Intercambio de inteligencia de amenazas con ISO 27001 en 2026

A las 07:40 de un martes por la mañana, María, CISO de una plataforma europea de pagos en rápido crecimiento, recibe un boletín de alta confianza de un ISAC de servicios financieros. Una campaña de robo de credenciales está dirigida contra proveedores de pago que utilizan una integración específica con un proveedor de identidad. El aviso incluye dominios de mando y control, nombres sospechosos de aplicaciones OAuth, cadenas de user-agent, tácticas observadas y una recomendación para rotar secretos en los tenants afectados.
En cuestión de minutos, la organización empieza a plantearse las preguntas que definen el intercambio de inteligencia de ciberamenazas en 2026.
El SOC quiere incorporar inmediatamente los indicadores al SIEM. El área jurídica pregunta si la empresa puede devolver su propia telemetría al ISAC. El DPO pregunta si las direcciones IP, nombres de usuario, extractos de tickets, registros de autenticación o detalles de endpoints incluyen datos personales. El COO quiere saber si debe avisarse a los clientes. El CEO, recién salido de una formación directiva sobre NIS2, reenvía la alerta con dos palabras: «¿Nuestro plan?»
Después, el responsable de cumplimiento plantea la pregunta más importante: «Si el supervisor pregunta el mes que viene, ¿podemos demostrar que nuestro intercambio de inteligencia de ciberamenazas fue lícito, aprobado, útil y controlado?»
Esa es la nueva realidad. DORA ha pasado del plazo de implantación al escrutinio supervisor. NIS2 ha pasado de los proyectos de preparación a la cooperación operativa. GDPR sigue aplicándose, incluso cuando los datos son telemetría de seguridad. El intercambio de inteligencia de amenazas ya no es un intercambio informal por Slack entre equipos de seguridad. Es una actividad gobernada que implica confidencialidad, minimización de datos personales, aprobaciones de divulgación, registros, expectativas regulatorias y evidencias de auditoría.
Para CISOs, responsables de cumplimiento, auditores y propietarios de negocio, la cuestión no es si participar en acuerdos de intercambio de inteligencia de ciberamenazas. La cuestión real es cómo compartir con la rapidez suficiente para ayudar a los defensores, evitando al mismo tiempo divulgaciones ilícitas, brechas de confidencialidad de clientes, fugas de información competitiva, publicación no gestionada de vulnerabilidades y evidencias débiles.
ISO/IEC 27001:2022 es la columna vertebral de gobernanza que lo hace posible. No como un certificado en la pared, sino como un sistema de gestión que convierte el intercambio de inteligencia de ciberamenazas en un modelo operativo repetible, defendible y seguro conforme a GDPR.
Por qué cambió el intercambio de inteligencia de ciberamenazas en 2026
La primera oleada de preparación para DORA y NIS2 se centró en el alcance, los plazos de notificación de incidentes, el riesgo de terceros de TIC, la responsabilidad del consejo de administración y los análisis de brechas. Ese trabajo era necesario, pero reguladores y clientes formulan ahora preguntas más operativas:
- ¿En qué ISAC, CERT, CSIRT, foros de proveedores o comunidades de confianza participa la organización?
- ¿Quién está autorizado para representar externamente a la organización?
- ¿Cómo se decide qué puede compartirse?
- ¿Cómo se evita la divulgación de datos personales, secretos de clientes, detalles de vulnerabilidades y arquitectura sensible?
- ¿Cómo actualizan las entradas de inteligencia de amenazas las reglas de monitorización, las prioridades de parcheado, los registros de riesgos, los playbooks de incidentes, las revisiones de proveedores y las pruebas de resiliencia?
- ¿Dónde están las evidencias?
DORA es especialmente directo para las entidades financieras. Trata la resiliencia operativa digital como un sistema de gestión del riesgo de las TIC responsabilidad del consejo de administración, no como una lista de verificación de TI. DORA es aplicable desde el 17 de enero de 2025, por lo que en 2026 muchas entidades financieras están siendo evaluadas en función de si sus procesos funcionan en la práctica.
DORA Article 45 permite el intercambio de información e inteligencia sobre ciberamenazas entre entidades financieras cuando la finalidad es mejorar la resiliencia operativa digital. El intercambio debe realizarse en comunidades de confianza y con acuerdos que protejan la información sensible de negocio, los datos personales, la confidencialidad, la propiedad intelectual y los límites del derecho de la competencia. En lenguaje claro, DORA no significa «compartirlo todo». Significa «compartir de forma segura, deliberada y bajo condiciones controladas».
NIS2 genera una presión similar fuera del sector financiero. Se aplica a muchas entidades esenciales e importantes de sectores de alta criticidad y otros sectores críticos, incluida la infraestructura digital, proveedores de servicios gestionados, proveedores de servicios de seguridad gestionados, proveedores de servicios de computación en la nube, proveedores de centros de datos, mercados en línea, motores de búsqueda, plataformas de redes sociales, banca e infraestructuras de mercados financieros. NIS2 Article 20 responsabiliza a los órganos de dirección de aprobar las medidas de gestión de riesgos de ciberseguridad, supervisar su implantación y recibir formación. Article 21 exige medidas técnicas, operativas y organizativas adecuadas y proporcionadas, incluidos análisis de riesgos, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, gestión de vulnerabilidades, evaluación de la eficacia, higiene cibernética, formación, criptografía, seguridad de RR. HH., control de acceso, gestión de activos, MFA y comunicaciones seguras. Article 23 exige una notificación escalonada de incidentes significativos, incluida una alerta temprana en 24 horas, una notificación de incidente en 72 horas y un informe final a más tardar un mes después de la notificación del incidente.
GDPR añade la restricción de privacidad. Los datos personales incluyen cualquier información relativa a una persona física identificada o identificable. Los registros de seguridad, direcciones IP, nombres de usuario, direcciones de correo electrónico, nombres de endpoints, eventos de autenticación, tickets de soporte, muestras de malware, capturas de pantalla y notas de investigaciones de fraude pueden constituir datos personales. GDPR exige un tratamiento lícito, leal, transparente, limitado a la finalidad, minimizado, exacto, limitado en conservación y seguro. También exige responsabilidad proactiva, lo que significa que la organización debe poder demostrar el cumplimiento.
El resultado es un problema de gobernanza. El intercambio de inteligencia de amenazas debe ser lo bastante rápido para mejorar la defensa, lo bastante controlado para satisfacer a los supervisores y lo bastante disciplinado para evitar brechas de privacidad y confidencialidad.
ISO 27001 como eje de cumplimiento para el intercambio de inteligencia de amenazas
ISO/IEC 27001:2022 se adapta bien a este reto porque parte del contexto, las partes interesadas, el alcance, el riesgo, el liderazgo, el control operacional, la monitorización, la auditoría interna, la revisión por la dirección y la mejora continua.
Las cláusulas 4.1 a 4.4 exigen que las organizaciones comprendan las cuestiones internas y externas, identifiquen a las partes interesadas y sus requisitos, definan el alcance del SGSI y mantengan el sistema de gestión. Para una organización sujeta a DORA o NIS2, las partes interesadas pueden incluir autoridades competentes, CSIRT, clientes, proveedores de TIC, ISAC, grupos sectoriales, encargados del tratamiento, responsables del tratamiento, aseguradoras, auditoría interna y el consejo de administración.
Las cláusulas 5.1 a 5.3 exigen compromiso de la dirección, orientación mediante políticas, responsabilidad proactiva, recursos y responsabilidades asignadas. Esto importa porque el intercambio de inteligencia de amenazas falla cuando se deja al criterio técnico informal. Si el analista del SOC, el asesor jurídico, el DPO, el CISO, el responsable de relaciones públicas y el propietario de negocio aplican supuestos distintos, la organización compartirá en exceso, se bloqueará o responderá demasiado tarde.
Las cláusulas 6.1.1 a 6.1.3 convierten la cuestión regulatoria en evaluación de riesgos, tratamiento de riesgos, selección de controles, decisiones de la Declaración de Aplicabilidad, planes de tratamiento y aceptación del riesgo residual. Los riesgos habituales del intercambio de inteligencia de amenazas incluyen:
- Datos personales compartidos sin base jurídica o sin minimización.
- Información confidencial de clientes divulgada en un foro.
- Detalles de vulnerabilidades publicados antes de que exista una mitigación disponible.
- Indicadores consumidos pero nunca operacionalizados.
- Participación en ISAC no reflejada en la respuesta a incidentes, el registro de eventos, la gestión de vulnerabilidades o el riesgo de proveedores.
- Ausencia de evidencias que muestren quién aprobó la divulgación y por qué.
- Riesgo de derecho de la competencia por compartir información de mercado comercialmente sensible.
- Comunicaciones regulatorias y a clientes incoherentes durante un incidente significativo.
La cláusula 8.1 exige entonces implantar y controlar los procesos planificados, con información documentada suficiente para demostrar que los procesos operaron según lo previsto. Las cláusulas 9 y 10 exigen monitorización, medición, auditoría interna, revisión por la dirección, tratamiento de no conformidades, acciones correctivas y mejora continua. En resumen, ISO/IEC 27001:2022 convierte el intercambio de inteligencia de ciberamenazas en un modelo operativo auditable.
Los dos controles ISO que hacen que el intercambio funcione
Zenith Blueprint: hoja de ruta de 30 pasos para auditores de Clarysec Zenith Blueprint trata este tema como parte de la fase Controles en acción, paso 22: Controles organizativos. Dos controles de ISO/IEC 27002:2022 son centrales: 5.6, Contacto con grupos de interés especial, y 5.7, Inteligencia de amenazas.
El Zenith Blueprint deja claro que la participación en ISAC no es networking simbólico:
La participación en estos grupos no es un gesto simbólico. Es una inversión estratégica en inteligencia, colaboración y resiliencia compartida.
Para el control 5.6, los grupos de interés especial pueden incluir redes nacionales o sectoriales de inteligencia de ciberamenazas, ISAC, foros regulatorios, grupos de avisos de seguridad de proveedores, comunidades de código abierto y grupos de trabajo académicos. Pero el intercambio externo debe ser intencional, lícito y aprobado. El Zenith Blueprint añade la expectativa de madurez:
Las implantaciones maduras del SGSI tratan la participación en SIG como una actividad gobernada, no como un beneficio informal.
Esto implica mantener un registro de grupos y foros a los que se pertenece, designar participantes oficiales, capturar actas o resúmenes e integrar las conclusiones en revisiones internas o actualizaciones de controles.
El control 5.7 convierte la información externa en acción. El Zenith Blueprint afirma:
Una organización no puede defenderse de aquello que no entiende.
También advierte contra confundir los feeds de parches con la inteligencia de amenazas. La inteligencia real incluye perfiles de actores de amenaza, tácticas, técnicas y procedimientos, indicadores de compromiso, avisos sectoriales, contexto de vulnerabilidades e impacto estratégico en la organización. La inteligencia útil combina monitorización interna, alianzas externas, relaciones con CERT o ISAC, feeds comerciales y fuentes de código abierto, pero solo cuando alguien la revisa, prioriza y traduce en acciones.
Zenith Controls: guía de cumplimiento cruzado de Clarysec Zenith Controls refuerza el valor de cumplimiento cruzado. Mapea el control 5.6 como preventivo y correctivo, en apoyo de la confidencialidad, integridad y disponibilidad, con la gobernanza como capacidad operativa principal. Vincula 5.6 con 5.7 Inteligencia de amenazas, 5.5 Contacto con autoridades, 5.31 Requisitos legales, estatutarios, reglamentarios y contractuales, y 8.8 Gestión de vulnerabilidades técnicas. Mapea 5.7 como preventivo, detectivo y correctivo, vinculado a Identificar, Detectar y Responder, con capacidad operativa en gestión de amenazas y vulnerabilidades.
El mensaje es sencillo: un programa maduro de intercambio de inteligencia de ciberamenazas tiene dos mitades. Primero, relaciones controladas. Segundo, uso controlado de lo que se recibe y se comparte.
Un modelo operativo práctico para el intercambio gobernado
Un modelo operativo defendible en 2026 debe responder seis preguntas antes de compartir el primer indicador.
| Pregunta de gobernanza | Respuesta práctica | Evidencias esperadas por los auditores |
|---|---|---|
| ¿Quién puede participar? | Roles designados, foros aprobados, contactos suplentes, límites de autoridad | Registro de SIG e ISAC, registros de nombramiento, descripciones de rol |
| ¿Qué puede recibirse? | Informes de amenazas, IOC, TTP, avisos de vulnerabilidades, alertas sectoriales | Registro de entrada, clasificación de la fuente, reglas de manejo |
| ¿Qué puede compartirse? | Indicadores saneados, patrones no atribuibles, avisos aprobados, hechos listos para reguladores | Registro de aprobación de divulgación, revisión de minimización, aprobación jurídica o del DPO |
| ¿Cómo se utiliza la inteligencia? | Reglas SIEM, bloqueos EDR, priorización de vulnerabilidades, actualizaciones del registro de riesgos, cambios en playbooks | Tickets de cambio, reglas de detección, actualizaciones de riesgos, actas de reunión |
| ¿Cómo se protege la privacidad? | Minimización de datos, seudonimización, redacción, comprobación de base jurídica, límites de conservación | EIPD o revisión de privacidad, plantilla de intercambio, registro de conservación |
| ¿Cómo se revisa la eficacia? | Métricas, ejercicios de mesa, hallazgos de auditoría, revisión por la dirección | KPI, lecciones aprendidas de incidentes, informe de auditoría interna, acciones correctivas |
Clarysec suele implantarlo como un flujo de trabajo ligero pero formal:
- Recibir y clasificar la inteligencia.
- Validar la relevancia para activos, proveedores, servicios, geografías y clientes.
- Convertir la inteligencia en acciones, como reglas de monitorización, tickets de vulnerabilidad, alertas a usuarios, consultas a proveedores o actualizaciones de riesgos.
- Decidir si el intercambio saliente es necesario, lícito, seguro y permitido por las reglas de afiliación.
- Aplicar redacción, agregación, seudonimización o anonimización.
- Obtener las aprobaciones requeridas.
- Compartir a través de un canal aprobado.
- Registrar qué se compartió, con quién, por qué, cuándo y bajo qué autoridad.
- Revisar resultados y actualizar controles.
Esto evita los dos fallos clásicos: que el equipo de seguridad reciba inteligencia útil pero nada cambie, o que el equipo de seguridad comparta inteligencia útil pero genere exposición legal, contractual o de privacidad.
DORA Article 45: intercambio controlado sin perder confidencialidad
Para las entidades financieras, DORA Article 45 debe traducirse en un estándar interno de intercambio de inteligencia de ciberamenazas. Una interpretación práctica incluye cinco condiciones.
Primero, la finalidad debe ser la resiliencia. El intercambio debe ayudar a prevenir, detectar, responder o recuperarse de ciberamenazas. No debe derivar hacia precios, listas de clientes, estrategia de mercado o inteligencia comercialmente sensible.
Segundo, la comunidad debe ser de confianza. Esto implica reglas claras de afiliación, obligaciones de confidencialidad, canales seguros, controles de acceso y límites a la divulgación posterior. ISO/IEC 27010:2015 respalda el intercambio seguro de información en comunidades de confianza, incluidas reglas de confidencialidad, reciprocidad y canales de comunicación de confianza. ISO/IEC 27032:2023 respalda el intercambio de información de ciberseguridad y la conciencia situacional. ISO/IEC 27035-2:2023 vincula el intercambio de información con la planificación de respuesta a incidentes, incluida la participación en CERT y grupos sectoriales.
Tercero, la información sensible debe protegerse. Esto incluye secretos empresariales, diagramas de arquitectura, detalles de vulnerabilidades, credenciales, identificadores de clientes y datos personales. La Política de Clasificación y Etiquetado de Datos para pymes de Clarysec Política de Clasificación y Etiquetado de Datos - pyme establece:
El intercambio externo debe estar explícitamente autorizado y registrado.
Esa frase es el principio de control que subyace a un flujo de trabajo de DORA Article 45. La organización debe saber qué clasificación aplica, quién aprobó la divulgación y dónde se conserva el registro.
Cuarto, los datos personales deben minimizarse. La Política de Protección de Datos y Privacidad empresarial Política de Protección de Datos y Privacidad establece:
Solo podrán recopilarse y tratarse los datos necesarios para una finalidad de negocio específica y legítima.
El equivalente para pymes, Política de Protección de Datos y Privacidad - pyme Política de Protección de Datos y Privacidad - pyme, establece:
Solo deben recopilarse y conservarse los datos personales mínimos necesarios
Esto importa porque la inteligencia de amenazas suele tentar a los equipos a copiar registros en bruto en canales externos. En su lugar, deben compartir únicamente lo que el destinatario necesita, como un dominio malicioso, un hash, un intervalo de marcas temporales, un patrón general o una referencia de caso seudonimizada.
Quinto, la organización debe conservar evidencias. DORA se basa en la gestión documentada del riesgo de las TIC, la clasificación de incidentes, la notificación, las pruebas, la gobernanza de terceros y la responsabilidad de la dirección. Si el intercambio influye en la respuesta a incidentes, un escenario de prueba de resiliencia o una decisión de riesgo de proveedores, debe ser visible en los registros del SGSI.
Cooperación NIS2: del alcance legal a las relaciones operativas
NIS2 amplía la conversación más allá de las entidades financieras. Se aplica según sector, tamaño y criticidad, y también puede aplicarse con independencia del tamaño a determinadas entidades, como prestadores de servicios de confianza, proveedores de servicios DNS, registros de TLD, entidades críticas y servicios de registro de nombres de dominio.
Para el intercambio de inteligencia de amenazas, la lección clave es la gobernanza. Article 20 responsabiliza a los órganos de dirección de aprobar y supervisar las medidas de gestión de riesgos de ciberseguridad. Article 21 exige medidas técnicas, operativas y organizativas adecuadas y proporcionadas. Article 23 exige notificación escalonada de incidentes significativos.
El intercambio de inteligencia de amenazas se cruza con todo ello. Si un aviso de ISAC indica que se está explotando el servicio gestionado de un proveedor, las expectativas de cadena de suministro de Article 21 pasan a ser relevantes. Si la inteligencia indica un incidente significativo en curso, pueden activarse los flujos de trabajo de notificación de Article 23 y comunicación a clientes. Si una ciberamenaza significativa puede afectar a los destinatarios del servicio, la organización necesita un proceso controlado de advertencia.
El Zenith Blueprint aborda esto en la fase Fundamentos y liderazgo del SGSI, paso 5, Comunicación, concienciación y competencia. Recomienda una planificación de comunicaciones externas que identifique clientes, reguladores, socios y público, y después defina qué se comunica, cuándo, por quién y con qué aprobación. Ofrece el ejemplo práctico de un procedimiento de comunicación de incidentes en el que el CISO redacta un aviso, el área jurídica lo revisa y el CEO lo aprueba antes de enviarlo.
La Política de Respuesta a Incidentes para pymes Política de Respuesta a Incidentes - pyme establece:
El Director General (DG) es responsable de autorizar todas las decisiones de escalado de incidentes, notificaciones regulatorias y comunicaciones externas.
Para organizaciones de mayor tamaño, la Política de Respuesta a Incidentes empresarial Política de Respuesta a Incidentes establece la base de evidencias:
Todos los incidentes deben registrarse en el Sistema de Gestión de Incidentes de Seguridad (SIMS), incluyendo:
Cuando la inteligencia de amenazas se convierte en un incidente, advertencia a clientes, notificación a reguladores o aviso externo, no debe residir únicamente en buzones de correo e hilos de chat. Debe estar en el sistema de gestión de incidentes con clasificación, acciones, aprobaciones, evidencias y lecciones aprendidas.
Divulgación segura conforme a GDPR: compartir inteligencia, no datos personales innecesarios
GDPR permite las operaciones de seguridad, pero no crea una zona libre para compartir telemetría sin control. Muchos artefactos de inteligencia de amenazas pueden contener datos personales:
- Direcciones IP conectadas a actividad de usuario.
- Direcciones de correo electrónico utilizadas en intentos de phishing.
- Nombres de usuario, nombres de dispositivos, identificadores de endpoints o identificadores de tenants de clientes.
- Registros de autenticación.
- Tickets de soporte.
- Capturas de pantalla.
- Notas de investigaciones de fraude.
- Muestras de malware que contienen documentos o archivos personales.
- Informes de vulnerabilidades que incluyen exposición de datos de clientes.
En el modelo de Clarysec, toda decisión de intercambio saliente pasa por un filtro de privacidad y confidencialidad.
| Filtro | Pregunta de decisión | Acción de control típica |
|---|---|---|
| Finalidad | ¿El intercambio es necesario para la ciberdefensa, la notificación legal o la mitigación coordinada? | Registrar la finalidad en el registro de intercambio |
| Base jurídica | ¿Existe una base jurídica documentada o una obligación legal? | Añadir revisión jurídica o del DPO para datos personales |
| Minimización | ¿Puede lograrse el mismo resultado con menos campos? | Eliminar nombres de usuario, correos electrónicos, notas de tickets y nombres de clientes |
| Seudonimización | ¿Pueden sustituirse los identificadores por identificadores de caso o tokens? | Mantener la correspondencia internamente con acceso restringido |
| Confidencialidad | ¿El contenido revela arquitectura, detalles de vulnerabilidades o secretos de clientes? | Clasificar como confidencial o altamente confidencial y restringir el intercambio |
| Conservación | ¿Durante cuánto tiempo deben conservarse el registro compartido y las evidencias de aprobación? | Aplicar regla de conservación y revisión de eliminación |
En Zenith Controls, el control 5.34 de ISO/IEC 27002:2022, Privacidad y protección de la PII, se mapea como preventivo y conectado con clasificación, inventario de activos, enmascaramiento de datos, seguridad en la nube, transferencia de información, control de acceso, gestión de identidades y revisión de proyectos o cambios. También se mapea con GDPR Articles 25 y 32 mediante privacidad desde el diseño, seguridad del tratamiento, cifrado, seudonimización, control de acceso y gobernanza demostrable. Las normas de apoyo incluyen ISO/IEC 27701:2021 para la gestión de información de privacidad, ISO/IEC 27018:2019 para la protección de la PII en entornos de encargados del tratamiento en nube pública, e ISO/IEC 29100:2011 para principios de privacidad.
Para el intercambio de inteligencia de amenazas, el DPO y el equipo de seguridad no deben conocerse por primera vez durante una crisis. Deben preaprobar patrones, plantillas, reglas de redacción y umbrales de escalado.
Ejemplo práctico: una alerta de ISAC se convierte en resiliencia basada en evidencias
Volvamos a la plataforma de pagos de María. El aviso del ISAC incluye dominios maliciosos, nombres sospechosos de aplicaciones OAuth, cadenas de user-agent y una nota que indica que varios miembros observaron intentos de compromiso de cuentas contra usuarios de operaciones financieras. La empresa también encuentra tres intentos de inicio de sesión sospechosos en sus propios registros.
Así operacionalizaría Clarysec la respuesta utilizando ISO/IEC 27001:2022, Zenith Blueprint, Zenith Controls y el kit de políticas.
| Paso | Acción | Propietario | Evidencia o vínculo de control |
|---|---|---|---|
| 1. Registrar la entrada | Registrar fuente, fecha, confianza, activos, tecnología afectada y restricciones de manejo | Analista del SOC | Registro de entrada de inteligencia de amenazas, control 5.7 de ISO/IEC 27002:2022 |
| 2. Clasificar | Etiquetar el aviso como Confidencial o Altamente Confidencial si incluye detalles sensibles de miembros | Responsable de Seguridad | Registro de clasificación de datos, regla de autorización de intercambio externo |
| 3. Validar relevancia | Verificar el uso en producción de la integración de identidad, usuarios expuestos, concesiones OAuth, DNS, proxy, EDR y registros SIEM | SOC y equipo de plataforma | Notas de triaje, evidencias de monitorización, revisión de vulnerabilidades |
| 4. Convertir en acción | Añadir detecciones, revisar concesiones, rotar secretos si es necesario, consultar al proveedor, actualizar el registro de riesgos | SOC, ingeniería, propietario del riesgo | Tickets de reglas SIEM, registros de cambios, escalado de proveedor |
| 5. Revisar el intercambio saliente | Reducir los hallazgos en bruto a una ventana temporal, patrón, dominio malicioso y tipo de rol afectado | CISO, área jurídica, DPO | Aprobación de divulgación, evaluación de minimización |
| 6. Compartir de forma segura | Enviar solo inteligencia aprobada a través del canal cifrado del ISAC | CISO o delegado | Registro de intercambio, registro del canal, marca temporal de aprobación |
| 7. Mejorar | Informar de métricas y lecciones aprendidas en la revisión del SGSI | CISO y GRC | Actas de revisión por la dirección, acciones correctivas |
El mensaje saliente incluye inicialmente marcas temporales, direcciones IP de origen, nombres de usuario objetivo, identificadores de tenants de clientes y capturas de pantalla. Tras la revisión del DPO y del área jurídica, se reduce a:
- Ventana temporal en UTC.
- Patrón de ataque.
- Dominio malicioso observado.
- Tipo general de rol afectado, como usuarios de operaciones financieras.
- Sin nombres de usuario.
- Sin identificadores de tenants de clientes.
- Sin capturas de pantalla.
- Sin nombres de clientes.
- Sin registros en bruto salvo que se soliciten a través de un canal controlado.
Si la actividad se convierte en un incidente, toman el control los controles de la Política de Respuesta a Incidentes. Si se recopilan artefactos forenses, aplica la Política de recopilación de evidencias y análisis forense para pymes Política de recopilación de evidencias y análisis forense - pyme:
Cada elemento de evidencia digital debe registrarse con:
La política continúa internamente con los requisitos de metadatos de evidencias, pero el principio de auditoría es claro: todo artefacto utilizado para investigación, intercambio, notificación a reguladores o comunicación a clientes necesita trazabilidad.
La divulgación de vulnerabilidades no es lo mismo que el intercambio de inteligencia de amenazas
Un error común es tratar la divulgación de vulnerabilidades, la notificación de incidentes y el intercambio de inteligencia de amenazas como si fueran el mismo proceso. Se solapan, pero no son idénticos.
El intercambio de inteligencia de amenazas puede incluir indicadores, tácticas, avisos sectoriales, comportamiento de adversarios, mitigaciones o intentos observados. La divulgación coordinada de vulnerabilidades se refiere a una debilidad específica en un producto o servicio, normalmente con un notificante, calendario de corrección, aviso y decisión de divulgación pública. La notificación de incidentes implica informes regulatorios o contractuales sobre un evento que afecta a servicios, datos o clientes.
Clarysec separa estos flujos de trabajo, manteniéndolos conectados a través del SGSI. La Política de divulgación coordinada de vulnerabilidades empresarial Política de divulgación coordinada de vulnerabilidades establece:
Coordinación y divulgación: La organización coordinará la divulgación pública con el notificante. Por defecto, no se harán públicos detalles de la vulnerabilidad hasta que exista una corrección o mitigación disponible, o al menos en curso. Para cuestiones críticas en las que no pueda entregarse una corrección con rapidez, la organización puede emitir un aviso de seguridad con orientaciones de mitigación temporal para advertir a los usuarios, en consulta con las autoridades pertinentes cuando sea necesario. Se espera que el notificante se abstenga de realizar divulgación pública hasta que la organización conceda autorización o publique un aviso. Como regla general, la organización tiene como objetivo publicar un aviso dentro de los 90 días siguientes a la recepción del informe, o dentro de otro plazo acordado mutuamente, de acuerdo con las prácticas del sector, incluido el reconocimiento al notificante cuando haya prestado su consentimiento.
La misma política también establece:
Confidencialidad: Hasta la divulgación pública, toda información relativa a una vulnerabilidad notificada se tratará como Altamente Confidencial. Los detalles se compartirán internamente solo bajo el principio de necesidad de conocer con el personal requerido para validar o remediar el problema. La identidad del notificante se mantendrá confidencial cuando así se solicite. Todas las comunicaciones con el notificante deben cifrarse, incluido el uso de la clave PGP de la organización, para proteger los detalles sensibles de la vulnerabilidad.
Esto es crucial para DORA Article 45 y la cooperación NIS2. Una comunidad de confianza puede ser el lugar adecuado para compartir mitigaciones o indicadores de alto nivel, pero no necesariamente detalles de exploits, datos específicos de clientes o información sobre vulnerabilidades sin parchear.
Las comunicaciones externas necesitan la misma disciplina. La Política de Redes Sociales y Comunicaciones Externas empresarial Política de Redes Sociales y Comunicaciones Externas asigna la responsabilidad de revisar el contenido para garantizar el cumplimiento de las leyes que regulan la confidencialidad, las divulgaciones internas, la propiedad intelectual y la difamación. Esto importa cuando un aviso técnico se convierte en una declaración pública, notificación a clientes, actualización del sitio web o mensaje dirigido al regulador.
Mapeo de cumplimiento cruzado: un flujo de trabajo, muchas obligaciones
Un flujo de trabajo sólido de intercambio de inteligencia de ciberamenazas debe satisfacer múltiples marcos sin crear procesos duplicados.
| Marco | Qué espera | Cómo lo mapea Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | Contexto, liderazgo, tratamiento de riesgos, control operacional, evidencias documentadas, monitorización, auditoría, mejora continua | Alcance del SGSI, registro de riesgos, Declaración de Aplicabilidad, plan de comunicación, auditoría interna, revisión por la dirección |
| Controles 5.6 y 5.7 de ISO/IEC 27002:2022 | Contacto gobernado con grupos de interés especial e inteligencia de amenazas accionable | Registro de SIG, entrada de amenazas, flujo de trabajo de análisis, actualizaciones de detección, aprobaciones de intercambio |
| DORA Article 45 | Intercambio de inteligencia de ciberamenazas de confianza que protege la confidencialidad, los datos personales, el secreto empresarial, la propiedad intelectual y los límites de la competencia | Comunidades aprobadas, condiciones de divulgación, revisión jurídica y del DPO, canales seguros, registros de evidencias |
| NIS2 Articles 20, 21 y 23 | Supervisión del consejo de administración, medidas de gestión de riesgos de ciberseguridad, cooperación, gestión de incidentes, seguridad de la cadena de suministro, gestión de vulnerabilidades, notificación escalonada | Informes al consejo de administración, comunicaciones de incidentes, escalado de proveedores, lista de contactos CSIRT, actualizaciones de riesgos guiadas por amenazas |
| GDPR Articles 5, 6, 25 y 32 | Tratamiento de datos personales lícito, minimizado, limitado a la finalidad, seguro y sujeto a responsabilidad proactiva | Filtro de privacidad, redacción, seudonimización, reglas de conservación, revisión del DPO, registro de intercambio |
| NIST CSF 2.0 | Resultados GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND y RECOVER con obligaciones legales y canales de comunicación | Perfil Organizativo, estado actual y objetivo, mejoras de detección y respuesta, comunicación con partes interesadas externas |
| COBIT 2019 | Supervisar requisitos externos, gestionar amenazas de seguridad, evaluar la eficacia de los controles, gestionar la privacidad | Supervisión del cumplimiento, métricas de amenazas, informes de gobernanza, alineación del programa de privacidad |
NIST CSF 2.0 es útil como capa organizativa neutral porque su función GOVERN aborda partes interesadas, obligaciones legales, dependencias, apetito de riesgo, roles, políticas y supervisión. Sus funciones DETECT y RESPOND esperan monitorización, integración de inteligencia de amenazas, declaración de incidentes, preservación de evidencias, notificación y comunicación externa.
COBIT 2019 añade responsabilidad de gestión. Prácticas como DSS05.04 Gestionar amenazas de seguridad, APO12 Gestionar riesgos, MEA03 Gestionar el cumplimiento de requisitos externos y APO13 Gestionar la seguridad ayudan a los auditores a comprobar si la inteligencia mejora el desempeño de los controles y los informes de gobernanza.
Cómo auditarán los auditores tu programa de intercambio
Un auditor de ISO/IEC 27001:2022 empezará por el sistema de gestión. Preguntará cómo se identificaron los requisitos legales, regulatorios, contractuales y de partes interesadas conforme a las cláusulas 4.1 y 4.2. Verificará si el intercambio de inteligencia de amenazas está dentro del alcance, si se evaluaron los riesgos, si los controles 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15 y 8.16 están incluidos o justificados en la Declaración de Aplicabilidad, y si las evidencias demuestran que el proceso operó según lo previsto.
Un auditor o supervisor centrado en DORA buscará gobernanza, responsabilidad del consejo de administración, integración del riesgo de TIC, clasificación de incidentes, pruebas de resiliencia, implicaciones de terceros y condiciones de Article 45. Preguntará si la participación en acuerdos de intercambio de información está documentada, si los datos sensibles y personales están protegidos, si la inteligencia actualiza el marco de gestión del riesgo de las TIC y si influye en los escenarios de prueba.
Un revisor orientado a NIS2 se centrará en la supervisión del consejo de administración, las medidas de Article 21, la gestión de incidentes, las dependencias de proveedores, la gestión de vulnerabilidades, las comunicaciones a clientes o destinatarios del servicio y la cooperación con CSIRT o autoridades competentes. Comprobará si la inteligencia de amenazas está conectada con la evaluación de incidentes significativos y la notificación escalonada.
Un auditor de privacidad se centrará en los principios de GDPR. Preguntará si los datos compartidos eran datos personales, qué base jurídica se aplicó, si se realizó minimización, si era posible la seudonimización o redacción, si la conservación estaba controlada y si la organización puede demostrar responsabilidad proactiva.
Las buenas evidencias incluyen:
- Registro aprobado de ISAC o SIG.
- Participantes y suplentes designados.
- Condiciones de afiliación y obligaciones de confidencialidad.
- Registro de entrada de inteligencia de amenazas.
- Evaluaciones de triaje y relevancia.
- Tickets de ingeniería de detección.
- Cambios en la priorización de vulnerabilidades.
- Escalados de riesgo de proveedores.
- Registros de aprobación de divulgación.
- Notas de revisión del DPO o de privacidad.
- Mensajes salientes redactados.
- Registros de incidentes en SIMS.
- Registros de cadena de custodia de evidencias.
- Actas de revisión por la dirección.
- Hallazgos de auditoría interna y acciones correctivas.
Errores comunes que Clarysec observa sobre el terreno
El fallo más común es la participación informal. Un ingeniero de seguridad se une a un foro privado, recibe inteligencia útil y comparte observaciones internas sin autorización formal. La intención es buena, pero la pista de evidencias es débil y el riesgo de confidencialidad es alto.
El segundo fallo es el consumo pasivo. La organización se suscribe a feeds, asiste a llamadas de ISAC y reenvía avisos, pero nadie puede demostrar cómo la inteligencia modificó los controles. La inteligencia de amenazas debe actualizar la lógica de detección, las prioridades de parcheado, los playbooks, los registros de riesgos, las revisiones de proveedores, las campañas de concienciación o las pruebas de resiliencia.
El tercer fallo es compartir registros en bruto. Los equipos envían externamente capturas de pantalla, exportaciones de SIEM, cabeceras de correo o capturas de paquetes sin minimización. Esto puede exponer datos personales, identificadores de clientes, nombres internos de hosts, tokens o arquitectura confidencial.
El cuarto fallo es confundir las relaciones públicas con la comunicación regulada. Una publicación de LinkedIn sobre una tendencia de ataque no es lo mismo que una advertencia a clientes, una notificación a reguladores, una actualización a CSIRT o un aviso coordinado. Clarysec separa estos canales, asigna propietarios de aprobación y exige registros.
El quinto fallo es ignorar a los proveedores. Muchas alertas de inteligencia se refieren a software de terceros, plataformas en la nube, proveedores de servicios gestionados o integraciones de identidad. Conforme a DORA, NIS2, NIST CSF, COBIT 2019 y los controles de proveedores de ISO/IEC 27002:2022, la inteligencia de amenazas debe alimentar la gestión de riesgos de proveedores.
Construye tu paquete de intercambio de inteligencia de amenazas para 2026
La mayoría de las organizaciones no necesitan una burocracia pesada e independiente. Necesitan un paquete compacto de gobernanza que funcione durante un incidente real. Clarysec recomienda:
- Procedimiento de intercambio de inteligencia de amenazas.
- Registro de comunidades de intercambio aprobadas.
- Formulario de entrada y triaje de inteligencia de amenazas.
- Formulario de aprobación de divulgación saliente.
- Lista de verificación de revisión de privacidad y confidencialidad.
- Matriz de comunicación externa.
- Plantilla de resumen de reuniones de ISAC.
- Reglas de vinculación entre evidencias e incidentes.
- Panel de métricas.
- Plan de pruebas de auditoría interna.
El procedimiento debe referenciar las cláusulas de gestión de riesgos, comunicaciones, control operacional, evaluación del desempeño, auditoría interna y mejora continua de ISO/IEC 27001:2022. Debe mapearse con los controles 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15, 8.16 y los controles de proveedores pertinentes de ISO/IEC 27002:2022. También debe referenciar DORA Article 45, los deberes de cooperación y comunicación de incidentes de NIS2, y los principios de GDPR.
Lo más importante es que debe ser utilizable bajo presión. Si el proceso requiere una reunión de 12 personas antes de compartir un dominio malicioso con un ISAC de confianza, fallará. Si permite pegar registros en bruto de clientes en un portal comunitario, también fallará. El objetivo es velocidad controlada.
Convierte el intercambio de inteligencia de amenazas en resiliencia basada en evidencias
El intercambio de inteligencia de ciberamenazas en 2026 no es solo una insignia de madurez de seguridad. Para las entidades financieras, está vinculado a DORA Article 45 y a la resiliencia operativa digital. Para entidades esenciales e importantes, respalda la cooperación NIS2, la gestión de incidentes, la respuesta a vulnerabilidades, la seguridad de proveedores y la advertencia a destinatarios del servicio. Para cualquier organización que trate datos personales de la UE, debe ser seguro conforme a GDPR desde el diseño.
Clarysec ayuda a las organizaciones a construir este modelo operativo sin ralentizar a los defensores. Conectamos el Zenith Blueprint Zenith Blueprint, el kit de políticas y Zenith Controls Zenith Controls en un proceso operativo de SGSI: comunidades aprobadas, roles claros, divulgación segura para la privacidad, vinculación con incidentes, registros de evidencias, preparación para auditorías y mapeo entre marcos.
Si tu organización participa en un ISAC, recibe avisos de ciberseguridad, comparte indicadores con pares, informa a autoridades o gestiona divulgaciones de vulnerabilidades, ahora es el momento de formalizar el flujo de trabajo. Empieza con una revisión de una hora de tus acuerdos actuales de intercambio y después mapéalos con ISO/IEC 27001:2022, DORA Article 45, NIS2 y GDPR.
Clarysec puede ayudarte a construir el registro, las cláusulas de política, las plantillas de aprobación, el modelo de evidencias de auditoría y el paquete de informes a la dirección necesarios para que el intercambio de inteligencia de ciberamenazas sea rápido, lícito y defendible.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


