Cobertura de amenazas en cifras
Qué monitorizamos para ti
No tienes capacidad para hacer el seguimiento de cada fuente de amenazas por ti mismo. Nosotros lo hacemos y te entregamos solo lo que es relevante para tu entorno y sector.
CVEs y vulnerabilidades
Sabes qué nuevos CVEs se están explotando activamente y si tu software o hardware es vulnerable. No todos los CVEs son críticos; nosotros filtramos por explotabilidad real en el entorno.
Grupos de ransomware
Tienes visibilidad sobre los 30+ grupos de ransomware activos que seguimos: TTPs, perfiles de víctimas, estrategia de rescate e infraestructura. Sabe si tu sector está en el punto de mira.
Actores APT
Conoces los actores patrocinados por estados que operan en los Países Bajos, Bélgica y España. De NOBELIUM a APT28: rastreamos campañas y las vinculamos a técnicas MITRE ATT&CK.
Amenazas OT e ICS
Tu entorno OT no está a ciegas. Monitorizamos amenazas específicas para protocolos industriales y entornos ICS/SCADA, incluido nuevo malware que interrumpe procesos de producción.
Dark web y filtraciones
Sabes cuando el nombre de tu organización, credenciales o datos internos aparecen en foros de la dark web. Monitorizamos activamente brokers de acceso inicial y plataformas de venta de datos.
Inteligencia sectorial
Recibes inteligencia filtrada por tu sector: finanzas, administración pública, sanidad, industria o tecnología. Los feeds genéricos generan ruido; el contexto sectorial genera acción.
Inteligencia reciente
Semana 15, 2026: tres amenazas activas que estamos monitorizando en este momento y para las que hemos publicado reglas de detección e IoCs.
PLAY ransomware activo en la UE: Andorra Life (sanidad) y AG Scholtes (fabricacion NL) confirmados victimas en 24 horas. Alerta para Espana y Europa.
El grupo de ransomware PLAY ha reclamado tres victimas europeas en un solo ciclo de 24 horas: AG Scholtes (fabricacion, Paises Bajos), Andorra Life (sanidad, Andorra) y Svensk Direktreklam (servicios empresariales, Suecia). Esta expansion simultanea en tres paises europeos demuestra que PLAY tiene capacidad operativa activa en toda la UE. El sector sanitario y el de fabricacion son objetivos prioritarios de PLAY, que emplea como vector de acceso inicial vulnerabilidades en RDP y VPN sin parchear, seguidas de movimiento lateral (T1083), exfiltracion de datos (T1041) y cifrado (T1486). Para las organizaciones espanolas, la presencia activa de PLAY en paises vecinos (Andorra, a proximidad geografica de Cataluna) es un indicador directo de riesgo: el grupo opera activamente en el entorno europeo. Accion: activar alertas MDR para clientes del sector sanitario y de fabricacion; verificar indicadores de compromiso de PLAY (CISA AA23-352A disponible publicamente); revisar la seguridad de acceso RDP y VPN; validar la deteccion de movimiento lateral en entornos de produccion. MITRE ATT&CK: T1486, T1083, T1041.
NCSC-2026-0239: SonicWall SMA1000 dos zero-days activamente explotados. CVE-2026-15409 (SSRF, CVSS 9.8) y CVE-2026-15410 (inyeccion de codigo AMC, CVSS 9.8). Parchear ahora.
El aviso NCSC-NL NCSC-2026-0239 [H/H] confirma dos zero-days activamente explotados en los dispositivos SonicWall SMA1000, ambos ahora calificados con CVSS 9.8. CVE-2026-15409 es un Server-Side Request Forgery (SSRF) no autenticado en la interfaz Work Place, que permite a un atacante sin credenciales sondear redes internas y emitir solicitudes en nombre del dispositivo. CVE-2026-15410 es una inyeccion de codigo post-autenticacion en la Consola de Administracion del Dispositivo (AMC) que habilita la ejecucion de comandos del sistema operativo. Ambas vulnerabilidades estan confirmadas como activamente explotadas en entornos reales. SonicWall SMA1000 es una plataforma de acceso remoto ampliamente desplegada en entornos empresariales; un dispositivo comprometido proporciona acceso directo a la red interna. Accion: parchear SonicWall SMA1000 a la version disponible mas reciente de inmediato; revisar los registros de acceso en busca de patrones SSRF anomalos; notificar a todos los clientes con despliegues SonicWall SMA1000 y realizar una verificacion de IoCs. MITRE ATT&CK: T1190, T1059.
NCSC-2026-0238: Microsoft Dynamics 365 con vulnerabilidad RCE. Microsoft anticipa explotacion activa. Parchear con Patch Tuesday julio 2026.
El aviso NCSC-2026-0238 alerta sobre una vulnerabilidad de Remote Code Execution (RCE) en Microsoft Dynamics 365. La gravedad de este aviso radica en que Microsoft anticipa explicitamente que la explotacion activa es probable a corto plazo, lo que la distingue de otras vulnerabilidades del Patch Tuesday de julio 2026. Microsoft Dynamics 365 es ampliamente utilizado por organizaciones empresariales en Espana y Europa para CRM, ERP y gestion de operaciones. Un Dynamics 365 comprometido puede exponer datos de clientes, procesos de negocio criticos y conexiones con sistemas internos. Ademas del NCSC-0238, el Patch Tuesday de julio 2026 incluye CVE-2026-50522 (SharePoint RCE, CVSS 9.8) y multiples vulnerabilidades en Microsoft Office, .NET y Microsoft Defender. Accion: aplicar el Patch Tuesday de julio 2026 en todas las instancias de Dynamics 365 de forma inmediata; verificar que las actualizaciones automaticas estan activas; revisar los registros de acceso de Dynamics 365 en busca de comportamientos anomalos. MITRE ATT&CK: T1190 (Exploit Public-Facing Application), T1059 (Command Execution).
Investigación e informes
DEFION publica en dos niveles. Profundidad técnica para los equipos de seguridad. Contexto estratégico para la dirección.
Técnico
- ✓ Análisis en profundidad de CVEs y puntuaciones de explotabilidad
- ✓ Reversals de malware y análisis de comportamiento
- ✓ Reglas de detección KQL para Microsoft Sentinel
- ✓ Informes técnicos de Pwn2Own y conferencias
- ✓ Mapeo MITRE ATT&CK por campaña
Estratégico
- ✓ Informes mensuales de amenazas para el CISO
- ✓ Análisis sectoriales por industria y región
- ✓ Mapas de calor MITRE ATT&CK a nivel organizativo
- ✓ Briefings a clientes sobre campañas activas
- ✓ Informe trimestral del panorama de amenazas NL/UE
¿Para quién es relevante?
La Inteligencia de Amenazas no es solo para analistas de SOC. Cada perfil de seguridad se beneficia de la información adecuada en el momento oportuno.
CISO
- ✓ Briefing mensual de amenazas para la dirección
- ✓ Evaluación de riesgos por sector y normativa
- ✓ Base de evidencias para inversiones en seguridad
Analista de SOC
- ✓ Feeds de IoCs listos para usar en tu SIEM
- ✓ Reglas de detección KQL por campaña
- ✓ Profundidad técnica por amenaza y TTP
Director de TI
- ✓ Visibilidad de vulnerabilidades en tu entorno
- ✓ Priorización de parches según explotabilidad
- ✓ Visión general de amenazas activas en tu sector
Incident Responder
- ✓ IoCs y reglas YARA con contexto enriquecido
- ✓ Mapeo de TTPs para atribución y contención
- ✓ Briefings sectoriales rápidos ante campañas activas
Productos de inteligencia
Desde publicaciones de acceso libre hasta análisis de amenazas específicos para el cliente. Elige el nivel que se adapta a tu organización.
Acceso libre
- ✓ Blog: análisis técnicos e informes de amenazas
- ✓ Informe trimestral del panorama de amenazas NL/UE
- ✓ Actualizaciones de CVEs y avisos de parches
- ✓ Publicaciones de Research Labs
Clientes MDR
- ✓ Briefings de amenazas semanales personalizados
- ✓ Feeds de IoCs directamente en tu SIEM o EDR
- ✓ Reglas de detección KQL por campaña
- ✓ Notificación directa ante amenazas críticas
- ✓ Mapa de calor MITRE ATT&CK por trimestre
A medida
- ✓ Análisis de amenazas específico para el cliente
- ✓ Briefing sectorial para tu industria
- ✓ Escaneo de dark web por nombre de organización y credenciales
- ✓ Evaluación de exposición a amenazas inminentes
FAQ Inteligencia de Amenazas
¿Qué es la Inteligencia de Amenazas y por qué la necesito?
¿Cuál es la diferencia entre inteligencia estratégica y operacional?
¿En qué se diferencia DEFION Threat Intelligence de un feed comercial?
¿Con qué rapidez publicas ante una campaña activa o un zero-day?
¿Puedo contratar Threat Intelligence sin MDR?
Solicita un análisis de amenazas
¿Quieres saber qué amenazas están activas en tu sector y si tu entorno es vulnerable? Nuestros analistas elaboran un análisis específico basado en tu perfil.
Sin compromisos. Primer análisis gratuito para organizaciones cualificadas.
®