Feeds de inteligencia de amenazas para el firewall – Bloquear los ataques antes de que llamen
Algunos días, los administradores informáticos tienen la sensación de estar bajo fuego constante: bots y ciberdelincuentes intentan encontrar resquicios en la red a cada minuto. Un vistazo a los registros del cortafuegos revela una avalancha de intentos de conexión sospechosos procedentes de todo el mundo. ¿No sería tranquilizador que no dejaras que los atacantes conocidos llamaran a tu propia red en primer lugar? Aquí es exactamente donde entran en juego los feeds de amenazas, a menudo llamados feeds de inteligencia de amenazas o feeds de intel de amenazas para abreviar. Pero, ¿qué hay detrás de ellos y por qué deberías utilizarlos en tu cortafuegos?
Temas
¿Por qué necesitas fuentes de amenazas en el cortafuegos?
Los feedsde amenazas son básicamente listas actualizadas constantemente de Indicadores de Compromiso (IoC) conocidos, por ejemplo, direcciones IP, dominios o URL maliciosos. Estos feeds proceden de fuentes especializadas: Organizaciones de seguridad, iniciativas de la industria, comunidades de código abierto o proveedores comerciales de inteligencia sobre amenazas. Un cortafuegos moderno puede importar estas fuentes externas y bloquear automáticamente el tráfico de datos de amenazas conocidas antes de que se produzca un ataque.
Constantemente surgen nuevas amenazas y ningún administrador puede vigilar manualmente todas las IP y dominios peligrosos. Aquí es donde una fuente de inteligencia sobre amenazas proporciona al cortafuegos conocimientos adicionales: Le informa continuamente de qué fuentes son actualmente conocidas como peligrosas. Esto permite al cortafuegos impedir las conexiones a estos objetivos antes de que el malware o los atacantes causen algún daño. En los modelos de cortafuegos más recientes (por ejemplo, Sophos a partir de la versión 21 con Active Threat Response), la compatibilidad con este tipo de fuentes de terceros ya está integrada. Pero muchos otros fabricantes también tienen funciones similares: el principio sigue siendo el mismo.
Las ventajas de una alimentación de amenazas en el cortafuegos son evidentes:
- Protección proactiva: Las amenazas conocidas se bloquean antes de que puedan llegar a tu red y causar daños.
- Flexibilidad: Puedes utilizar feeds de diversas fuentes y adaptarlos a tus propias necesidades, desde feeds comunitarios gratuitos hasta feeds premium altamente especializados.
- Automatización: El cortafuegos actualiza y utiliza el feed automáticamente; no hay necesidad de actualizar manualmente y de forma constante las listas negras, lo que reduce significativamente la carga de trabajo de los administradores.
En resumen, el cortafuegos con Threat Feed funciona como un sistema de alerta temprana que intercepta los remitentes maliciosos conocidos en la frontera de la red. Esto aumenta significativamente la seguridad de la infraestructura y, al mismo tiempo, reduce notablemente la cantidad de tráfico no deseado que llega a los sistemas internos.
Defensa proactiva: detén los bots y los ataques con antelación
Un ejemplo práctico del valor añadido de los feeds de amenazas es la defensa contra los ataques basados en botnets. Muchos mecanismos de seguridad (como el bloqueo tras X intentos fallidos) reconocen los ataques de fuerza bruta con relativa fiabilidad si proceden de una única dirección IP. Sin embargo, los atacantes modernos reparten sus intentos entre numerosos bots: cada host individual infectado sólo realiza uno o dos intentos de inicio de sesión, por ejemplo, y esto se reparte durante un largo periodo de tiempo. Ninguna IP individual atrae la atención negativa a nivel local: los ataques permanecen bajo el radar y eluden los mecanismos de protección convencionales, como Fail2Ban o los límites de inicio de sesión.
Aquí es donde entra en juego una amplia fuente de inteligencia sobre amenazas. Si se analizan los registros de muchos cortafuegos, puede verse que determinadas direcciones IP muestran una actividad llamativa en varios sistemas. Por ejemplo, si la misma IP aparece en los registros de inicio de sesión de docenas de empresas diferentes con intentos fallidos, es un claro indicio de un ataque coordinado. Tales direcciones se etiquetan entonces en el feed de amenazas y se bloquean de forma centralizada. Tu propio cortafuegos aprende de esto: en cuanto uno de estos hosts de botnet intenta acceder a ti aunque sólo sea una vez, es inmediatamente identificado y bloqueado -gracias al conocimiento del feed- sin poder causar ningún daño significativo.
Ilustración: La red global de cortafuegos de Avanet sirve como sistema de alerta temprana sensorial. Si un cortafuegos gestionado reconoce una IP sospechosa y la comunica a la base de datos central en la nube, todos los participantes conectados reciben esta información. La IP maliciosa se marca en el feed de inteligencia sobre amenazas y, por tanto, se bloquea en todos los cortafuegos de la red. De este modo, todos se benefician de la experiencia de los demás.
Esta inteligencia compartida sobre amenazas también puede utilizarse para detener proactivamente ataques insidiosos distribuidos. Cada nueva dirección IP maliciosa reconocida acaba en el feed en poco tiempo, y por tanto en la lista de bloqueo de todos los cortafuegos participantes. Como resultado, el número de intentos de ataque que consiguen pasar se reduce drásticamente. El cortafuegos tiene que procesar menos «ruido» y a los auténticos ataques les cuesta mucho más pasar desapercibidos.
Integración sencilla en Sophos, Fortinet, Palo Alto & Co.
Afortunadamente, integrar un feed de amenazas en plataformas de cortafuegos populares es sencillo. En Avanet, nos centramos principalmente en Sophos Firewall, pero nuestro feed se integra igual de bien con soluciones de otros proveedores. Ya sea Fortinet FortiGate, Palo Alto Networks, Check Point, OPNsense u otros, la mayoría de los cortafuegos modernos admiten listas de bloqueo/alimentación de amenazas externas y pueden suscribirse a una lista de IP/dominios mediante URL.
El ejemplo de Sophos XGS muestra lo fácil que es: añade un nuevo feed a través de la interfaz web en el menú «Feeds de amenazas de terceros», introduce un nombre, la URL del feed y el tipo (IPv4, dominio o URL), selecciona Bloquear como acción y listo. Fortinet o Palo Alto también funcionan de forma similar, sólo que las funciones tienen nombres ligeramente diferentes (como Lista de Bloqueo Externa para FortiGate o Lista Dinámica Externa para Palo Alto).
En general, sólo son necesarios unos pocos pasos para integrar nuestro pienso:
- Obtener la URL del feed: En primer lugar, te enviaremos la URL del feed de amenazas deseado (por ejemplo, para el Feed Básico o el Premium).
- Añadir al cortafuegos: Abre el área para fuentes de amenazas externas/definidas por el usuario o listas de bloqueo en la interfaz del cortafuegos y añade allí una nueva fuente/conector. El nombre y la descripción se pueden seleccionar libremente. Introduce la URL del feed recibido como fuente.
- Establece reglas de filtrado: Especifica qué tipo de indicador se importa (direcciones IPv4, dominios, URLs) y qué debe hacer el cortafuegos con él: normalmente bloquearlo. A continuación, establece el intervalo de sondeo (por ejemplo, cada 6 horas) y guarda la configuración.
Tras estos pasos, el cortafuegos se conecta automáticamente a la alimentación y carga los Indicadores de Compromiso actuales. A partir de este momento, el suministro Threat Intel funciona en segundo plano: la lista de IP y dominios maliciosos se actualiza periódicamente y el cortafuegos bloquea todas las direcciones que contiene de forma totalmente automática. Por tanto, la integración suele llevar sólo unos minutos, pero el aumento de la seguridad es enorme.
Información curada sobre amenazas de Avanet
Ahora hay numerosas listas negras y feeds de amenazas disponibles gratuitamente en Internet. Entonces, ¿por qué utilizar un feed de Avanet? El reto reside en la calidad y puntualidad de los datos. Hemos desarrollado nuestro propio feed de inteligencia sobre amenazas, que está especialmente optimizado para cortafuegos y se perfecciona constantemente. Nuestro enfoque combina muchas fuentes y las filtra de forma inteligente para ofrecer un resultado completo y fiable. Entre otras cosas, utilizamos
- Listas públicas de la comunidad y OSINT: por ejemplo, listas de bloqueo conocidas de la comunidad de seguridad que recogen las amenazas actuales.
- Inteligencia comercial sobre amenazas: fuentes de datos compradas a proveedores de seguridad especializados que proporcionan material exclusivo (por ejemplo, sobre nuevos dominios de malware).
- Nuestros propios honeypots: Operamos sistemas de honeypots que atraen a los atacantes en Internet y registran sus IP, dominios y patrones de ataque.
- La red de cortafuegos de nuestros clientes: Muchos de los cortafuegos que soportamos envían registros anónimos de ataques y anomalías a nuestra base de datos central (con consentimiento, por supuesto). Estos datos de campo reales muestran en una fase temprana qué IPs están atacando activamente en la naturaleza.
La combinación de toda esta información crea un flujo de datos constantemente actualizado de indicadores maliciosos que va mucho más allá de las fuentes individuales. Y lo que es más importante, curamos y revisamos los datos para eliminar en gran medida los falsos positivos (falsas alarmas). En lugar de limitarnos a recopilar todas las listas posibles al azar -lo que fácilmente podría dar lugar a que se bloquearan falsamente servicios legítimos-, nos centramos en la calidad por encima de la cantidad. Cada IP o dominio del feed de Avanet se ha dado a conocer realmente como ataque o infraestructura maliciosa, a menudo en múltiples sistemas independientes. Como resultado, se puede confiar en nuestros feeds y habilitarlos en el cortafuegos con la conciencia tranquila, sin temor a bloquear innecesariamente el tráfico legítimo.
Nuestra Fuente de Inteligencia sobre Amenazas lleva en uso productivo desde finales de 2024 y se ha probado en varios entornos de clientes en condiciones reales. Hemos refinado continuamente la lógica de curado, los intervalos de actualización y las comprobaciones de calidad en despliegues controlados. El resultado es un feed estable y práctico que funciona en el cortafuegos sin esfuerzo adicional y que se mejora continuamente con los comentarios operativos. Esto significa que las nuevas instalaciones se benefician inmediatamente de los resultados obtenidos sobre el terreno.
Cuatro paquetes de alimentación contra amenazas para cada necesidad
No todos los entornos necesitan la misma profundidad de inteligencia sobre amenazas. Por eso ofrecemos nuestra alimentación en cuatro niveles de expansión: desde el paquete básico gratuito hasta la solución de gama alta. Para que todos puedan encontrar el nivel de protección adecuado:
Básico
0 CHF
Intervalo de actualización: cada 24 h
Fuentes IPv4: ≈ 30.000 IPs
Standard
179 CHF
Intervalo de actualización: cada 6 h
Alimentación IPv4: ≈ 45.000 IPs
Soporte
Descuento del 100% para clientes suscritos a Sophos Firewall*.
Premium
349 CHF
Intervalo de actualización: cada 1 h
Fuentes IPv4: ≈ 120.000 IPs
Alimentación de dominios / URL: (previsto Q4/25)
Soporte
14% de descuento para clientes suscritos a Sophos Firewall*.
Último
1999 CHF
Intervalo de actualización: cada 15 min
Fuentes IPv4: ≈ 180.000 IPs
Dominio / URL feeds (previsto Q4/25)
Soporte
10% de descuento para clientes suscritos a Sophos Firewall*.
* El descuento se aplica a todos los clientes existentes de Avanet con una suscripción activa a Sophos Firewall.
- Básico: Protección básica gratuita con listas básicas basadas en la comunidad. Contiene unas 30.000 direcciones IP maliciosas conocidas y se actualiza cada 24 horas. Ideal para entornos pequeños que desean una protección básica sólida a un precio razonable.
- Estándar: Fuente estándar curada con una cobertura más amplia (aprox. 45.000 IPs) y actualizaciones cada 6 horas. Incluye fuentes fiables adicionales para permitir una detección más precisa y reducir el número de falsos positivos. Adecuado para organizaciones que desean aumentar significativamente su seguridad al tiempo que reducen el tráfico innecesario.
- Premium: feed Premium para grandes demandas, actualizado cada hora. Incluye unas 120.000 IP maliciosas conocidas y, a partir del cuarto trimestre de 2025, amplios feeds adicionales de dominios y URL (más de 30 listas seleccionadas). Contiene datos exclusivos de nuestros honeypots, feeds de socios y análisis en tiempo real. Para organizaciones que no quieren comprometer la seguridad.
- Lo último: El paquete todoterreno sin preocupaciones con la máxima cobertura. Contiene todos los puntos de datos disponibles (actualmente ~190.000 IP) y se actualiza cada 15 minutos, casi en tiempo real. Ofrece la máxima protección posible y es especialmente interesante para infraestructuras críticas o grandes empresas que quieran armarse contra cualquier amenaza. (Este paquete se ofrece individualmente y está dirigido a entornos muy exigentes).
Todas las versiones de nuestro feed de amenazas son totalmente compatibles con Sophos Firewall (a partir de la v21 con el correspondiente paquete de licencias de Xstream Protection) y los demás sistemas mencionados. Puedes empezar poco a poco -por ejemplo, con el feed Básico gratuito- y cambiar a niveles superiores según tus necesidades de seguridad. Para los clientes actuales que ya utilizan nuestra suscripción a Sophos Firewall, hay descuentos en los paquetes de feeds de pago, por lo que la integración merece la pena por partida doble.
Conclusión – pruébalo y mantente un paso por delante del peligro
Los ataques son cada día más sofisticados y numerosos, pero no tienes por qué estar indefenso ante ellos. Una fuente de información sobre amenazas da al cortafuegos la ventaja necesaria para bloquear las fuentes de peligro conocidas incluso antes de que llamen a la puerta. La experiencia lo demuestra: Una vez activado un feed de este tipo, a menudo te sorprende cuántos intentos de conexión se bloquean automáticamente en los primeros días. Todas las solicitudes de bots, escáneres e intentos de inicio de sesión dudosos que antes tenían que ser bloqueados minuciosamente por sistemas internos o reglas independientes, ahora rebotan directamente en el cortafuegos.
¿Por qué no pruebas tú mismo la diferencia? Con nuestro Avanet Basic Feed, puedes probar gratuitamente y sin compromiso cuánto tráfico no deseado se genera en tu propio entorno, y cuánto de él es eliminado de raíz por el Threat Feed. La información obtenida genera confianza: Puedes ver en blanco y negro qué parte del tráfico diario es realmente malicioso y ya no pone a prueba la infraestructura de seguridad.
En definitiva: «Tu cortafuegos merece más conocimiento». Un feed de amenazas es un medio eficaz de proporcionar este conocimiento. Utilizando la inteligencia de enjambre procedente de miles de fuentes, puedes ir un paso por delante de los atacantes. Pruébalo: tu cortafuegos (y tu sueño tranquilo) te lo agradecerán.
FAQ
¿Qué es un feed de amenazas o feed de inteligencia sobre amenazas?
Un flujo de datos continuamente actualizado con indicadores de ataques, como IPs, dominios o URLs, que el cortafuegos puede bloquear automáticamente.
¿En qué se diferencia un feed de amenazas de las reglas clásicas de un cortafuegos o un IPS?
Las fuentes de amenazas se basan en la reputación y actúan de forma proactiva antes de que un ataque sea reconocible. Las reglas y los IPS suelen reaccionar ante patrones en el tráfico. Ambos se complementan.
¿Cuáles son los requisitos de licencia de Sophos?
Xstream Protection suele ser necesario para integrar cómodamente fuentes externas.
¿Qué cortafuegos son compatibles?
Sophos, Fortinet, Palo Alto, Check Point, OPNsense y otras plataformas compatibles con listas de bloqueo externas o listas dinámicas externas.
¿Desde cuándo se utiliza Avanet Feed?
En producción en varios clientes desde finales de 2024, en continuo desarrollo a partir de datos reales de funcionamiento
¿Qué tamaño tiene la red Avanet Threat Intel?
Cientos de cortafuegos productivos de nuestros clientes y varios servidores honeypot distribuidos por todo el mundo en los cinco continentes suministran continuamente datos de telemetría. Estos datos curados fluyen hacia nuestro feed de amenazas y se actualizan constantemente.
