HTTPS del feed Cybora para la categoría de indicador cubierta por tu plan.
- Añade la URL a la función nativa del firewall para lista externa, alias, lista dinámica o threat feed.
- Configura un intervalo de polling que coincida con tu plan Cybora y las recomendaciones del proveedor.
- Referencia la lista importada en la policy firewall, DNS, web o security donde la plataforma lo permita.
- Valida que el firewall pueda obtener el feed TXT, leer las entradas y aplicar la acción prevista.
Conceptos comunes
La mayoría de despliegues Cybora comparten algunos conceptos:
- Una clave de licencia identifica la suscripción del feed. Salvo que tu plan indique lo contrario, una clave está pensada para un dispositivo firewall o un edge HA lógico.
- La URL del feed incluye la clave de licencia e identifica la categoría del indicador y el alcance de acceso.
- El firewall consulta la URL en una programación recurrente.
- El firewall almacena los indicadores obtenidos en un objeto, lista, alias, categoría u objeto de feed nativo.
- La policy decide si el tráfico coincidente se bloquea, rechaza, registra o solo se monitorea.
- Un polling excesivo puede activar rate limiting o bloqueo temporal, por lo que el intervalo de refresh debe mantenerse dentro de los límites permitidos por el plan.
Rollout recomendado
Empieza con un rollout controlado. Confirma que el firewall pueda llegar a la URL del feed, importar el número esperado de entradas y referenciar el objeto importado en la policy. Activa logging antes de aplicar el feed de forma amplia.
Cuando el firewall lo soporte, empieza en modo monitoring o con un alcance de policy limitado. Revisa las coincidencias, confirma que el tráfico crítico de negocio no se vea afectado y pasa al bloqueo cuando el comportamiento esté entendido.