Plataforma de inteligencia de Ciberseguridad e IA que recolecta, analiza y distribuye noticias automáticamente vía Telegram. Funciona 24/7 mediante GitHub Actions y Cloudflare Workers.
┌─────────────┐ Telegram ┌─────────────────────┐ dispatches ┌──────────────────┐
│ Usuario │ ◄───────────────► │ Cloudflare Workers │ ───────────────► │ GitHub Actions │
└─────────────┘ Webhook │ (api/webhook.js) │ Workflow │ (run_job.py) │
└─────────────────────┘ └────────┬─────────┘
│
┌────────▼─────────┐
│ RECOLECCIÓN │
│ RSS + APIs + │
│ Telegram Chans │
└────────┬─────────┘
│
┌────────▼─────────┐
│ INTELIGENCIA │
│ Groq LLaMA 3.3 │
│ MITRE ATT&CK │
│ IoC Extraction │
│ Severity Class. │
└────────┬─────────┘
│
┌─────────────────────┐ guarda datos ┌──────▼──────────┐
│ Repo: cYHBernews │ ◄──────────────── │ DISTRIBUCIÓN │
└─────────────────────┘ │ Telegram │
▲ └─────────────────┘
│
┌───────┴───────┐
│ noticias.json │
│ + TTPs + IoCs │
└───────────────┘
- GitHub Actions (
.github/workflows/bot.yml): Motor del bot. Se ejecuta cada 3 horas o manualmente. Recolecta → Analiza → Distribuye. - Cloudflare Workers (
api/webhook.js): Receptor de Telegram. Dispara el Action vía/noticias. - Sources (
sources/): Módulos de recolección — RSS, NVD CVE API, Exploit-DB, Vulners, GreyNoise, canales de Telegram. - Intelligence (
intelligence/): Análisis avanzado — clasificación MITRE ATT&CK, extracción de IoCs, clasificación de severidad. - Persistencia (
DevCop95/cYHBernews): Persistencia ennoticias.jsoncon TTPs, IoCs y severidad.
Ve a Settings > Secrets and variables > Actions en este repositorio:
| Secreto | Descripción |
|---|---|
GIT_TOKEN |
Personal Access Token (Classic) con scopes repo y workflow |
TELEGRAM_TOKEN |
Token del bot obtenido con @BotFather |
TELEGRAM_CHAT_ID |
Tu ID de Telegram (obtenido con @userinfobot) |
GROQ_API_KEY |
API Key de console.groq.com |
UNSPLASH_ACCESS_KEY |
(Opcional) Para imágenes aleatorias |
NVD_API_KEY |
(Opcional) API Key de NVD para mejor rate limit |
GREYNOISE_API_KEY |
(Opcional) API Key de GreyNoise Community |
En tu dashboard de Cloudflare Workers > tu worker > Settings > Variables and Secrets:
| Variable | Valor |
|---|---|
TELEGRAM_TOKEN_ENV |
El mismo token de Telegram |
TELEGRAM_CHAT_ID_ENV |
Tu ID de Telegram |
GH_PAT_ENV |
El mismo GIT_TOKEN de GitHub |
https://api.telegram.org/bot<TU_TOKEN>/setWebhook?url=https://dev101_bot.dev101-bot.workers.dev
| Comando | Descripción |
|---|---|
/noticias |
Fuerza búsqueda y envío de noticias |
/help |
Muestra comandos disponibles |
Envío automático cada 3 horas vía cron en GitHub Actions.
dev101_bot/
├── .github/workflows/bot.yml # GitHub Actions (cron + dispatch)
├── api/webhook.js # Cloudflare Worker — Telegram webhook
├── sources/ # Módulos de recolección
│ ├── rss_feeds.py # 15 fuentes RSS (ES + EN)
│ ├── nvd_cve.py # NVD CVE API 2.0 (NIST)
│ ├── exploitdb.py # Exploit-DB RSS + Vulners API
│ ├── greynoise.py # GreyNoise Community API
│ └── telegram_monitor.py # Canales de Telegram via RSS bridge
├── intelligence/ # Análisis de inteligencia
│ ├── mitre_tagger.py # Clasificación MITRE ATT&CK (Groq)
│ ├── ioc_extractor.py # Extracción de IoCs (regex + STIX)
│ └── severity_classifier.py # Clasificación de severidad
├── run_job.py # Orquestador principal
├── requirements.txt
├── wrangler.toml
└── .env.example
| Fuente | Categoría | Idioma |
|---|---|---|
| CyberSecurity News | Ciberseguridad / IA | 🇪🇸 |
| WeLiveSecurity (ESET) | Ciberseguridad | 🇪🇸 |
| DragonJAR | Ciberseguridad | 🇪🇸 |
| El Lado Del Mal | Ciberseguridad | 🇪🇸 |
| Una al Día (Hispasec) | Ciberseguridad | 🇪🇸 |
| Bleeping Computer | Ciberseguridad | 🇬🇧 (auto-traducido) |
| The Hacker News | Ciberseguridad | 🇬🇧 (auto-traducido) |
| Krebs on Security | Ciberseguridad | 🇬🇧 (auto-traducido) |
| Dark Reading | Ciberseguridad | 🇬🇧 (auto-traducido) |
| Schneier on Security | Ciberseguridad | 🇬🇧 (auto-traducido) |
| SANS ISC | Ciberseguridad | 🇬🇧 (auto-traducido) |
| The Record | Ciberseguridad | 🇬🇧 (auto-traducido) |
| Wired Security | Ciberseguridad | 🇬🇧 (auto-traducido) |
| IA en Español (Substack) | IA | 🇪🇸 |
| Xataka IA | IA | 🇪🇸 |
| Fuente | Tipo | Costo |
|---|---|---|
| NVD CVE API 2.0 | Vulnerabilidades (CVSS ≥ 7.0) | Gratuita |
| Exploit-DB RSS | Exploits públicos | Gratuita |
| Vulners API | Vulnerabilidades + exploits | Gratuita |
| GreyNoise Community | IPs maliciosas trending | Gratuita |
| Canal | Temática |
|---|---|
| Threat Intel (Shakirov) | Inteligencia de amenazas |
| Ransomware News | Grupos de ransomware |
| Daily Dark Web | Dark web monitoring |
| Exploit.in | Exploits y vulnerabilidades |
| CyberWarfare Feed | APT tracking |
Cada noticia pasa por este pipeline:
- Recolección → RSS, APIs, Telegram channels
- Filtro de relevancia → Groq LLaMA 3.3 (acepta/rechaza)
- Resumen IA → Estilo analista CTI senior
- Extracción IoCs → Regex: IPs, dominios, hashes, CVEs → formato STIX 2.1
- Clasificación MITRE → TTPs con IDs validados (T1566, T1486, etc.)
- Severidad → 🔴 Crítica / 🟠 Alta / 🟡 Media / 🟢 Baja / 🔵 Info
- Deduplicación → Similitud Jaccard + URLs ya publicadas
- Distribución → Telegram
- Persistencia → GitHub
noticias.jsoncon todos los campos
requests
beautifulsoup4
lxml
groq
httpx
python-dotenv
cloudscraper
MIT © 2026 DevYHB