Curso · NG-C09 Threat intelligence 16 horas · 2 jornadas Hasta 10 alumnos MISP + Ghostnet
§00 — Curso 09 · Avanzado

No es un feed de IOCs,
es inteligencia accionable.

§01
Para quién

Para equipos de CTI y analistas que ya producen informes.

Curso avanzado. Asume manejo previo de SIEM, MITRE ATT&CK y al menos un año de experiencia produciendo informes de amenazas o investigación.

Perfil del alumno

  • A.01Analista CTI senior o intermedioIdeal
  • A.02SOC L2/L3 con foco huntingIdeal
  • A.03Threat hunter o detection engineerEncaja
  • A.04Inteligencia corporativa con base técnicaEncaja
  • A.05CISO de organizaciones madurasRefuerzo

Requisitos previos

  • R.01Manejo previo de MITRE ATT&CKRecomendado
  • R.02Experiencia operando SIEM o EDRRecomendado
  • R.03Conocimiento básico de STIX 2.1Útil
  • R.04Portátil con Docker para MISP localMaterial
  • R.05Curso 03 (OSINT) recomendado como baseCamino sugerido
§02
Programa

Ocho módulos. Dos jornadas.

Día 1: fundamentos y estructura analítica. Día 2: operación de plataformas (MISP, OpenCTI) y producción final de inteligencia con datasets reales.

MÓDULO 01 · 60 min

Fundamentos CTI

Qué es y qué no es threat intel. Ciclo de inteligencia aplicado a seguridad corporativa. Strategic / operational / tactical / technical. Pirámide del dolor de David Bianco.

MÓDULO 02 · 180 min

MITRE ATT&CK en profundidad

El framework como lenguaje común del SOC y del CTI. Matrices Enterprise, Mobile, ICS y Cloud. Tácticas, técnicas, subtécnicas y mitigaciones. Lab: mapear incidente real a ATT&CK.

MÓDULO 03 · 120 min

Modelos analíticos

Kill Chain de Lockheed Martin, Diamond Model y análisis de hipótesis en competencia (ACH) aplicados a casos documentados. Lab: Diamond de un incidente APT real.

MÓDULO 04 · 120 min

IOCs y TTPs

De indicadores atómicos a comportamiento. Pivoting con VirusTotal Intelligence, Passive DNS y Certificate Transparency. Lab: del hash a la infraestructura del actor.

MÓDULO 05 · 150 min

MISP en producción

Arquitectura real, sincronización con CIRCL y ENISA, eventos, atributos, taxonomías y galaxies. Warning lists y gestión de falsos positivos. Lab: crear, enriquecer y exportar al SIEM.

MÓDULO 06 · 120 min

OpenCTI y actores

STIX 2.1 práctico e integración con Ghostnet para enriquecer perfiles de grupo con inteligencia dark web. Lab: perfilar un grupo de ransomware activo en 2026.

MÓDULO 07 · 120 min

Threat hunting

Hunting guiado por inteligencia: hipótesis → query → refinamiento → automatización. Frameworks PEAK y Target-centric. Lab: hipótesis APT sobre logs de 30 días.

MÓDULO 08 · 90 min

Producción de inteligencia

Cómo se escribe un informe que cambia decisiones. BLUF, ICD 203, Admiralty y estimative probability. TLP para sharing. Lab final: informe con las tres capas (estratégica, operacional, táctica).

§03
Qué te llevas

MISP propio, perfil de actor y biblioteca comentada.

Entregable 01MISP

Entorno MISP dedicado

AccesoInstancia MISP personal mantenida durante el curso, lista para sincronizar con comunidades externas (CIRCL, ENISA).
Entregable 02Ghostnet

Acceso tutelado 30 días

PlataformaAcceso a Ghostnet durante el mes siguiente al curso para enriquecer perfiles de actor con inteligencia dark web propia.
Entregable 03Biblioteca

50+ informes reales comentados

MaterialBiblioteca curada con informes públicos relevantes (CrowdStrike, Mandiant, ENISA) comentados por nuestros analistas.
Entregable 04Perfil

Perfil de actor STIX

SalidaCada alumno produce un perfil completo (STIX 2.1 + informe narrativo) de un grupo de ransomware o APT activo en 2026.
Entregable 05Informe

Informe ejecutivo sectorial

Tres capasInforme final con capa estratégica para dirección, operacional para SOC y táctica para detección, evaluado individualmente.
Entregable 06FUNDAE

Certificado bonificable

ValidezCertificado FUNDAE con horas bonificables y nota numérica para empresas españolas.
§04
Formato

Dos jornadas, diez alumnos, MISP y Ghostnet incluidos.

Detalle operativo

  • F.01Duración16 h
  • F.02ModalidadPresencial u online
  • F.03AforoHasta 10
  • F.04IdiomaES / EN
  • F.05CertificaciónFUNDAE

Grupos cubiertos (ejemplos)

  • G.01Ransomware — LockBit, BlackCat, BianLian, Play, RansomHub2026
  • G.02APT estatales — Lazarus, APT28/29Activo
  • G.03APT regionales — Mustang Panda, Charming KittenActivo
  • G.04Actores financieros — FIN7, FIN11, BEC
  • G.05Hacktivismo relevante 2025–2026
§05
Preguntas

Dudas frecuentes.

¿Hay que tener Curso 03 (OSINT) hecho previamente?

No es obligatorio pero ayuda mucho. Quien venga sin él recibe material de lectura previo de OPSEC y fuentes. Si el equipo entero parte sin base de OSINT, recomendamos combinar ambos cursos en un programa de cinco días.

¿Trabajáis con MISP en cloud o on-prem?

Los dos. Durante el curso usamos MISP en cloud gestionado por Neural, pero la arquitectura, el hardening y el deployment on-prem son parte explícita del módulo 05.

¿Se puede integrar con nuestro SIEM y EDR reales?

Sí. En la versión in-company conectamos MISP del lab con vuestro SIEM y EDR (Splunk, Sentinel, Elastic, CrowdStrike, SentinelOne) para que la práctica termine en producción.

¿Cuánto se actualiza el material?

Los grupos de actores cubiertos se revisan cada trimestre. La biblioteca de informes reales se mantiene viva — vuestro equipo recibe las actualizaciones durante 30 días tras finalizar el curso.

§06 — Siguiente paso

Pide presupuesto o reserva 30 min para definir alcance.

Cuéntanos madurez actual del equipo CTI, plataformas en uso y sector. Te respondemos con propuesta cerrada en 48 h o ajustamos formato y profundidad en una llamada corta.

Solicitar presupuesto Reservar 30 min