La inteligencia de amenazas

12 de enero de 2026

Definición:

La inteligencia de amenazas (Threat Intelligence) reposa sobre dos pilares fundamentales e indisociables:

la procedencia de la amenaza y
la profundidad de penetración

Estos dos ejes permiten transformar acontecimientos técnicos brutos en conocimiento explotable.

1. Procedencia de la amenaza:

La procedencia tiene como objetivo identificar de dónde viene la actividad maliciosa:

origen de red,
infraestructura de emisión,
contexto geográfico,
actor o ecosistema de ataque.

Responde a la pregunta: de dónde viene la amenaza.

Mapa de procedencia de la amenaza

Clasificación por comportamiento HTTP:

El análisis no se limita al volumen. Clasifica los acontecimientos según su significación operativa:

OK (200 / 206) Tráfico legítimo normal (páginas servidas, contenidos parciales).
CACHE (301 / 304) Comportamiento esperado: redirecciones, caché de navegador / CDN, SEO.
SOSPECHOSO (403 / 404 / 405 / 501) Escaneos, bots, errores de URL, accesos prohibidos, métodos HTTP no autorizados.
ERROR (400 / 408) Peticiones malformadas, clientes defectuosos, timeouts, ruido o ataques de bajo nivel.
ELIMINADO (410) Recurso eliminado voluntariamente (limpieza, anti-indexación persistente).
SERVIDOR (500 / 599) Errores del lado del servidor o de la infraestructura (backend, proxy, PHP-FPM, base de datos, sobrecarga). Indicador de incidente real que afecta a la disponibilidad.
OTRO No clasificado, sin señal explotable.

Distribución de los estados HTTP

Principio fundamental:

El peligro no es el URI. El peligro es hasta dónde ha llegado la petición.

Esta visión privilegia el origen y la naturaleza de la amenaza antes que el simple volumen de tráfico.

2. Profundidad de la amenaza:

La profundidad mide hasta dónde la amenaza ha progresado en el sistema:

intento bloqueado,
interacción aplicativa,
ejecución parcial,
compromiso efectivo.

Responde a la pregunta: hasta dónde ha llegado.

Niveles de profundidad:

DETENIDO Petición rechazada en origen por Apache (parsing, ACL, reglas de configuración). Ningún enrutamiento, ningún acceso a fichero, ningún backend. Ruido normal, seguridad intacta.
ENRUTADO PERO AUSENTE Petición comprendida y enrutada por Apache, pero el recurso no existe. Ningún handler efectivo, ningún backend. Escaneo superficial, impacto nulo.
BACKEND ALCANZADO Petición transmitida al handler (PHP-FPM), pero rechazada limpiamente (script desconocido, ruta inválida, protección activa). Umbral crítico alcanzado, aislamiento probado y funcional.
FALLO DE SEGURIDAD Código aplicativo ejecutado o backend comprometido (error PHP fatal, ejecución efectiva, respuesta 200 inesperada). Incidente de seguridad real – acción inmediata requerida.
OTRO Acontecimientos no clasificados o ruido residual sin impacto identificable.

Profundidad de la amenaza

Conclusiones:

La inteligencia de amenazas no consiste en apilar registros.

Consiste en calificar, correlacionar y jerarquizar los acontecimientos para:

anticipar los ataques,
detectar precozmente,
reaccionar eficazmente,
tomar decisiones estratégicas y operativas.

No son datos. Es conocimiento accionable.

La realidad de Internet a escala mundial está hoy bien establecida: solo una fracción marginal del tráfico observado puede considerarse plenamente legítima y esta proporción permanece notablemente constante en el tiempo.

El análisis presentado en esta página ilustra claramente esta constatación. La mayoría de los flujos de red registrados corresponden a comportamientos sospechosos, ya se trate de escaneos automatizados, intentos de enumeración, búsquedas de vulnerabilidades o actividades oportunistas que emanan de infraestructuras distribuidas a escala mundial.

Este desequilibrio estructural entre tráfico legítimo y tráfico hostil recuerda una evidencia operativa: Internet no es un entorno neutro por defecto. Constituye un espacio continuamente explorado, sondeado y explotado, donde la exposición de un servicio implica mecánicamente una superficie de ataque activa.

En este contexto, la inteligencia de amenazas (Threat Intelligence) ya no pertenece a la anticipación teórica, sino a una necesidad operativa, que permite calificar los acontecimientos, elevar el nivel de comprensión y adaptar los mecanismos de defensa de manera racional y mesurada.