Ciberinteligencia: La importancia de la anticipación

La inteligencia propiamente dicha se utiliza ya desde la edad media, o incluso antes, aunque quizá, los romanos fueron los grandes revolucionarios de la misma. Gracias a ella se garantizaba una obtención de información sobre el reconocimiento del terreno de combate, tropas enemigas, rutas locales, comercio, recursos, etc. Para ello se utilizaban unidades de avanzada que realizaban estas tareas e incluso, utilizaban inteligencia humana comprando activos o bien interrogando a prisioneros.

Poco a poco y con el paso del tiempo fueron surgiendo nuevas necesidades, armamento y procedimientos de actuación y, con la llegada de la informática, aparece la palabra ciberinteligencia. En esencia, se llame como se llame, siempre seguirá siendo inteligencia, ya sea en el ciberespacio, de señales, de humanos, de imágenes o de cualquier otro tipo y nombre.

¿Qué es la ciberinteligencia?

Llegados a este punto es cuando ya podemos empezar a ver lo que es la ciberinteligencia: la adquisición y el análisis de información para identificar, rastrear y predecir las capacidades, intenciones y actividades cibernéticas que apoyen la toma de decisiones.

Hoy en día todas las empresas de cierto calibre y sobre todo presencia internacional, así como los gobiernos del mundo, disponen de un departamento dedicado a la obtención de información, creación de informes y elevación de los mismos para la toma de decisiones por parte de la directiva.

Los temas más comunes a tratar suelen ser, nuevas tendencias de malware, phishing y otros fraudes, actores relevantes que quieran atentar contra la compañía o compañías del mismo sector, mala reputación de la compañía, vulnerabilidades nuevas que puedan afectar a los sistemas, información de la competencia y sus productos así como cualquier otro tipo de información relevante que necesiten desde dirección. Esto aplicable de igual forma a cualquier gobierno.

¿Por qué necesitamos la ciberinteligencia?

Llegados a este punto nos podemos ir haciendo una idea del porqué es necesaria la ciberinteligencia. Se trata de uno de los recursos más importantes en cualquier actuación, cuanto más sepamos, mejor podemos proceder y con mejores resultados favorables. Esto último es muy importante, ya que podríamos obtener información que aparentemente sea perjudicial pero que en una situación posterior de la vuelta a la tortilla y se convierta en información que nos garantice la victoria. Por tanto, podríamos decir que se trata de algo vital para cualquier compañía, gobierno o persona ya que garantiza la correcta consecución de sus objetivos.

Algunos ejemplos de éxito podrían ser los que suceden en el sector bancario. Dentro de los diferentes troyanos bancarios existen diferentes tipos de configuración desde el panel de control. Aquí se pueden seleccionar los objetivos que estén configurados previamente ya, en nuestro caso, bancos del Ibex35.

Uno de esos bancos, viendo que está perdiendo mucho dinero de clientes afectados, decide contratar los servicios de una de las empresas más grandes de ciberseguridad en España y ésta realiza una serie de investigaciones averiguando, entre otras cosas, los diferentes objetivos a los que afecta ese malware, formas de detección, ubicación de los paneles de control… e incluso, contacta con uno de los vendedores del mismo y consigue que le dé una muestra gratis al panel de control y a los bichos, pudiendo así probar la «mercancía».

Gracias a estas averiguaciones se tiene una idea al completo del uso del malware, así como de la utilización del mismo y se puede por tanto comenzar a montar un despliegue operativo de contingencia.

No nos es difícil imaginar entonces el uso de la ciberinteligencia en otros aspectos, como por ejemplo a nivel de gobiernos.

Necesidad de compartición de inteligencia

Pero, para poder anticiparse no vale solo con ver un lado de la situación, porque estaríamos cayendo en el error de mirar solo a través de un cristal dejando de lado el resto de ventanas. Es por ello por lo que se hace necesaria la compartición de inteligencia entre diversas entidades, así, a pesar de que nosotros no veamos algo, quizá el «vecino» haya podido verlo.

Este es el motivo de que el CCN-Cert (Centro Criptológico Nacional) dependiente del CNI haya desarrollado herramientas como Reyes o Lucia que permiten este tipo de compartición entre los diversos actores o la existencia de herramientas de código abierto como pueden ser MISP (Malware Information Sharing Platform).

Este es el motivo también, por el cual, existen los diferentes congresos de ciberseguridad en España.

Además, para que todo esto no sea un caos, se han establecido una serie de normas de categorización y empleo que generan un estándar en el mercado internacional, como es el caso del denominado TLP.

TLP o Traffic Light Protocol es un estándar de categorización de información mediante el cual podemos saber el tipo de confidencialidad del documento que estamos leyendo y cuales son las limitaciones a la hora de compartirlo. Se denomina así porque utiliza los colores que tendría un semáforo, siendo el verde el menos restrictivo y el rojo el que más. Existe un color blanco también que se encuentra debajo del verde en categoría.

Puede verse más en el siguiente enlace.

Así pues, nos encontramos con que no solo es vital esta compartición, si no que además, existen múltiples formas de hacerlo. Eso si, siempre tendremos que tener en cuenta que no todo vale y acudir a fuentes que sabemos que son fiables y oficiales, en la medida de lo posible.

Autoprotección y seguridad

Antes de acabar este apartado nos gustaría destacar la necesidad de autoprotección y seguridad personal a la hora de llevar a cabo estas técnicas. Los malos saben muy bien cuales son nuestras técnicas e intentarán sabotearnos, engañarnos o conseguir información de nosotros para mejorar su propia seguridad. Es por ello que no debe tomarse a la ligera llevar a cabo este tipo de ejercicios y es muy importante protegerse.

Otro detalle a destacar es el del cuidado que debe tenerse durante la realización de estas actividades ya que algunas se encuentran en el límite de lo legal y esto, para gobiernos e instituciones públicas es comprensible, pero para una empresa privada, no. Esto es peor si tenemos en cuenta que las acciones de una empresa privada durante la obtención de información pueden afectar a las pesquisas de Cuerpos y Fuerzas de Seguridad del Estado o de Inteligencia y estropear una operación.

Ciberinteligencia: Investigaciones OSINT

¿Qué es el OSINT?

Dentro del marco relativo a la investigación y recolección de datos y pesquisas necesarias durante la resolución de un caso encontramos el acrónimo “OSINT” (Open Source Intelligence o en ESP Inteligencia en fuentes abiertas).

Mediante OSINT podemos recabar toda la información posible existente en fuentes abiertas y recabar dentro de esa información los datos más importantes y destacables separando lo útil del ruido. Tras esto se pude realizar un informe y mediante este garantizar una correcta toma de decisiones.

Para ello se agrupan una serie de actividades en diferentes fases que constituyen el ciclo de inteligencia: Dirección y planificación, recolección, transformación, análisis y producción, difusión, evaluación.

¿Qué se incluye dentro de fuentes abiertas?

Según la fuente de recolección diremos que se llama de una forma o de otra: Inteligencia Geoespacial (GEOINT), Inteligencia Humana (HUMINT), Inteligencia de Fuentes Abiertas (OSINT) e Inteligencia de Señales (SIGINT).

Por tanto el OSINT englobaría todo aquello a lo que podamos acceder públicamente ya sean perfiles públicos, publicaciones, blogs, radio, televisión, diferentes sitios webs, conferencias, datos gubernamentales abiertos al público, datos comerciales, informes técnicos, etc.

¿Para qué casos es necesario el OSINT?

El uso del OSINT para empresas es muy diverso y variado, desde la revisión de antecedentes por parte de los candidatos a un proceso de selección hasta la búsqueda de activos expuestos, reputación digital o suplantaciones de identidad, búsqueda de orígenes, etc.

Puedes ver más en las guías del CCN-Cert en el siguiente enlace.

Formación: Concienciación de empleados

La formación en ciberseguridad es uno de los pilares fundamentales de cualquier entidad. Con una buena formación y una correcta concienciación se pueden evitar pérdidas millonarias provocadas por ciberataques. Los delincuentes saben que fibras tocar y como hacernos reaccionar, la ingeniería social consiste en engañar y mentir para generar una respuesta emocional en las personas, dejando así vulnerable su defensa más valiosa, la mente. Gracias a una buena formación los usuarios pueden anticiparse e impedir cualquier tipo de brecha de ingeniería social.

La mejor forma de concienciar y entrenar, según diversas experiencias propias, es la de enviar a nuestros empleados enlaces maliciosos controlados, viendo que personas caerían y quienes no. Tras esto se da unos cursos de formación a todos ellos, incluso hasta los que no hicieron click. Una vez realizada la formación esperaremos unos meses y repetiremos el envío del enlace malicioso. Llegados a este punto debería ser efectivo en mucha menos gente gracias a la formación, pero seguramente siga habiendo gente que sea susceptible a reincidir como víctima y sea necesario un refuerzo.

Toda la formación se dará desde un entorno Moodle con los vídeos incluidos, gestión de usuarios y visualización de resultados.

Gestión y Gobernanza

La gestión y la gobernanza en ciberseguridad son vitales, sin un buen plan de acción, unos buenos procesos y unas buenas directrices y procedimientos así como simulacros, cuando llega el pánico, el ataque, el momento cumbre de los equipos de ciberseguridad, todo se desvanece. Necesitamos de una buena gobernanza y gestión para garantizar que cuando llegue el momento todo el mundo haga correctamente su función y derive en el mayor éxito posible (evitando o remediando el ataque).

Para entender mejor esta parte deberíamos extendernos sobremanera pero vamos a recurrir nuevamente a las guías del CCN-Cert y facilitaros el enlace.

Desarrollos: Programación de soluciones a medida

Los desarrollos a medida son la mejor forma de adaptarnos a tus necesidades. Un buen desarrollo siguiendo el ciclo completo del mismo proporciona el éxito ante cualquier imprevisto. Nuestra especialidad son las aplicaciones web pero contamos con un equipo de expertos en telefonía móvil.

Algunas de las soluciones orientadas a ciberseguridad que hemos creado hasta ahora varían desde la generación de scripts para recolección de información hasta la creación de integración de plataformas de ciberinteligencia. Otras soluciones no relacionadas con la ciberseguridad han sido plataformas para la gestión del aprendizaje (LMS), plataformas para la gestión de ficheros de empresas, webs corporativas, etc. Si quieres más información, por favor, no dudes en consultarnos.

Contacto

Localización:

Madrid, España

Email:

h3st4k3r@h3sec.com