Inteligencia de Brechas y Monitorización Darknet
Inteligencia de Brechas y Monitorización Darknet
Nota importada desde Inbox durante consolidacion bulk.
Inteligencia de Brechas y Monitorización Darknet
Resumen
Las brechas de datos y la actividad darknet generan inteligencia táctica de alto valor para la defensa proactiva. Este tema conecta las fuentes de recolección (paste sites, foros, mercados), las metodologías de correlación, y la respuesta operativa ante credenciales comprometidas y data leaks.
Ciclo de Inteligencia de Brechas
1. Recolección — Fuentes Darknet
Las fuentes primarias se documentan en el vault:
- Paste sites y dumps: data-breach-search-engines cataloga plataformas de búsqueda de datos comprometidos (Have I Been Pwned, DeHashed, Intelligence X, Leak-Lookup)
- Foros underground: threat-actor-search documenta los principales foros de cibercriminales donde se negocian accesos y se publican leaks
- Mercados: threat-actor-search cataloga mercados darknet donde se comercializan credenciales, accesos RDP, y datos robados
- Data leaks directos: data-breach-search-engines recoge fuentes de monitorización de filtraciones masivas
- Canales de comunicación: social-media-tools documenta canales de Telegram y otras plataformas donde los actores de amenazas publican y negocian
2. Correlación y Análisis
caso de estudio CTI (anonimizado) demuestra una metodología de correlación avanzada: 119 emails correlacionados con estructura organizacional, análisis de centralidad de red, mapeo de liderazgo, y 8 correlaciones de alta confianza. Este tipo de análisis transforma datos brutos (listas de emails) en inteligencia accionable (mapa de exposición organizacional, vulnerabilidades BEC).
3. Monitorización Operativa
El use-case-04-infostealer-monitoring establece el flujo operativo para credenciales comprometidas: monitorización de feeds de infostealers → correlación con dominios del cliente → alerta al SOC → forzar reset de credenciales → verificar compromiso lateral.
threat-actor-search e threat-actor-search documentan el tracking de grupos de ransomware y sus víctimas, permitiendo early warning cuando un cliente o sector aparece en la lista de targets.
4. Respuesta y Reporting
Plantilla Informe CTI - OSINT DATA LEAK proporciona el template de reporte para incidentes de data leak: evidencia recolectada, análisis de impacto, recomendaciones de remediación, y timeline del compromiso. Este template estandariza la comunicación entre el equipo CTI y el cliente.
Patrón Clave
La inteligencia darknet tiene valor temporal decreciente. Una credencial comprometida publicada hace 1 hora es una emergencia. La misma credencial 30 días después ya fue probada por cientos de bots. La velocidad del ciclo recolección→correlación→alerta determina el valor defensivo.
Notas Vinculadas
| Nota | Dominio | Rol en el tema |
|---|---|---|
| use-case-04-infostealer-monitoring | CTI | Flujo operativo de credenciales comprometidas |
| data-breach-search-engines | OSINT | Plataformas de búsqueda de datos filtrados |
| threat-actor-search | CTI | Tracking de grupos ransomware |
| Plantilla Informe CTI - OSINT DATA LEAK | CTI | Template de reporte de data leak |
| threat-actor-search | CTI | Fuentes de tracking de víctimas |
| caso de estudio CTI (anonimizado) | CTI | Caso de correlación OSINT avanzada |
| social-media-tools | CTI | Canales de comunicación de threat actors |
| data-breach-search-engines | OSINT | Fuentes de monitorización de filtraciones |
| threat-actor-search | OSINT | Foros underground |
| threat-actor-search | OSINT | Mercados darknet |