Plantilla Informe CTI - OSINT DATA LEAK

Plantilla Informe CTI - OSINT DATA LEAK

Plantilla importada desde Inbox.

PLANTILLA — INFORME DE AMENAZA: FILTRACIÓN DE DATOS

Propósito
Facilitar la redacción ágil y consistente de informes sobre fugas de datos que afectan a personas/empleados diferentes.
Para cada bloque se indica el tono, objetivo, formato de redacción, lenguaje y un set de preguntas‐guía que ayudan a preparar el contenido.

0. Portada

  • Tono: Institucional, conciso.

  • Objetivo: Identificar rápidamente el informe (empresa, tipo de amenaza), su autor, versión y fecha.

  • Formato: Título en mayúsculas; subtítulo en negrita; fecha ISO (DD/MM/AAAA); logotipo (opcional).

  • Lenguaje: Formal, español neutro.

  • Preguntas‐guía:

    1. ¿Cuál es el título del informe?

    2. ¿Qué versión es (v1.0, borrador…)?

    3. ¿Cuál es la fecha de emisión?

    4. ¿Quién firma el informe (equipo/analista)?

Ejemplo de portada

INFORME DE AMENAZA – FILTRACIÓN DE DATOS – [NOMBRE DE LA EMPRESA]
v1.0 – [23/05/2025]
Elaborado por: [Equipo de Threat Intelligence]

1. Nota de Protección de Datos de Menores (opcional)

  • Tono: Normativo, preventivo.

  • Objetivo: Advertir que ciertos datos serán ofuscados al involucrar a menores.

  • Formato: Recuadro o párrafo destacado, encabezado como "Nota de Protección de Datos de Menores".

  • Lenguaje: Técnico‐legal sencillo, claro.

  • Preguntas‐guía:

    1. ¿Existen datos relativos a menores en la filtración?

    2. ¿Qué tipo de datos serán ofuscados/anonimizados?

2. Spoiler inicial – Identidad del sujeto

  • Tono: Revelador pero mesurado (evitar sensacionalismo).

  • Objetivo: Explicar quién es la persona investigada y por qué es relevante.

  • Formato: Párrafo en negrita o recuadro al inicio; incluye nombre completo, cargo y acceso a sistemas.

  • Lenguaje: Objetivo, con verbos en presente.

  • Preguntas‐guía:

    1. ¿Nombre completo y alias?

    2. ¿Puesto/rol en la compañía?

    3. ¿Qué acceso le otorga visibilidad a información sensible?

3. Resumen Ejecutivo

  • Tono: Ejecutivo, comprensible para directivos no técnicos.

  • Objetivo: Ofrecer visión de alto nivel: qué ocurrió, cuándo, impacto potencial.

  • Formato: Párrafo breve (150‑200 palabras) + viñetas clave.

  • Lenguaje: Claro, libre de jerga técnica excesiva.

  • Preguntas‐guía:

    1. ¿Qué tipo de filtración se detectó?

    2. ¿Cuándo se produjo y cuándo se descubrió?

    3. ¿Volumen/tipo de datos comprometidos?

    4. ¿Consecuencias inmediatas para negocio y reputación?

4. Contexto y Metodología

  • Tono: Técnico‐descriptivo.

  • Objetivo: Detallar cómo se obtuvo la información y las fuentes (OSINT, dark web, repos privados…).

  • Formato: Secciones numeradas; tablas de fuentes si procede.

  • Lenguaje: Técnico, referencial, con citas/capturas.

  • Preguntas‐guía:

    1. ¿Qué metodología de inteligencia se empleó?

    2. ¿Cuáles fueron las fuentes principales?

    3. ¿Herramientas usadas (e.g., crawlers, scrapers)?

5. Descripción Detallada de la Filtración

  • Tono: Forense, paso a paso.

  • Objetivo: Explicar el vector de fuga, archivos implicados, tamaño, credenciales, etc.

  • Formato: Subapartados por hallazgo; usar listas códigos/hashes.

  • Lenguaje: Preciso, con unidades y timestamps.

  • Preguntas‐guía:

    1. ¿Cuál fue el punto de entrada o brecha inicial?

    2. ¿Qué datos específicos fueron expuestos?

    3. ¿Cuál es la cronología de eventos?

5.1 Spoiler de Severidad (nivel de riesgo)

  • Tono: Directo, contundente.

  • Objetivo: Resumir en una frase el nivel de riesgo (alto, medio, bajo).

  • Formato: Frase destacada (negrita o etiqueta de color).

  • Lenguaje: Breve, categórico.

  • Preguntas‐guía:

    1. ¿Qué scoring de riesgo asigna el equipo?

    2. ¿Cuál es la justificación principal?

6. Impacto Potencial

  • Tono: Analítico, basado en escenarios.

  • Objetivo: Proyectar consecuencias sobre negocio, cliente, cumplimiento legal.

  • Formato: Lista de escenarios o tabla de impactos (financiero, reputacional, legal).

  • Lenguaje: Condicional ("podría", "puede resultar").

  • Preguntas‐guía:

    1. ¿Cómo afecta esta filtración a la continuidad operativa?

    2. ¿Existen multas/regulaciones aplicables (GDPR, LOPDGDD)?

    3. ¿Qué riesgos reputacionales se prevén?

7. Recomendaciones y Plan de Acción

  • Tono: Proactivo, orientado a soluciones.

  • Objetivo: Ofrecer mitigaciones concretas y priorizadas.

  • Formato: Lista numerada (acción, responsable, prioridad, plazo).

  • Lenguaje: Imperativo ("Implementar", "Revisar").

  • Preguntas‐guía:

    1. ¿Qué contramedidas técnicas son necesarias?

    2. ¿Qué acciones de comunicación interna/externa se requieren?

    3. ¿Qué plazos son realistas para cada acción?

8. Evidencias Clave

  • Tono: Objetivo, neutral.

  • Objetivo: Reunir capturas de pantalla, hashes, enlaces y logs que sustentan el análisis.

  • Formato: Tabla/galería con pie de foto y timestamp.

  • Lenguaje: Descriptivo corto.

  • Preguntas‐guía:

    1. ¿Qué evidencias confirman la autenticidad de los datos?

    2. ¿Se dispone de muestras originales/no modificadas?

9. Conclusiones

  • Tono: Sintético y reflexivo.

  • Objetivo: Recordar los hallazgos clave y el siguiente paso crítico.

  • Formato: Párrafo breve + bullet de takeaways.

  • Lenguaje: Claro, orientado a decisión.

  • Preguntas‐guía:

    1. ¿Cuál es el mensaje principal que debe quedar?

    2. ¿Qué urgencia se asigna a la respuesta?

10. Glosario y Referencias

  • Tono: Didáctico.

  • Objetivo: Definir siglas/términos y citar fuentes documentales.

  • Formato: Lista alfabética de términos + bibliografía estilo APA.

  • Lenguaje: Definiciones claras, sin ambigüedad.

  • Preguntas‐guía:

    1. ¿Qué acrónimos requieren explicación?

    2. ¿Qué documentos externos respaldan el informe?

11. Apéndices (opcional)

  • Tono: Complementario.

  • Objetivo: Incluir material extenso (scripts, tablas RAW, cronologías largas).

  • Formato: Secciones numeradas (Apéndice A, B, C…).

  • Lenguaje: Técnico.

  • Preguntas‐guía:

    1. ¿Qué información adicional es útil pero sobrecarga el cuerpo principal?

Uso de la plantilla
Copia cada sección y sustituye los corchetes [ ] con la información específica del nuevo caso/persona. Mantén la estructura y los metadatos para acelerar la revisión y asegurar consistencia entre informes.

Preguntas para hacer un audio y transcribirlo

Preguntas de extracción

  1. ¿Nombre completo del afectado/a?

  2. ¿Alias o usernames vinculados?

  3. ¿Organización/empresa a la que pertenece?

  4. ¿Fecha de detección de la fuga?

  5. ¿Fuente (foro, mercado, repositorio) donde se localizó la fuga?

  6. ¿Investigador/autores del informe?

1. Resumen Ejecutivo

Tono: ejecutivo, orientado a riesgo.
Objetivo: Ofrecer una visión rápida del incidente y su criticidad.
Formato: 3‑5 párrafos de ≤ 90 palabras cada uno + una tabla de "Semáforo de Riesgo".
Lenguaje: claro, no técnico, centrado en negocio.

Preguntas de extracción

  1. ¿Tipo de datos filtrados (credenciales, PII, financieros, etc.)?

  2. ¿Volumen aproximado de registros afectados?

  3. ¿Nivel de criticidad (alto/medio/bajo) y por qué?

  4. ¿Impacto potencial para la organización/persona (reputacional, legal, operativo)?

  5. ¿Fecha/hora en que se publicó la data?

  6. ¿Relación con incidentes previos?

2. Metodología

Tono: técnico‑formal.
Objetivo: Validar el rigor del análisis.
Formato: lista numerada de pasos + descripción breve.
Lenguaje: preciso, utiliza primera persona del plural.

Preguntas de extracción

  1. ¿Herramientas empleadas para recolectar la filtración?

  2. ¿Criterios de autenticidad/verificación utilizados?

  3. ¿Fuentes OSINT consultadas?

  4. ¿En qué fecha y hora se realizó la verificación?

  5. ¿Limitaciones o sesgos identificados?

3. Identificación del Sujeto (Persona)

Tono: descriptivo, respetuoso de la privacidad.
Objetivo: Contextualizar al individuo afectado y su posible superficie de ataque.
Formato: párrafo seguido de tarjeta perfil (tabla).
Lenguaje: bios‑corporativo.

Preguntas de extracción

  1. ¿Nombre completo, cargo/rol y antigüedad en la empresa?

  2. ¿Ubicación geográfica (ciudad, país)?

  3. ¿Cuenta(s) de correo corporativo/personal encontradas?

  4. ¿Otras identidades (GitHub, LinkedIn, Telegram, etc.)?

  5. ¿Relación del sujeto con activos críticos (accesos privilegiados, llaves API, etc.)?

  6. ¿Historial de exposiciones anteriores?

4. Descripción de la Fuga

Tono: narrativo‑técnico.
Objetivo: Detallar qué se filtró, cómo, cuándo y dónde.
Formato: subsecciones "Origen", "Contenido", "Cronología".
Lenguaje: técnico pero comprensible.

Preguntas de extracción

  1. ¿Plataforma o foro exacto donde se publicó el dump?

  2. ¿Tamaño total de la filtración (MB/GB, número de archivos)?

  3. ¿Estructura de carpetas / nombres de archivo relevantes (listar rutas)?

  4. ¿Fechas de fichero más recientes (timestamp)?

  5. ¿Tipo de cifrado/compresión utilizado (si aplica)?

  6. ¿Se hallaron contraseñas en texto claro o hash? ¿Qué algoritmo?

5. Evaluación del Riesgo

Tono: analítico, orientado a mitigación.
Objetivo: Valorar la probabilidad y el impacto.
Formato: matriz de riesgo + párrafos interpretativos.
Lenguaje: GER (Gobierno, Empresa, Riesgo) friendly.

Preguntas de extracción

  1. ¿Qué vectores de ataque posibilita la información filtrada (phishing, suplantación, fraude, etc.)?

  2. ¿Qué datos críticos (tarjetas, credenciales, PII menor) están presentes?

  3. ¿Existen evidencias de explotación activa?

  4. ¿Qué unidades de negocio/personas quedarían comprometidas?

  5. ¿Cumple con requisitos de notificación RGPD?

  6. ¿Existe riesgo para terceros (clientes, proveedores)?

5.1 Spoiler / TL;DR de Riesgo

Tono: directo, casi coloquial.
Objetivo: Llamar la atención con una frase contundente.
Formato: una línea entre corchetes.

Pregunta de extracción

  • Si tuvieras que resumir el riesgo en 10 palabras, ¿qué dirías?

6. Evidencias Técnicas

Tono: forense.
Objetivo: Proporcionar pruebas irrefutables.
Formato: capturas de pantalla, hashes, tablas de SHA1/MD5, snippet de logs.
Lenguaje: técnico detallado.

Preguntas de extracción

  1. ¿Hashes de archivos comprimidos y su tamaño exacto?

  2. ¿Fragmentos de línea que demuestren presencia de PII?

  3. ¿Direcciones IP origen de la subida/descarga?

  4. ¿Indicadores de compromiso (IOC) adicionales (dominios, URLs)?

  5. ¿Metadatos EXIF u otro que revele herramienta de origen?

  6. ¿Evidencias de conversación de venta/negociación en el foro?

Tono: jurídico‑consultivo.
Objetivo: Indicar obligaciones y posibles sanciones.
Formato: tabla artículos RGPD + párrafos.
Lenguaje: normativo.

Preguntas de extracción

  1. ¿Datos sensibles de menores presentes?

  2. ¿Artículos RGPD aplicables (6, 9, 32, 33, 34)?

  3. ¿Plazo máximo de notificación a la AEPD?

  4. ¿Multas teóricas (cálculo % sobre facturación)?

  5. ¿Precedentes jurisprudenciales similares?

  6. ¿Requerimientos de notificación a afectados?

8. Recomendaciones

Tono: accionable, priorizado.
Objetivo: Ofrecer pasos concretos de mitigación y prevención.
Formato: lista priorizada (P0‑P3).
Lenguaje: directo, imperativo.

Preguntas de extracción

  1. ¿Contramedidas inmediatas (rotación de credenciales, bloqueo de cuentas)?

  2. ¿Controles de largo plazo (MFA, DLP, formación)?

  3. ¿Notificaciones a plataformas donde se publicó la fuga?

  4. ¿Procedimientos legales a iniciar?

  5. ¿Comunicación interna y externa sugerida?

  6. ¿Plan de seguimiento (monitorización continua, Leak‑hunting)?

9. Anexos

Tono: neutro, de referencia.
Objetivo: Agregar material que soporte el análisis (CSV, JSON, capturas, scripts).
Formato: índice + enlaces o referencias a archivos adjuntos.
Lenguaje: técnico.

Preguntas de extracción

  1. ¿Archivos completos de la fuga (ZIP) y su hash?

  2. ¿Scripts usados para parsing?

  3. ¿Bases de datos SQLite/CSV para consulta?

  4. ¿Logs de verificación?

  5. ¿Material visual (capturas) adicional?

  6. ¿Licencia o nota de restricción de uso?

Nota de Protección de Datos de Menores
"Parte de la información contenida en este informe ha sido ofuscada por implicar datos personales de una menor, conforme a los artículos 6 y 8 RGPD y la LOPDGDD española."

Themes