Ir al contenido
Avanet
Threat Intelligence Feeds para el Firewall – Bloquear ataques antes de que toquen la puerta

Threat Intelligence Feeds para el Firewall – Bloquear ataques antes de que toquen la puerta

25. AGOSTO 2025

En algunos días, como administrador de TI, uno se siente bajo fuego constante: cada minuto, bots y ciberdelincuentes intentan encontrar brechas en la red. Una mirada a los registros del firewall muestra una avalancha de intentos de conexión sospechosos de todo el mundo. ¿No sería tranquilizador si no se permitiera que los atacantes conocidos ni siquiera tocaran la puerta de su propia red? Aquí es exactamente donde entran en juego los Threat Feeds, a menudo también llamados Threat Intelligence Feeds o Threat Intel Feeds para abreviar. Pero, ¿qué hay detrás y por qué debería usar tales feeds en el firewall?

¿Por qué necesita Threat Feeds en el firewall?

Los Threat Feeds son básicamente listas actualizadas constantemente de Indicators of Compromise (IoCs) conocidos, por ejemplo, direcciones IP, dominios o URL maliciosos. Estos feeds son proporcionados por fuentes especializadas: organizaciones de seguridad, iniciativas de la industria, comunidades de código abierto o proveedores comerciales de inteligencia de amenazas. Un firewall moderno puede importar tales feeds externos y, por lo tanto, bloquear automáticamente el tráfico de datos de amenazas conocidas incluso antes de que ocurra un ataque real.

Constantemente aparecen nuevas amenazas, y ningún administrador puede vigilar manualmente todas las IP y dominios peligrosos. Aquí, un Threat Intelligence Feed proporciona al firewall prácticamente conocimiento adicional: le informa continuamente sobre qué fuentes se conocen actualmente como peligrosas. Así, el firewall puede impedir conexiones a estos objetivos antes de que el malware o los atacantes causen algún daño. En modelos de firewall más nuevos (p. ej., Sophos desde la versión 21 con Active Threat Response), el soporte para tales feeds de terceros ya está firmemente integrado. Pero muchos otros fabricantes también tienen funciones similares: el principio sigue siendo el mismo.

Las ventajas de un Threat Feed en el firewall son obvias:

  • Protección proactiva: Las amenazas conocidas se bloquean antes de que lleguen a su red y puedan causar daños.
  • Flexibilidad: Se pueden utilizar feeds de diversas fuentes y adaptarlos a los propios requisitos, desde feeds comunitarios gratuitos hasta feeds premium altamente especializados.
  • Automatización: El firewall actualiza y utiliza el feed automáticamente; la actualización manual constante de las listas de bloqueo ya no es necesaria, lo que alivia significativamente a los administradores.

En resumen, el firewall con Threat Feed funciona como un sistema de alerta temprana que intercepta a los remitentes conocidos como malos ya en el límite de la red. Esto aumenta significativamente la seguridad de la infraestructura y, al mismo tiempo, reduce notablemente el tráfico no deseado que penetra en los sistemas internos.

Defensa proactiva: Detener bots y ataques por adelantado

Un ejemplo práctico del valor añadido de los Threat Feeds es la defensa contra ataques basados en botnets. Muchos mecanismos de seguridad (como el bloqueo después de X intentos fallidos) detectan ataques de fuerza bruta de manera relativamente fiable si se originan en una sola dirección IP. Sin embargo, los atacantes modernos distribuyen sus intentos entre numerosos bots: cada host infectado individual prueba, por ejemplo, solo uno o dos intentos de inicio de sesión, y eso durante un largo período de tiempo. Ninguna IP individual llama la atención negativamente a nivel local: los ataques permanecen bajo el radar y eluden los mecanismos de protección convencionales como Fail2Ban o límites de inicio de sesión.

Aquí, un Threat Intelligence Feed ampliamente posicionado juega su fuerza. Si se evalúan los registros de muchos firewalls, se puede ver que ciertas direcciones IP muestran actividades sospechosas distribuidas en varios sistemas. Si la misma IP aparece, por ejemplo, en los registros de inicio de sesión de docenas de empresas diferentes con intentos fallidos, esto es una clara indicación de un ataque coordinado. Tales direcciones se marcan entonces en el Threat Feed y se bloquean centralmente. Su propio firewall aprende de esto: tan pronto como uno de estos hosts de botnet lo intenta solo una vez con usted, es identificado y repelido de inmediato, gracias al conocimiento del feed, sin que pueda causar ningún daño significativo.

Telemetría de firewalls Avanet para el Cybora Threat Intelligence Feed
Telemetría de firewalls Avanet para el Cybora Threat Intelligence Feed

Figura: La red mundial de firewalls sirve como un sistema de alerta temprana sensorial. Si un firewall gestionado detecta una IP sospechosa y la informa a la base de datos central en la nube, todos los participantes conectados reciben esta información. La IP maliciosa se marca en el Threat Intelligence Feed y, por lo tanto, se bloquea en todos los firewalls de la red. De esta manera, todos se benefician de las experiencias de los demás. Cybora convierte después estos datos en un excelente Threat Feed para nosotros.

A través de esta Threat Intelligence compartida, los ataques distribuidos y sigilosos también pueden detenerse proactivamente. Cada nueva dirección IP maliciosa detectada aterriza en el feed en poco tiempo y, por lo tanto, en la lista de bloqueo de todos los firewalls participantes. Como resultado, el número de intentos de ataque exitosos se reduce drásticamente. El firewall tiene que procesar menos “ruido”, y los ataques reales tienen mucho más difícil pasar desapercibidos.

Integración sencilla en Sophos, Fortinet, Palo Alto & Co.

Afortunadamente, es sencillo integrar un Threat Feed en las plataformas de firewall comunes. Si bien en Avanet nos enfocamos principalmente en Sophos Firewall, el feed se puede integrar igual de bien en soluciones de otros fabricantes. Ya sea Fortinet FortiGate, Palo Alto Networks, Check Point, OPNsense u otros, la mayoría de los firewalls modernos admiten listas de bloqueo/Threat Feeds externos y pueden suscribirse a una lista de IP/dominios a través de URL.

Añadir Threat Intelligence Feeds en Sophos Firewall
Añadir Threat Intelligence Feed en Sophos Firewall

Usando Sophos XGS como ejemplo, se puede ver lo fácil que es: a través de la interfaz web en el menú “Third-Party Threat Feeds”, se añade un nuevo feed, se especifica un nombre, la URL del feed y el tipo (IPv4, Dominio o URL), se selecciona Bloquear como acción y listo. Funciona de manera similar con Fortinet o Palo Alto, solo que las funciones se nombran de manera ligeramente diferente allí (como External Block List con FortiGate o External Dynamic List con Palo Alto).

En general, solo se necesitan unos pocos pasos para integrar el Cybora Threat Feed:

  1. Obtener URL del feed: Primero, recibe la URL del Threat Feed deseado de nosotros (p. ej., para el Basic Feed o Premium).
  2. Ingresar en el firewall: Abra el área para Threat Feeds o listas de bloqueo externas/personalizadas en la interfaz del firewall y añada un nuevo feed/conector allí. El nombre y la descripción se pueden elegir libremente. Como fuente, deposita la URL del feed recibida.
  3. Establecer reglas de filtro: Especifique qué tipo de indicador se importa (direcciones IPv4, dominios, URL) y qué debe hacer el firewall con él, generalmente bloquear. Luego, configure el intervalo de sondeo (p. ej., cada 6 horas) y guarde la configuración.

Después de estos pasos, el firewall se conecta automáticamente al feed y carga los Indicators of Compromise actuales. A partir de este momento, el suministro de Threat Intel se ejecuta en segundo plano: la lista de IP y dominios maliciosos se actualiza regularmente, y el firewall bloquea todas las direcciones contenidas en ella de forma totalmente automática. La integración a menudo toma solo unos minutos; sin embargo, la ganancia en seguridad es enorme.

Threat Intelligence Feeds seleccionados por Cybora

Ahora hay numerosas listas de bloqueo y Threat Feeds disponibles gratuitamente en Internet. Entonces, ¿por qué usar un feed de Cybora? El desafío radica en la calidad y actualidad de los datos. Cybora ha creado un Threat Intelligence Feed seleccionado, especialmente optimizado para firewalls y refinado continuamente. El enfoque de Cybora combina muchas fuentes y las filtra inteligentemente para ofrecer un resultado completo y fiable. Para esto, utilizamos entre otros:

  • Listas públicas de la comunidad y OSINT: p. ej., listas de bloqueo conocidas de la comunidad de seguridad que recopilan amenazas actuales.
  • Threat Intelligence comercial: feeds de datos comprados de proveedores de seguridad especializados que entregan material exclusivo (p. ej., sobre nuevos dominios de malware).
  • Honeypots y sensores propios: Cybora opera sistemas honeypot y utiliza otros datos de telemetría para detectar atacantes, IPs, dominios y patrones de ataque.
  • Telemetría de firewalls de entornos de clientes: Los firewalls gestionados por Avanet pueden proporcionar registros anonimizados de ataques y anomalías, que Cybora incorpora al análisis y la selección del feed.

Al fusionar toda esta información, se crea un flujo de datos constantemente actualizado de indicadores maliciosos que va mucho más allá de las fuentes individuales. Más importante aún: Cybora selecciona y verifica los datos para excluir en gran medida los falsos positivos. En lugar de simplemente volcar todas las listas posibles sin examinar, lo que fácilmente podría bloquear falsamente servicios legítimos, nos centramos en la calidad sobre la cantidad. Cada IP o dominio en el Cybora Feed realmente se ha hecho notar como un ataque o infraestructura maliciosa, a menudo en varios sistemas independientes. Esto le permite confiar en el Cybora Feed y activarlo en el firewall con la conciencia tranquila, sin tener que temer bloquear tráfico legítimo innecesariamente.

El Cybora Threat Intelligence Feed está en uso desde hace tiempo en varios firewalls que gestionamos y ha sido probado en distintos entornos de clientes en condiciones reales. En despliegues controlados, hemos refinado continuamente la lógica de selección, los intervalos de actualización y los controles de calidad. El resultado es un feed estable y práctico que funciona en el firewall sin esfuerzo adicional y se mejora continuamente con comentarios operativos. Así, las nuevas instalaciones se benefician inmediatamente de los hallazgos del campo.

Cuatro paquetes de Threat Feed para cada necesidad

No todos los entornos necesitan la misma profundidad de Threat Intelligence. Por lo tanto, ofrecemos el Cybora Threat Feed en cuatro etapas de expansión, desde el paquete básico gratuito hasta la solución de gama alta. Así todos encuentran el nivel de protección adecuado:

Basic

  • 0 CHF por año
  • Intervalo de actualización: cada 24 h
  • Feeds IPv4: ≈ 30.000 IPs

Solicitar Feed

Standard

  • 179 $ por año
  • Intervalo de actualización: cada 6 h
  • Feeds IPv4: ≈ 45.000 IPs
  • Soporte
  • 100 % de descuento para clientes con suscripción de Sophos Firewall*

Suscribirse

Premium

  • 349 $ por año
  • Intervalo de actualización: cada 1 h
  • Feeds IPv4: ≈ 120.000 IPs
  • Feeds de Dominio / URL
  • Soporte Suscribirse

Ultimate

1999 $ por año

  • Intervalo de actualización: cada 15 min
  • Feeds IPv4: > 220.000 IPs
  • Feeds de Dominio / URL
  • Soporte

Suscribirse

  • Basic: Protección básica gratuita con listas básicas basadas en la comunidad. Contiene alrededor de 30.000 direcciones IP maliciosas conocidas y se actualiza cada 24 horas. Ideal para entornos más pequeños que desean una protección básica sólida de manera rentable.
  • Standard: Feed estándar seleccionado con una cobertura más amplia (aprox. 45.000 IPs) y actualizaciones cada 6 horas. Incorpora fuentes fiables adicionales para permitir una detección más precisa y reducir el número de falsos positivos. Adecuado para empresas que desean aumentar notablemente su seguridad y al mismo tiempo reducir el tráfico innecesario.
  • Premium: Feed premium para altas exigencias, actualizado cada hora. Incluye alrededor de 120.000 IPs malas conocidas, así como, a partir del cuarto trimestre de 2025, feeds extensos de dominios y URL (más de 30 listas seleccionadas). Contiene datos exclusivos de nuestros honeypots, feeds de socios y análisis en tiempo real. Para organizaciones que no quieren comprometer la seguridad.
  • Ultimate: El paquete completo sin preocupaciones con cobertura máxima. Contiene todos los puntos de datos disponibles (actualmente más de 220.000 IPs) y se actualiza cada 15 minutos, casi en tiempo real. Ofrece la mayor protección posible y es especialmente interesante para infraestructuras críticas o empresas más grandes que desean armarse contra cualquier amenaza. (Este paquete se ofrece individualmente y está dirigido a entornos muy exigentes).

Todas las variantes del Cybora Threat Feed son totalmente compatibles con Sophos Firewall (desde v21 con el paquete de licencias Xstream Protection correspondiente) y los otros sistemas mencionados. Se puede comenzar con algo pequeño, por ejemplo con el Basic Feed gratuito, y cambiar a niveles superiores si es necesario si los requisitos de seguridad crecen. Para los clientes existentes que ya utilizan nuestra suscripción de Sophos Firewall, hay descuentos en los paquetes de feeds de pago, por lo que una integración vale la pena por partida doble.

Conclusión – Pruébelo y esté un paso por delante del peligro

Los ataques se vuelven más sofisticados y numerosos cada día, pero no tiene que enfrentarlos sin protección. Un Threat Intelligence Feed le da al firewall la ventaja necesaria para bloquear fuentes de peligro conocidas incluso antes de que toquen la puerta. La experiencia muestra: Una vez que se activa un feed de este tipo, a menudo uno se sorprende de cuántos intentos de conexión se evitan automáticamente ya en los primeros días. Todas las solicitudes de bots, escáneres e intentos de inicio de sesión dudosos, que anteriormente tenían que ser repelidos laboriosamente por sistemas internos o por reglas separadas, ahora rebotan directamente en el firewall.

Entonces, ¿por qué no experimentar por sí mismo qué diferencia hace? Con el Cybora Basic Feed, puede probar gratis y sin compromiso cuánto tráfico no deseado ocurre en su propio entorno, y cuánto de él ya se corta de raíz con el Threat Feed. Los hallazgos obtenidos crean confianza: ve en blanco y negro qué parte del tráfico diario es realmente malicioso y ahora ya no sobrecarga la infraestructura de seguridad en absoluto.

Al final, se aplica lo siguiente: “Su firewall merece más conocimiento”. Un Threat Feed es un medio eficaz para proporcionar este conocimiento. Al utilizar la inteligencia de enjambre de miles de fuentes, siempre se mantiene un paso por delante de los atacantes. Pruébelo: su firewall (y su tranquilidad) se lo agradecerán.

FAQ

¿Qué es un Threat Feed o Threat Intelligence Feed?

Un flujo de datos actualizado continuamente con indicadores de ataques como IPs, dominios o URLs que pueden ser bloqueados automáticamente por el firewall.

¿En qué se diferencia un Threat Feed de las reglas de firewall clásicas o IPS?

Los Threat Feeds funcionan basados en reputación y proactivamente antes de que un ataque sea evidente. Las reglas e IPS reaccionan principalmente a patrones en el tráfico. Ambos se complementan.

¿Qué requisitos de licencia se aplican a Sophos?

Para la integración cómoda de feeds externos, generalmente se requiere Xstream Protection.

¿Qué firewalls son compatibles?

Sophos, Fortinet, Palo Alto, Check Point, OPNsense y otras plataformas con soporte para listas de bloqueo externas o External Dynamic Lists.

¿Desde cuándo está en uso el feed de Cybora?

Probamos regularmente distintos Threat Feeds. El feed de Cybora ha sido hasta ahora el que mejor resultado nos ha dado: ofrece una excelente relación calidad-precio y está optimizado específicamente para su uso en firewalls.

¿Qué tan grande es la red Threat Intel de Cybora?

Cientos de firewalls productivos de clientes, así como varios servidores honeypot distribuidos mundialmente en cinco continentes, entregan datos de telemetría continuamente. Estos datos se incorporan de forma seleccionada al Cybora Threat Feed y se actualizan continuamente.

La transmisión de datos de telemetría a Cybora se realiza exclusivamente previo acuerdo con el cliente correspondiente. Además, anonimizamos los datos previamente antes de que se incorporen al análisis y la selección.

Patrizio

Patrizio

Patrizio es un especialista de redes con amplia experiencia, centrado en firewalls Sophos, switches y puntos de acceso. Ayuda a clientes y equipos de TI con la configuracion, la migracion y una segmentacion de red limpia.