Explorar docs

concepts

Privacidad y flujo de datos

Cómo Cybora maneja generalmente el firewall de producción y las señales de identidad sin exponer entornos sensibles de los clientes.

Última actualización: 29 de junio de 2026

En esta página

Cybora puede evaluar señales de inteligencia sobre amenazas de diferentes fuentes: OSINT, feeds comerciales, honeypots, sensores, observaciones reales de firewall y señales de identidad seleccionadas. Las señales de inicio de sesión y firewall de producción son especialmente valiosas, pero deben tratarse con especial cuidado.

El principio es simple: para el feed es importante la señal relevante para la seguridad, no la exposición del entorno del cliente.

¿Qué datos son técnicamente relevantes?

Para una feed de amenazas de firewall, las observaciones que ayudan a evaluar la infraestructura externa son las más relevantes. Los ejemplos incluyen:

  • una IP, dominio o URL externos
  • Comportamiento observado, como escaneo, comunicación de botnet o fallas repetidas de inicio de sesión.
  • marca de tiempo o actualidad de la observación
  • repetición en entornos independientes
  • Contexto técnico relevante para la confianza y los daños colaterales.

Las topologías internas de los clientes, las identidades de los usuarios, los registros sin procesar completos o los detalles confidenciales de entornos individuales no son relevantes para la entrega de feeds públicos.

Minimización de datos y limitación de finalidad.

Las señales de producción deben procesarse de una manera que sirva únicamente para la evaluación de amenazas. Eso significa el menor contexto posible y tanta evidencia técnica como sea necesaria. Cuando se incluyen señales de entornos de clientes o socios, se deben minimizar, proteger adecuadamente y manejar sin detalles innecesarios específicos del cliente.

Cybora no publica registros sin procesar, nombres de clientes, umbrales internos ni ponderaciones de fuentes. La documentación pública explica por qué un tipo de señal es valioso, pero no qué entorno concreto produjo cada impacto.

Maneje las señales de identidad con especial cuidado.

Los repetidos inicios de sesión fallidos en la nube en múltiples entornos independientes pueden indicar dispersión de contraseñas, relleno de credenciales o infraestructura comprometida. Al mismo tiempo, estas señales son propensas a interpretaciones erróneas: NAT, VPN, servidores proxy, redes móviles o IP compartidas pueden mezclar usos legítimos y maliciosos.

Por lo tanto, las señales de identidad no deben entenderse como decisiones de bloque aisladas. Sólo ganan peso cuando coinciden con evidencia adicional, repetición y contexto. Hay más información sobre esto documentada en Señales de identidad contra la pulverización de contraseñas y ataques de credenciales.

Qué pueden sacar los administradores de esto

Para los administradores, el punto importante es que el feed no se crea a partir de la publicación incontrolada de datos sin procesar. La canalización de datos debe evaluar las señales, normalizarlas y verificarlas para el uso del firewall de producción. Esto fortalece la confianza sin exponer innecesariamente cómo son los entornos individuales o qué reglas internas utiliza Cybora.

La entrega del feed técnico en sí está documentada en Formato de URL del feed y clave de licencia. Las instrucciones para manejar las claves y las URL de feeds están documentadas en URL de feeds seguras.