Escenario inicial: ¿Qué pasó?
El equipo de Respuesta a Incidentes (RI) detecta actividad sospechosa en un endpoint, ligada a un archivo recibido por correo. Se extrae la muestra y se envía al equipo de Malware Analysis (MA).

Malware Analysis: Despiece técnico
MA realiza análisis estático y dinámico y descubre:

Documento malicioso con macros que descarga una carga codificada en Base64 y ejecuta una DLL.

Conexiones a dominios desconocidos, uso de herramientas living-off-the-land (regsvr32.exe) y posible exfiltración.

Resultado del análisis:

IoCs: hashes, dominios, IPs, user-agents.

IoAs: técnicas, comportamiento, artefactos.

Esta información pasa a CTI.

CTI: Contexto para entender y actuar
CTI investiga los IoCs y TTPs:

Compara con MITRE ATT&CK, Any.run, VirusTotal, Malpedia.

Encuentra coincidencias con campañas recientes (ej. APT-C-36 / Blind Eagle).

Amplía la red de indicadores pivotando en plataformas públicas.

Con ello:

Genera un perfil del actor (motivación, objetivos, región).

Produce inteligencia técnica y táctica para equipos operativos.

SOC y Threat Hunting: Acción y contención
Con los IoCs, el SOC:

Bloquea dominios e IPs.

Crea reglas EDR para detecciones tempranas.

El equipo de Threat Hunting, con IoAs y TTPs:

Busca actividad similar en logs históricos.

Detecta posibles compromisos previos.

Identifica infraestructura relacionada no bloqueada.

Cierre del ciclo
La colaboración permite:

Atribuir el incidente a un actor específico.

Bloquear infraestructura maliciosa.

Detectar otros casos activos.

Mejorar controles y prevención.

Conclusión
Lo que comenzó como una muestra sospechosa terminó generando inteligencia útil que fortaleció a toda la organización. CTI demuestra su valor al conectar áreas, aportar contexto y transformar hallazgos técnicos en acciones reales.