>_
Terminal
© 2026 Diego Soria Ruiz. All rights reserved.
guest@dsr: ~
guest@dsr:~$ ./welcome.sh
guest@dsr:~$ cat hostiatio.md
Última modificación: 26-10-2025
Etiquetas: #CCN-CERT25

Zumo de Reyes: Sacándole todo el jugo a mi herramienta CCN TOP

Author: https://jornadas.ccn-cert.cni.es/es/xixjornadas-programa-general/xix-jornadas-ccn-cert/ponente/francisco-hernandez-cuchi

Contexto general

Esta charla presenta REYES, un agregador de herramientas de threat intelligence desarrollado para la administración pública española. Básicamente, es una plataforma que centraliza el acceso a múltiples servicios premium de inteligencia de amenazas (VirusTotal, Shodan, IntelX, etc.) que normalmente cuestan pasta o tienen límites en sus versiones gratuitas. El rollo es que en vez de hacer scripts cutres para consultar cada fuente por separado, tienes todo integrado en una interfaz única. La charla mezcla demos en vivo con casos reales de uso en el CCM de Madrid.

Conceptos clave

  • REYES como agregador premium: acceso gratuito para administración pública a herramientas que normalmente son de pago
    • VirusTotal, Shodan, IntelX, RiskIQ, PassiveDNS, y muchas más
    • Interfaz unificada tipo "hacker" (modo oscuro incluido)
  • Casos de uso reales del CCM:
    • Análisis de dominios maliciosos (ej: fisioterapia fake que distribuye cracks con malware)
    • Investigación de IPs sospechosas en logins de Office 365
    • Detección de VPNs no autorizadas (caso de HideMyAss)
    • Verificación de nodos de salida Tor
    • Análisis histórico de resoluciones DNS (PassiveDNS) para ver IPs pasadas de un dominio
  • Listas negras y grises:
    • Listas negras: IOCs confirmados como maliciosos
    • Listas grises: nodos de salida VPN, proxies, infraestructura "dudosa"
    • Se usan como primera línea de defensa perimetral
    • Importante: responden bien a reportes de falsos positivos
  • Apollo: sistema interno del CCM complementario a REYES
    • Agrega información de fuentes internas (CMDB, firewalls, F5, etc.)
    • Búsqueda ultrarrápida tipo grep sobre toda la infraestructura
    • Permite correlacionar datos externos (REYES) con internos (Apollo)

Desarrollo técnico

El flujo típico de investigación con REYES es bastante directo: introduces un IOC (dominio, IP, hash, email, dirección Bitcoin...) y la plataforma consulta automáticamente todas las fuentes integradas. Lo interesante es la parte de PassiveDNS/RiskIQ, que te deja "viajar en el tiempo" para ver qué IPs tenía un dominio hace meses o años. Esto es crítico cuando investigas campañas de phishing o suplantación, porque puedes ver cuándo levantaron la infraestructura maliciosa.

El ponente también presentó Apolonia, un asistente IA que integra llamadas a la API de REYES. La demo en vivo mostró cómo el bot puede analizar automáticamente dominios maliciosos, enumerar vulnerabilidades WordPress, buscar CVEs relacionadas y hasta generar sonetos con los tickets (sí, en serio). Aunque todavía no está en producción, la idea es que procese tickets automáticamente en cuanto lleguen, no bajo demanda.

Herramientas y comandos mencionados

  • REYES → Plataforma principal de agregación de threat intelligence
  • Apollo → Sistema interno de búsqueda en infraestructura del CCM
  • Apolonia → Asistente IA que consulta REYES API + búsquedas Google
  • VirusTotal → Análisis de archivos y URLs maliciosas
  • Shodan → Motor de búsqueda de dispositivos expuestos
  • IntelX → Búsqueda en leaks, pastes, darknet
  • RiskIQ/PassiveDNS → Resoluciones DNS históricas
  • MISP → Repositorio de eventos e indicadores de compromiso (152k+ investigaciones integradas)

Estadísticas de REYES (datos presentados)

  • +2.600 usuarios activos
  • +511 organismos dados de alta
  • +980.000 búsquedas realizadas en el año
  • 62 listas negras con casi 2M de indicadores
  • MISP: 152k investigaciones, 8.8M atributos, 1.2M IPs, 2.4M hashes
  • Superficie de exposición: +3k IPs monitorizadas, +46k dominios, +929k brechas detectadas

Novedades y roadmap

  • Nueva vista de eventos MISP: formato etiquetado más visual, información de threat actors
  • Menú de threat actors: información consolidada de APTs, alias, TTPs, IOCs relacionados
  • Sección de vulnerabilidades: vista gráfica de CVEs por organismo con detalle CVSS 3.1
  • Búsqueda por CVE: próximamente se podrá buscar directamente por identificador CVE
  • REYES 360: visión periférica que integra toda la info (listas negras, telemetría, inteligencia) en un único menú
  • Veredicto automático: REYES asignará su propio score de maliciosidad combinando todas las fuentes

Conclusión

REYES es básicamente el sueño de cualquier analista de SOC: todas las herramientas premium de threat intel en un solo sitio, gratis para administración pública, con API y posibilidad de automatización. Los casos de uso reales del CCM demuestran que no es vaporware, sino una herramienta que se usa a diario para tomar decisiones de bloqueo, investigar incidentes y correlacionar amenazas. La integración con sistemas internos (Apollo) y la automatización con IA (Apolonia) muestran hacia dónde va la cosa: menos tiempo buscando manualmente, más tiempo analizando.

Para entornos corporativos fuera de la administración pública, la lección es clara: agregar fuentes de inteligencia y automatizar consultas ahorra un montón de tiempo. Si no tienes acceso a REYES, toca montar algo similar con scripts y APIs, pero el concepto es el mismo.

Más

  • Pendiente: investigar si hay versión demo/trial de REYES para privados o solo es para AAPP
  • Profundizar en la API de REYES (la documentación tiene margen de mejora según el ponente)
  • Ver casos de uso de listas grises para detección de VPNs/proxies en login corporativo
  • Investigar integración MISP + REYES para enriquecer IOCs propios

<< cd ..

>_