Por: Michael Greenberg | Head of Product Marketing, Exposure Management – Check Point Software
El problema no es la falta de inteligencia sobre amenazas. Es que carecemos del tipo adecuado de inteligencia, la que conecta lo que sucede dentro de nuestro entorno con lo que los atacantes planean fuera de él. Por eso importan dos tipos de inteligencia sobre amenazas: interna y externa. Cada una por separado cuenta parte de la historia. Juntas, aportan claridad.
La mayoría de las organizaciones se suscriben a múltiples fuentes de información sobre amenazas. Estas llegan de todas direcciones, genéricas, fragmentadas y, a menudo, con retraso. En lugar de aclarar el riesgo, lo confunden.
“Las organizaciones aún toman decisiones críticas basadas en datos de amenazas incompletos o poco refinados”, señaló Michael Gartner en “La evolución de la inteligencia sobre amenazas es la inteligencia unificada sobre riesgos cibernéticos, 2025”.
La respuesta no es otra fuente. Es el contexto. Saber qué señales importan, qué activos están realmente expuestos y qué amenazas se utilizan activamente contra usted o contra organizaciones como la suya. Esto comienza de adentro hacia afuera y de afuera hacia adentro.
Cuando la mayoría de la gente oye “inteligencia de amenazas internas”, piensa en registros y telemetría de su propio entorno. Eso es parte de ello, pero no lo es todo. La inteligencia interna se vuelve poderosa cuando se amplifica con información global.
Aquí es donde entra “ThreatCloud”, que es la columna vertebral de la inteligencia de Check Point, que procesa continuamente los últimos indicadores de compromiso (IoC) y protecciones detectadas en la práctica, a escala global. Cada día, millones de señales fluyen desde fuentes abiertas, la monitorización de la web profunda y oscura, y los propios puntos de control de Check Point en puertas de enlace, endpoints y entornos de nube. La IA y el aprendizaje automático seleccionan estas señales, separando los verdaderos patrones emergentes del ruido. La telemetría empresarial se transmite a ThreatCloud, donde se validan y ponderan las señales según el contexto real. A cambio, ThreatCloud proporciona herramientas listas para la implementación (protecciones IPS, listas de bloqueo adaptables e indicadores de condición) en todo el ecosistema de Check Point y más allá.
Esto no es solo “interno” en lo tradicional. Es un tejido de inteligencia bidireccional: su entorno informa los patrones globales, y estos los fortalecen.
La inteligencia externa muestra lo que hacen los adversarios más allá de su perímetro. Incluye conversaciones en la web profunda y oscura, abuso de marca, credenciales filtradas, dominios maliciosos y kits de phishing. Aquí es donde la intención se hace visible y va más allá del simple análisis de amenazas genéricas.
Los actores de amenazas no solo improvisan, sino que también dirigen fábricas de phishing, automatizan la suplantación de dominios e intercambian credenciales nuevas en la web oscura. Las soluciones eficaces de inteligencia de amenazas externas monitorean continuamente la web abierta, profunda y oscura en busca de señales importantes.
Considere el phishing. Según IBM X-Force, el 30 % de las brechas de seguridad corporativas comienzan con phishing. La inteligencia de amenazas externa, como la monitorización de dominios similares, el análisis de redes sociales y la monitorización de la web oscura en busca de kits de phishing, permite a las organizaciones detectar con antelación los intentos de suplantación de identidad.
Las credenciales filtradas son otro asesino silencioso. Check Point reportó un aumento del 160% en credenciales filtradas en 2025 en comparación con 2024, con un 22% de brechas vinculadas a inicios de sesión robados. Estas credenciales no se publican sin más, sino que se venden en foros cerrados y se incluyen en kits de phishing. La inteligencia de amenazas externa detecta estas filtraciones, alerta a las organizaciones y ayuda a prevenir la apropiación de cuentas antes de que los atacantes entren por la puerta principal.
La inteligencia de amenazas externa también proporciona monitoreo de la web profunda y oscura; los rastreadores automatizados recopilan información que se potencia gracias a la interacción de los analistas con actores de amenazas en comunidades ocultas para obtener inteligencia a la que los rastreadores automatizados no pueden acceder. Este enfoque humano-inteligente proporciona información validada y contextualizada, adaptada a su industria y activos.
El Punto de Fusión – Tejido de Inteligencia Unificada
La inteligencia de amenazas externa no es una disciplina aislada. Su verdadero valor surge cuando se conecta con la inteligencia interna para crear un tejido de inteligencia unificado. Esta fusión brinda a los equipos de seguridad una visión completa: qué planean los atacantes, qué está expuesto y qué protecciones ya existen.
Esto significa que las campañas de adversarios, las credenciales filtradas, los kits de phishing y los indicadores de abuso de marca se correlacionan con lo que realmente está expuesto dentro de los entornos. Una contraseña filtrada en un foro de la dark web es preocupante, pero si esa cuenta también tiene acceso a un recurso en la nube mal configurado, es crucial.
Un dominio de phishing que ataca su marca es peligroso, pero si su puerta de enlace de correo electrónico carece de las protecciones adecuadas, es urgente. La inteligencia unificada conecta estos puntos, de modo que los equipos de seguridad ven el riesgo como lo ven los atacantes: en toda la superficie de ataque.
Cuando la telemetría interna y las señales externas convergen, las organizaciones obtienen confianza en que las decisiones que se basan en el riesgo real, no en conjeturas, en que los recursos se centran en una reducción significativa del riesgo y en que las exposiciones no sólo se enumeran, sino que se comprenden en contexto.
Esta visión integrada no solo ayuda a los analistas del SOC a clasificar con mayor rapidez. También ayuda a los CISO a comunicar el riesgo en términos de negocio.
