Este documento empezó como un volcado de las herramientas, marcadores y plantillas que usan dos compañeros junior de CTI más los de Fer. La versión 2.0 lo enriquece con la vault PAI: doctrina mínima viable, workflows operativos, OPSEC, sesgos cognitivos, errores típicos, un roadmap de 90 días y las fuentes A1 que un L1 debería conocer.

Léelo en este orden si eres junior: §A "Cómo usar el manual" → §B "Glosario express" → §C "Doctrina mínima viable" → §1 a §3 (stack y bookmarks) → §D "Workflows del junior" → §F "OPSEC". Después usa §4 como referencia cuando tengas que escribir un reporte. Vuelve a §G/§H/§I/§J cuando lleves dos semanas para no quedarte estancado.

Si ya llevas 90 días en CTI, salta a §C, §D, §I y §K — el resto seguramente ya lo sabes.

Convención: los wikilinks apuntan a notas detalladas dentro de la vault PAI; cuando los veas, abre la nota para profundizar el tema concreto. Las URLs externas son lo que ya tenías en marcadores.

Como L1 (analista junior) de CTI/Threat Hunting trabajas en el ciclo de inteligencia — recoges información, la procesas, la analizas, la entregas, recibes feedback y vuelves a empezar. Tu output principal no son los datos: son juicios analíticos trazables, etiquetados con su nivel de confianza y de utilidad para el cliente. Profundiza en [[ciclo-de-inteligencia]].

1. Aprende a citar fuentes A1 (§E) y a aplicar el sistema Admiralty (§C.1) ANTES de escribir tu primer reporte.
2. Aprende el TLP v2 (§C.3). Mandar un reporte sin TLP es como mandar un correo sin asunto: profesionalmente desastroso.
3. Aprende el WEP (§C.2) y deja para siempre las palabras "seguro", "definitivo", "imposible". CTI vive de probabilidades calibradas, no de certezas.

Términos que aparecen sin parar en CTI/CTH y que no se explican porque "se asume". Aquí los tienes en una línea cada uno. Si no entiendes uno, búscalo aquí antes de seguir.

Estos 7 frameworks son los que no puedes no saber en tu primer mes. No te pido que los domines: te pido que sepas qué resuelve cada uno y dónde mirar la entidad en la vault para profundizar.

NUNCA mezcles likelihood y confidence en la misma frase. Mal: "It is very likely the actor is APT28 with low confidence". Bien: "It is very likely [80-95%] the actor is APT28. Confidence is moderate because attribution rests on infrastructure overlap with two priors, no malware sample matches yet."

Si dudas entre AMBER y GREEN, etiqueta AMBER. Bajar el TLP siempre se puede; subirlo después de divulgación es imposible.

Los más importantes para empezar son los 1, 2 y 3. Si tu reporte cumple esos tres, ya estás por encima del 70% de los reportes mediocres del mercado.

Cuando tengas un IOC, intenta ubicarlo en uno de los vértices: una IP es Infrastructure, un implant es Capability, una empresa atacada es Victim, un grupo nombrado es Adversary. Si conectas dos vértices, ya tienes una hipótesis de campaña.

CKC + Diamond + ATT&CK se usan juntos: CKC dice en qué fase, Diamond dice qué entidades, ATT&CK dice qué técnica concreta. Cualquier reporte sólido los referencia los tres.

En cada uno de los 10 templates, siempre añade en cabecera y conclusiones:

• TLP arriba del documento (§C.3): TLP:AMBER por defecto cuando es para cliente directo
• Admiralty rating al evaluar cada fuente (§C.1): (B2), (F6), etc., entre paréntesis tras citar
• WEP en juicios analíticos (§C.2): "It is likely [55-80%] que el actor sea X"
• MITRE ATT&CK IDs cuando mencionas técnicas: Initial Access via Phishing (T1566.001)
• CKC fase cuando ubicas actividad: "Indicadores observados en fase Delivery → Exploitation"
• Confidence (LOW/MODERATE/HIGH) en cada juicio, separada de likelihood

Estos seis hooks convierten un reporte de junior aceptable en uno que un senior firma sin tachar.

• CKC: phishing es fase Delivery (Lockheed CKC paso 3); si recoge credenciales que luego se usan, también Exploitation/C2.
• ATT&CK: T1566.001 (Spearphishing Attachment) o T1566.002 (Spearphishing Link) o T1566.003 (Service).
• TLP: AMBER por defecto. RED si la víctima identificable es un VIP del cliente.
• Playbook IR: ver [[certsg-irm-13-customer-phishing]] (CERT-SG IRM-13).

• TLP: AMBER+STRICT mínimo. Si hay credenciales activas → RED.
• Admiralty del foro/canal: BreachForums anónimos = F4-F6; vendor con reputación histórica = D3-C3; verificación con muestra propia = sube a B2.
• ATT&CK: técnicas asociadas T1078 (Valid Accounts), T1555 (Credentials from Password Stores).
• Playbook IR: ver [[certsg-irm-11-information-leakage]].

• TLP: AMBER por defecto. AMBER+STRICT si el endpoint es identificable (laptop ejecutivo, máquina de DBA).
• Diamond Model: el stealer log conecta los 4 vértices: Adversary (operador del C2) ↔ Capability (familia stealer Redline/Lumma/Stealc) ↔ Infrastructure (panel C2, drop site) ↔ Victim (usuario corporativo).
• ATT&CK: T1555 Credentials from Password Stores, T1539 Steal Web Session Cookie.

Esta plantilla es donde se nota más si has hecho los deberes:

• Diamond Model COMPLETO: rellena los 4 vértices (Adversary / Capability / Infrastructure / Victim) — [[entidad-diamond-model]]
• CKC mapping: para CADA TTP, di a qué fase de las 7 pertenece — [[entidad-cyber-kill-chain]]
• ATT&CK matrix: tabla con Tactic | Technique | Sub-technique | Observed Behavior | Source — [[entidad-mitre-attack]]
• Confidence calibrada: HIGH si tienes muestra propia + fuente A1; MODERATE si dos B2; LOW si una sola C3 o D3
• Playbook IR ransomware: [[certsg-irm-17-ransomware]]. Para malware genérico: [[certsg-irm-07-windows-malware]] o [[certsg-irm-01-worm-infection]].
• Plantilla externa "gold": [[entidad-mitre-cti-blueprints]] y [[entidad-zeltser-cti-template]].

• Atribución como junior: habla de probable atribución con WEP. Mal: "es APT28". Bien: "es likely [55-80%] que la campaña esté asociada a APT28, moderate confidence, basado en infraestructure overlap (B2 Mandiant) y técnica de lateral movement consistente con histórico (C3 propio)".
• Plantilla TAP standalone: [[entidad-curated-intelligence-threat-actor-profile]].
• MITRE ATT&CK Navigator layer JSON: pinta el heatmap del actor para que el cliente vea su exposición. Layer público para muchos actores en attack.mitre.org/groups/.
• Diamond + ATT&CK + CKC integrados son el trío canónico — [[entidad-mitre-attack]] + [[entidad-diamond-model]] + [[entidad-cyber-kill-chain]].

• CVSS vs criticidad cliente: NO copies el CVSS sin contexto. Una CVE 9.8 que el cliente NO tiene en producción es LOW operativo. Una 7.2 en su gateway expuesto es CRITICAL. Reporta ambos.
• Exploitation status: cita CISA KEV (https://www.cisa.gov/known-exploited-vulnerabilities-catalog) y EPSS (https://www.first.org/epss/) — son referencias A1 para "explotada in the wild".
• TLP: GREEN/CLEAR normalmente (CVE pública). AMBER si añades análisis de exposición concreta del cliente.

• Filtra por tech stack del cliente ANTES de redactar. Saca el inventario y cruza CVE × producto. Recuerda que muchos CVE Apple/Adobe no aplican a clientes B2B.
• Fuentes A1 mensuales: MSRC (https://msrc.microsoft.com/update-guide/) + Talos blog + Tenable Patch Tuesday + Crowdstrike monthly.

• Distingue entre comunicación oficial (A1) y filtraciones del foro (D3-F6). Pon Admiralty a cada cita.
• Third-party risk: si el cliente usa el producto comprometido, levanta un sub-reporte aparte con scope del impacto y SLA del proveedor.
• Playbook IR: [[certsg-irm-18-large-scale-compromise]].

• Reconnaissance en CKC (fase 1). El reporte gana valor si pintas qué TTPs facilitarías al adversario al dejar esto expuesto.
• No toques el dispositivo: solo observación pasiva (banner grab via Shodan/Censys archivado). Cualquier interacción activa debe pasar por contrato y autorización explícita.
• DMARC none: técnica T1566 Phishing facilitada por la mala config; menciona el nexo.

• TLP siempre RED o AMBER+STRICT. Datos personales = artículo 6 RGPD, base legal interés legítimo del cliente y proporcionalidad.
• No publiques credenciales en claro ni en adjuntos sin contraseña. Sanitiza/cifra.
• Sólo data públicamente accesible. Si entras a una cuenta con creds filtradas → te has pasado a CFAA/intrusión informática. NO LO HAGAS.
• Playbook IR si hay extorsión: [[certsg-irm-08-blackmail]].

Seis procedures que vas a ejecutar 80% de tu primer mes. Cada uno tiene inputs, pasos y outputs concretos.

• [[entidad-mitre-cti-blueprints]] (gold standard, 4 DOCX)
• [[entidad-zeltser-cti-template]] (single-page más citado)
• [[entidad-kraven-security-cti-template]] (Admiralty + WEP + Diamond + Kill Chain integrados)
• [[entidad-bushidouk-rfi-template]] (especialmente diseñado para junior analysts, te obliga a mapear ATT&CK + Diamond + CKC y separar EVIDENCIADO/INFERIDO/GAP)

Cuando dices "según fuente A1" en un reporte, esperas que el lector senior reconozca el nombre. Aquí los 8 que un L1 debe conocer y consultar antes que cualquier otro.

Incluso fuentes A1 fallan en atribución. Cita atribuciones de A1 con WEP likely [55-80%] y MODERATE confidence salvo que tengas convergencia de 3+ vendors A1 → entonces puedes subir a very likely [80-95%] con HIGH confidence. Nunca como junior pongas almost certainly [95-99%] en una atribución.

Si haces CTI mal en OPSEC, te conviertes en objetivo. Estos 7 puntos son los no negociables del primer día. Para profundizar: LISAInstitute_MPAI-A4-M4.

Tu cerebro miente todos los días. Estos 6 sesgos son los más letales para un junior CTI. Profundiza en LISAInstitute_MPAI-A5-M1 y [[sesgos-cognitivos-analista]].

Antes de mandar un reporte, pregúntate: "¿Qué tendría que ser cierto para que mi conclusión esté equivocada? ¿He buscado esa evidencia con la misma intensidad que la confirmatoria?" Si la respuesta es "no", retrasa 30 minutos y re-analiza. Esto es la base de Devil's Advocacy — [[entidad-devils-advocacy]].

Diez antipatterns que verás en tu primer trimestre. Si sólo recuerdas tres, recuerda los marcados con (★).

Los errores 1, 2 y 3 (★) son ~70% de las correcciones que un L2 hace a un L1. Domínalos pronto y subes en visibilidad.

Plan progresivo. Si te sientes ahogado en la semana 1, no pasa nada — el primer mes es turbulento por diseño. Si en el día 60 aún no entiendes ATT&CK, pide refuerzo: no es vergüenza, es eficiencia.

• Daily: Talos blog, Microsoft Security blog, CISA alerts, BleepingComputer
• Weekly: SANS NewsBites, Risky Business podcast, tldr.sec
• Monthly: Mandiant M-Trends summary, Recorded Future Insikt selected
• Yearly: Verizon DBIR, Microsoft Digital Defense Report, ENISA Threat Landscape

Donde practicar sin miedo a romper producción.

Enlaces a notas detalladas del vault. Úsalas como manual de referencia cuando quieras profundizar más allá de este documento.

El prompt actual cumple ICD-203 estándares 1-3 implícitamente, pero podría reforzarse pidiendo explícitamente: (a) TLP en cabecera, (b) WEP para juicios, (c) Admiralty para fuentes, (d) tabla ATT&CK matrix con Tactic | Technique | Sub-technique | Observed | Source, y (e) sección Confidence rationale separada del WEP.