type: guide
title: "Doctrina minima viable — Admiralty, WEP, TLP, ACH, ICD-203"
parent: "[[cti-recursos-juniors-unificado]]"
source: "Extraccion de la nota madre cti-recursos-juniors-unificado"
tags:
  - topic/intelligence-analysis
  - topic/admiralty-system
  - topic/wep
  - topic/tlp
  - method/review
processed: true
status: seedling

Doctrina minima viable — Admiralty, WEP, TLP, ACH, ICD-203

Extraccion atomica de la nota madre cti-recursos-juniors-unificado. Seccion fuente: "C. Doctrina mínima viable". El master sigue intacto para lectura lineal.

C. Doctrina mínima viable

Important

Estos 7 frameworks son los que no puedes no saber en tu primer mes. No te pido que los domines: te pido que sepas qué resuelve cada uno y dónde mirar la entidad en la vault para profundizar.

C.1 Sistema Admiralty (NATO 6×6) — cómo evaluar fuentes

Calificas fuente (A-F) y información (1-6) por separado. Permite que un titular Reuters cite a un tabloide y tú evalúes ambos.

Fuente	Significado	Información	Significado
A	Completamente fiable	1	Confirmada por otras fuentes
B	Habitualmente fiable	2	Probablemente cierto
C	Bastante fiable	3	Posiblemente cierto
D	No habitualmente fiable	4	Dudoso
E	No fiable	5	Improbable
F	No juzgable	6	No juzgable

Ejemplos prácticos:

Mandiant report sobre APT41 → A1 (vendor gold standard + datos forensics propios)
Tweet de threat-hunter conocido pero sin enlace al artefacto → B3
Post anónimo en BreachForums anunciando leak → F6 (hasta validar muestra)

Profundiza: [[entidad-admiralty-system]]

C.2 WEP — Words of Estimative Probability

Inventado por Sherman Kent en 1964 después de que Bahía de Cochinos saliera mal porque "very serious possibility" significaba 11% para uno y 65% para otro. Hoy es estándar ICD-203.

Frase	Rango
Almost no chance / Remote	1–5%
Very unlikely / Highly improbable	5–20%
Unlikely / Improbable	20–45%
Roughly even chance	45–55%
Likely / Probable	55–80%
Very likely / Highly probable	80–95%
Almost certainly / Nearly certain	95–99%

Regla crítica para el junior

NUNCA mezcles likelihood y confidence en la misma frase. Mal: "It is very likely the actor is APT28 with low confidence". Bien: "It is very likely [80-95%] the actor is APT28. Confidence is moderate because attribution rests on infrastructure overlap with two priors, no malware sample matches yet."

Profundiza: [[entidad-wep]]. Equivalente UK: [[entidad-phia-yardstick]].

C.3 TLP v2.0 — Traffic Light Protocol

Quién puede leer tu reporte. Va arriba del documento, siempre.

Etiqueta	Quién lo puede leer
TLP:RED	Sólo personas nombradas explícitamente en el correo/canal
TLP:AMBER+STRICT	Sólo dentro de la organización del receptor
TLP:AMBER	Organización del receptor + sus clientes/proveedores con need-to-know
TLP:GREEN	Comunidad de seguridad amplia (otros analistas, ISACs)
TLP:CLEAR	Sin restricción — público

Default conservador

Si dudas entre AMBER y GREEN, etiqueta AMBER. Bajar el TLP siempre se puede; subirlo después de divulgación es imposible.

Profundiza: [[entidad-tlp-v2]]. Mantenido por [[entidad-first-org]].

C.4 ICD-203 — los 9 estándares de tradecraft

Directiva del ODNI estadounidense. Aplican a cualquier producto analítico decente, no sólo IC clásica.

Describe calidad y credibilidad de fuentes y metodología
Expresa incertidumbres con WEP estándar
Distingue información objetiva de juicios analíticos
Incorpora análisis de alternativas (ACH)
Demuestra relevancia para el cliente y sus implicaciones
Argumentación clara y lógica
Explica cambios o consistencia respecto a juicios previos
Produce juicios precisos
Información visual efectiva cuando aporta

Para el junior

Los más importantes para empezar son los 1, 2 y 3. Si tu reporte cumple esos tres, ya estás por encima del 70% de los reportes mediocres del mercado.

Profundiza: [[entidad-icd-203]]

C.5 Cyber Kill Chain (Lockheed Martin) — 7 fases

Mapa lineal de un ciberataque. Lo usas para situar dónde está la actividad observada.

Reconnaissance — el adversario investiga al objetivo
Weaponization — prepara el payload (exploit + RAT/backdoor)
Delivery — entrega el payload (phishing, USB, watering hole)
Exploitation — explota la vulnerabilidad
Installation — instala persistencia
C2 — establece canal de mando y control
Actions on Objectives — exfiltra, cifra, destruye

Profundiza: [[entidad-cyber-kill-chain]]. Versión extendida 18 fases: [[entidad-unified-kill-chain]].

C.6 Diamond Model — 4 vértices conectados

Complementa CKC. Ves un evento de intrusión como un diamante con cuatro vértices: Adversary ↔ Capability ↔ Infrastructure ↔ Victim. Permite razonar relaciones, no sólo secuencia.

Tip

Cuando tengas un IOC, intenta ubicarlo en uno de los vértices: una IP es Infrastructure, un implant es Capability, una empresa atacada es Victim, un grupo nombrado es Adversary. Si conectas dos vértices, ya tienes una hipótesis de campaña.

Profundiza: [[entidad-diamond-model]]

C.7 MITRE ATT&CK — la taxonomía de TTPs

Catálogo público de tácticas (objetivos) y técnicas (cómo se logran). El junior mapea TTPs vistos a IDs ATT&CK (T1059.001, T1486, etc.) para que cualquier otro analista del mundo entienda al instante.

Tactics = qué quería el adversario en cada paso (Initial Access, Execution, Persistence, ...)
Techniques = cómo lo hizo (PowerShell, Scheduled Task, ...)
Sub-techniques = la variante exacta

Operacionalízalo con MITRE ATT&CK Navigator — capa JSON visualizable en https://mitre-attack.github.io/attack-navigator/. Te permite pintar el "heatmap" de un actor y compararlo con la cobertura de tus detecciones.

Profundiza: [[entidad-mitre-attack]] + [[entidad-mitre-attack-navigator]]. Mantenido por [[entidad-mitre-corporation]].

Trío canónico CTI moderno

CKC + Diamond + ATT&CK se usan juntos: CKC dice en qué fase, Diamond dice qué entidades, ATT&CK dice qué técnica concreta. Cualquier reporte sólido los referencia los tres.

Desde Inbox: Assessment of Information

Importado desde Inbox/Assessment of Information.md durante consolidacion bulk.

Resumen

The Admiralty Scale, established by Sherman Kent during World War II for the CIA's intelligence analysis methods, provides a standardized framework for assessing information based on two independent dimensions: source reliability (A through F) and content credibility (1 through 6). This dual assessment is fundamental for correctly interpreting intelligence depending on the source.

Definicion

The Admiralty Scale (also known as the NATO System or Sherman Kent Scale) is a two-axis evaluation framework:

Source Reliability (A-F): Assesses the trustworthiness of the information source
Content Credibility (1-6): Assesses the accuracy and verifiability of the information itself

The best possible rating is A1 (completely reliable source, confirmed by independent sources). The worst is F5 (unknown reliability, improbable information).

Contexto

Sherman Kent helped establish the CIA's intelligence analysis methods during World War II. This model became the standard for assessing information across military and civilian intelligence communities. It is fundamental because it requires interpreting information correctly depending on the source.

Source Reliability

Grade	Reliability	Assigned Percentage
A	Completely reliable	100%
B	Normally reliable	80%
C	Moderately reliable	50%
D	Normally unreliable	<50%
E	Unreliable	0%
F	Reliability unknown	?

Content Credibility

Grade	Credibility	Match with formulated hypothesis
1	Confirmed by other sources	-
2	Probably true	Matches the most probable hypothesis
3	Possibly true	Matches one of the hypotheses
4	Doubtful	Matches the least probable hypothesis
5	Improbable	Does not match any hypothesis
6	Certainty unknown	Cannot be determined

Aplicacion

Every intelligence product should include an Admiralty rating
Source reliability and content credibility are assessed independently
A1 = best case (reliable source + confirmed information)
F5 = worst case (unknown source + improbable information)
The assessment informs decision-making confidence levels

Relaciones

English version companion to doctrina-minima-viable (Spanish version)
Applied across all intelligence-typed notes in this vault (reliability/credibility fields)
Foundation for the Admiralty Scale tags in the vault taxonomy

Referencias

Sherman Kent, CIA intelligence analysis methodology (WWII era)
NATO Information Grading System

Desde Inbox: Valoración de la información

Importado desde Inbox/Valoración de la información.md durante consolidacion bulk.

Resumen

La Escala Admiralty de Sherman Kent es el estandar de valoracion de informacion en inteligencia. Evalua dos dimensiones independientes: fiabilidad de la fuente (A a F) y credibilidad del contenido (1 a 6). Establecida durante la Segunda Guerra Mundial para los metodos de analisis de la CIA, sigue siendo la referencia fundamental para interpretar correctamente la informacion segun su origen.

Definicion

La Escala Admiralty (tambien conocida como Sistema NATO o Escala Sherman Kent) es un framework de evaluacion de dos ejes:

Fiabilidad de la fuente (A-F): Evalua la confiabilidad del emisor de la informacion
Credibilidad del contenido (1-6): Evalua la precision y verificabilidad de la informacion misma

La mejor valoracion posible es A1 (fuente completamente fiable, confirmada por fuentes independientes). La peor es F5 (fiabilidad desconocida, informacion improbable).

Contexto

Sherman Kent ayudo a establecer los metodos de analisis de inteligencia de la CIA en plena Segunda Guerra Mundial. Este modelo se convirtio en el estandar para valorar informacion en comunidades de inteligencia militares y civiles. La valoracion es fundamental ya que es necesario interpretar la informacion de manera correcta dependiendo de quien es la fuente.

Fiabilidad de la Fuente

Grado	Fiabilidad	Porcentaje Asignado
A	Completamente fiable	100%
B	Normalmente fiable	80%
C	Medianamente fiable	50%
D	Normalmente no fiable	<50%
E	No fiable	0%
F	Fiabilidad desconocida	?

Credibilidad del Contenido

Grado	Credibilidad	Coincidencia con Hipotesis Formulada
1	Confirmada por otras fuentes	-
2	Probablemente cierta	Coincide con la hipotesis mas probable
3	Posiblemente cierta	Coincide con una de las hipotesis
4	Dudosa	Coincide con la hipotesis menos probable
5	Improbable	No coincide con ninguna hipotesis
6	Certeza desconocida	No se puede determinar

Aplicacion

Toda produccion de inteligencia debe incluir una valoracion Admiralty
Fiabilidad de la fuente y credibilidad del contenido se evaluan de forma independiente
A1 = mejor caso (fuente fiable + informacion confirmada)
F5 = peor caso (fuente desconocida + informacion improbable)
La valoracion informa el nivel de confianza en la toma de decisiones

Relaciones

Version en español, complementaria a doctrina-minima-viable (version en ingles)
Aplicada a todas las notas de tipo inteligencia del vault (campos reliability/credibility)
Fundamento de los tags de Escala Admiralty en la taxonomia del vault

Referencias

Sherman Kent, metodologia de analisis de inteligencia de la CIA (WWII)
Sistema de Clasificacion de Informacion NATO

Themes

tema-cti-fundamentos-doctrina