TODO SOBRE LA CIBER INTELIGENCIA

cybersecurity hacking
TODO SOBRE LA CIBER INTELIGENCIA

En el día de hoy vamos a intentar introduciros un poco en el mundo de la CiberInteligencia, concretamente en el maravilloso mundo del OSINT.

¿Qué es la CiberInteligencia?

El centro de Tecnologías Emergentes de la Universidad Carnegie Mellon, define la CiberInteligencia como:

Esta definición, aplicada al mundo ciber, a diferencia de la inteligencia tradicional, implica que los analistas deben poseer unos conocimientos técnicos mínimos para conocer la estructura y modus operandi de los ciberactores que se van a encontrar en el ciberespacio.

Debemos entender la CiberInteligencia como la inteligencia aplicada a la informática o al Ciberespacio. Es importante recordar que la Inteligencia es la base de la CiberInteligencia, por lo que para adentrarnos en ella primero debemos conocer adecuadamente qué es la Inteligencia y cuál es su aplicación práctica a nivel profesional, de modo que podamos aplicar eficazmente en el plano ciber.

Antes de poder continuar, debemos realizar un pequeño parón para explicar un concepto clave en el mundo de la CiberInteligencia; El Ciclo de Inteligencia:

El Ciclo de Inteligencia es un modelo que representa la "inteligencia como proceso" y se suele utilizar de forma pedagógica para explicar qué es la inteligencia. Resumiendo, El Ciclo de Inteligencia es el proceso mediante el cual se crea inteligencia.

¿Para qué sirve El Ciclo de Inteligencia?

El Ciclo de Inteligencia se creó en su día con los siguientes objetivos principales:

  • Explicar de forma simplificada el proceso mediante el cual se genera inteligencia.
  • Separar cuáles son las principales funciones o roles dentro del proceso de generación de inteligencia.
  • Entender cuáles son los pasos necesarios antes de tomar cualquier decisión racional.

¿Cuáles son los límites del Ciclo en la práctica?

Para explicar los límites y excepciones principales de una forma estructurada, aprovecharemos el enfoque de Ciclo de Inteligencia de 6 fases:

1. Dirección y Planificación: El objetivo de esta fase es establecer los requisitos de Inteligencia de la organización consumidora, así como la planificación de acciones tendentes a su obtención.

En la fase de Planificación y Dirección se prepara el escenario para el desarrollo del Ciclo de Inteligencia, constituyendo su imprescindible punto de arranque.

2. Recolección: El objetivo de esta fase es recopilar los datos en bruto necesarios (información) para producir el producto final deseado (Inteligencia).

La recolección de la información en bruto puede tener lugar a través de numerosas fuentes (de las que hablaremos más detenidamente en otra entrada de Blog).

  • Inteligencia GeoEspacial, Geospatial Intelligence (GEOINT).
  • Inteligencia Humana, Human Intelligence (HUMINT).
  • Inteligencia de Fuentes Abiertas, Open-Source Intelligence (OSINT).
  • Inteligencia de Señales, Signals Intelligence (SIGINT).
  • Etc

3. Transformación: Esta fase tiene por objeto convertir el formato de los datos en bruto recabados de las distintas fuentes, en aquellos otros formatos que posibiliten su posterior tratamiento y análisis.

La etapa de Transformación exige no sólo el concurso de profesionales de alta cualificación, sino, además, un equipamiento tecnológico sofisticado, capaz de convertir los datos en información útil y procesable. La traducción de datos o de textos, el descifrado de información, la conversión de datos telemétricos en mediciones con significado, la preparación de la información para su tratamiento informático, almacenamiento o recuperación; y la conversión de informes HUMINT en contenido comprensible son sólo algunos de los procesos de transformación utilizados para la conversión de los datos recabados en información lista para el posterior análisis y producción.

4. Análisis y Producción: El objeto de esta fase es integrar, evaluar, analizar y preparar la información previamente procesada, de cara a obtener el producto final deseado (Inteligencia).

Al igual que en la anterior, la fase de Análisis y Producción requiere de personal altamente especializado y entrenado (los analistas, de los cuales hablaremos también en futuras entradas), capaces de encontrar significado a la información previamente procesada, acompasando y priorizando su análisis en función delos requisitos señalados en la fase inicial de Dirección y Planificación.

El resultado de esta fase comprende, esencialmente, un producto de inteligencia capaz de resultar útil y satisfacer las necesidades de su consumidor de forma directa, sin necesidad del anterior tratamiento.

Por otro lado el análisis también comprende el desarrollo de los requisitos con los que deberá recopilarse nueva información en el futuro.

Finalmente,  los  resultados  obtenidos  de  una  actividad  de  análisis  no  deben tomarse  como verdades  absolutas. En muchas ocasiones, el (ciber)analista (con o sin la ayuda de herramientas automatizadas) desarrolla su trabajo con datos, hechos o evidencias incompletas o de confiabilidad relativa.

5. Difusión: El objeto de esta fase es entregar el producto final al consumidor de Inteligencia que lo ha solicitado, así como a otros actores, cuando ello sea necesario y jurídicamente admisible.

En esta fase, el consumidor de Inteligencia recibe el producto final obtenido de la ejecución sucesiva de las fases anteriores, constituyendo generalmente tal entrega una puesta a disposición o transmisión electrónicas de determinados contenidos: páginas web, correos electrónicos, herramientas de colaboración, distribución de copias en soporte electrónico, etc.

Una vez que el producto final ha sido conveniente difundido podrían todavía identificarse brechas de Inteligencia que hicieran necesario completar un nuevo Ciclo de Inteligencia. De ahí que la obtención de Inteligencia Final se corresponda claramente con un modelo de Mejora Continua.

6. Evaluación: Durante la ejecución de las distintas fases que componen el Ciclo de Inteligencia siempre es posible realimentar cada una de ellas a partir de los resultados obtenidos, utilizando tal realimentación para ajustar y refinar las actividades realizadas, individualmente consideradas, como el Ciclo, en su conjunto.

Contar con una evaluación y retroalimentación permanente, por parte no sólo de la dirección de la Inteligencia, sino también de los que habrán de ser sus consumidores, constituye una medida extraordinariamente importante que permite reajustar en cualquier momento el ciclo de Inteligencia, refinando sus actividades y matizando sus análisis, de cara a satisfacer con mayor eficacia las necesidades de Inteligencia del consumidor o consumidores finales, en permanente evolución.

El Ciclo de la CiberInteligencia:

En ocasiones se nos plantean problemas para poder adaptar los procesos del ciclo de inteligencia a la CiberInteligencia, ya que fueron creados y  concebidos  para  su  utilización  en  los  procesos  tradicionales  de recolección,  validación  y  elaboración  de  la  inteligencia,  debido  a factores como por el volumen de datos que pueden llegar a recogerse o la rapidez en que los acontecimientos se desarrollan en el ámbito ciber, ya  que  a  diferencia  del modelo  tradicional, en  el  modelo  ciber  las interrelaciones entre las diferentes fases es constante.

Paralelamente, podemos  observar  como  existe  una  gran  tipología  de enfoques para abordar la CiberInteligencia, ya sea desde el ámbito de organizaciones  empresariales  como  gubernamentales,  ya  que  no  existe ningún  estándar  para  homogeneizar  la  metodología  de  recogida  de información o datos o software a utilizar. En la actualidad, las organizaciones persiguen con la CiberInteligencia lograr un equilibrio entre la protección del perímetro de sus redes y la necesidad de adelantarse en la búsqueda de conocimientos estratégicos, provocando una división del análisis de CiberInteligencia en dos fases complementarias, pero las cuales utilizarán procedimientos y metodología diferente, un análisis técnico y un análisis estratégico:

Análisis técnico

Nos referimos a análisis técnico, al realizado por los analistas para recopilar los datos necesarios, tanto del sistema físico como del entorno de trabajo para la obtención de una mejora de la CiberSeguridad, o como en la respuesta a un incidente se seguridad o ataque, recopilando datos  o  indicios  que  nos  ayuden  a  responder  y  comprender  “qué  ha ocurrido” y “cómo y cuándo” ha ocurrido.

Análisis estratégico

Es en esta fase, cuando los analistas deben buscar respuesta a “quién es el responsable” del ataque o incidente, y “por qué” se ha producido, utilizando los datos obtenidos en la subfase anterior, proporcionando un contexto, enfoque estratégico a los responsables sobre el cual apoyar sus decisiones.

Por último, realizaremos una breve descripción de las principales disciplinas de Inteligencia, las cuales, como dijimos anteriormente, las iremos explicando más adelante en otras entradas.

1. HUMINT.

Inteligencia Humana: Es la Inteligencia que proviene de la información obtenida y facilitada por fuentes humanas.

Frente al HUMINT es la persona de quien se obtiene la información para la posterior producción de Inteligencia. Estas fuentes pueden ser amigas, neutrales u hostiles, pudiendo ser personal detenido o capturado, refugiado, personal desplazado, población local, fuerzas propias o amigas y miembros de instituciones gubernamentales u organizaciones de cualquier tipo.

De igual manera, la fuente puede poseer la información de primera o segunda mano, generalmente obtenida de forma visual u oral.

Operador HUMINT es la persona que está especialmente adiestrada para obtener información de fuentes humanas con la finalidad de responder a las necesidades de Inteligencia.

2. GEOINT

Inteligencia GeoEspacial: Es la inteligencia proveniente de la explotación y análisis de imágenes y de información GeoEspacial con la finalidad de describir, valorar y representar las características físicas de la Tierra, así como las actividades que ocurren en ella. Es por ello por lo que GEOINT es una integración de imágenes, IMINT e información geográfica.

El concepto “imagen” engloba toda fotografía (analógica o digital) de cualquier elemento de la tierra, natural o artificial, adquirida mediante satélites, plataformas aéreas de ala fija y móvil y otros medios similares que reflejan la realidad física existente.

Si estas imágenes o fotografías (previamente georreferenciadas) son analizadas e interpretadas, obteniendo de ellas información técnica, geográfica o inteligencia, se convierten en IMINT.

El tercer componente de GEOINT es la información geográfica. Ésta se define como la información que identifica la localización geográfica y las características de los elementos u objetos, ya sean naturales como artificiales, de la Tierra. La información geográfica está compuesta por datos estadísticos y geodésicos, además de por información procedente de diversas fuentes, tales como la teledetección, topografía, cartografía, aeronáutica, hidrografía y que puede encontrarse y ser presentada en diferentes soportes (papel, digital), y otros formatos (mapas, cartas, ficheros digitales, etc.).

3. IMINT

Inteligencia de Imágenes: Es la inteligencia procedente de la explotación de imágenes, tanto fijas como de vídeo, obtenidas por fotografía, radar y por sensores electrónicos de tipo térmico, infrarrojo o de amplio espectro. Esta disciplina es un componente fundamental de GEOINT.

4. MASINT

Inteligencia de Firmas: Es la Inteligencia científica y técnica obtenida mediante el análisis cuantitativo y cualitativo de los datos obtenidos de fuentes emisoras con el propósito de identificar los rasgos específicos asociados con dicho emisor, facilitando su posterior identificación.

MASINT proporciona Inteligencia al Mando en todo el espectro del conflicto, pudiendo contrarrestar la mayoría de las técnicas de camuflaje, ocultación y decepción utilizadas en la actualidad para evitar las acciones de los medios ISTAR.

Mediante el análisis y la difusión en tiempo casi real, MASINT puede proporcionar al Jefe una visión de la situación que no puede ser proporcionada por otros disciplinas. Así, los medios MASINT tienen unas capacidades únicas para detectar lanzamiento de misiles, detectar y seguir plataformas aéreas, barcos y vehículos en general, colaborar en la valoración de combate y en la detección y seguimiento de la lluvia radiactiva procedente de detonaciones nucleares.

5. TECHINT

Inteligencia Técnica: Es la Inteligencia obtenida del análisis de desarrollos tecnológicos y del material y equipo con posible utilización militar, aunque hoy en día se utiliza en el ´ámbito civil, para analizar los desarrollos tecnológicos de los competidores.

TECHINT tiene el propósito de evitar la sorpresa tecnológica y valorar sus capacidades técnicas y científicas, de manera que se puedan desarrollar unas contramedidas adecuadas que puedan neutralizar las ventajas que esas capacidades puedan proporcionar a quien las utilice.

TECHINT aplica metodología científica en su análisis proporcionando un conocimiento en detalle de aspectos fundamentales del entorno operativo. Así, los analistas TECHINT emplean procesos biométricos y forenses para la generación de Inteligencia sobre la amenaza y sus posibles formas de actuación, de acuerdo a las capacidades tecnológicas de que dispone.

La recopilación de información, material o equipo y personal que utiliza TECHINT en sus actividades es una labor que debe realizar personal adecuado. Este personal debe tener ciertas habilidades para detectar, reconocer e identificar lo que potencialmente puede tener valor para TECHINT.

En este sentido, debe estar instruido como mínimo en la técnica de recoger y preservar material sin causar daños al mismo. El rápido reconocimiento de lugares, materiales, equipos o personal que pueda proporcionar información de importancia, debe ser otra de las tareas para las que dicho personal debe estar capacitado.

Durante las actividades de recogida o incautación, el personal que las ejecuta debe estar prevenido sobre los posibles peligros y amenazas que rodean a las mismas (agentes químicos, biológicos o radiactivos, explosivos, etc.). La utilización de equipos protectores debe formar parte de los procedimientos habituales de este personal.

Un componente fundamental de TECHINT es la Inteligencia Técnica de Dispositivos Armados (WTI) y los equipos que la realizan. Equipos de investigación de Dispositivos Armados (WIT), que utilizan la ciencia forense para proporcionar inteligencia.

6. SIGINT

Inteligencia de Señales: Es la Inteligencia elaborada a partir de la explotación de emisiones o señales electromagnéticas. Se subdivide en COMINT y ELINT.

  1. Inteligencia de Telecomunicaciones (COMINT): La que proviene del Análisis de las radiaciones electromagnéticas de los sistemas de telecomunicaciones.
  2. Inteligencia Electrónica (ELINT): La elaborada a partir del Análisis de las radiaciones electromagnéticas procedentes de emisores que no son de telecomunicaciones, como radares y otros sensores.

Una tarea fundamental de los operadores SIGINT es el conocimiento que del uso del espectro electromagnético realiza la amenaza en un entorno operativo concreto.

7. MEDINT

Inteligencia Sanitaria: Es el resultado del análisis de información sanitaria, bio-científica, epidemiológica y medioambiental relacionada con la salud animal o humana.

Este tipo de Inteligencia, que en esencia es de carácter técnico, requiere asesoramiento experto sanitario durante las fases de dirección y elaboración del Ciclo de Inteligencia. La labor del personal sanitario es la de proporcionar el asesoramiento experto técnico y científico.

MEDINT contribuye a la determinación de las capacidades sanitarias de la organización correspondiente y al planeamiento de las medidas sanitarias preventivas necesarias tanto durante el proceso de preparación de la fuerza como para su posterior despliegue en el área de operaciones.

Esta disciplina de Inteligencia proporciona al Jefe la valoración sanitaria para el entendimiento completo de la situación y para la adopción de las medidas adecuadas en la protección sanitaria de la fuerza. De igual forma, proporciona una valoración de las capacidades sanitarias del adversario.

No todos los actores relacionados con esta disciplina se circunscriben específicamente al ámbito sanitario, sino que con ellos interactúan otros elementos que se pueden considerar claves como especialistas en NBQ.

Si el personal sanitario debe ser consciente del posible impacto que la cooperación con el de Inteligencia en esta materia puede tener en su status como personal sanitario. En este sentido, su contribución a Inteligencia debe estar siempre adecuada las disposiciones legales nacionales y al derecho internacional humanitario, así como al juramento hipocrático.

8. OSINT

Inteligencia de Fuentes Abiertas: Es la Inteligencia procedente de una amplia gama de fuentes de información de carácter público o de información no clasificada con difusión restringida o limitada, aunque esto no quiere decir que sean gratuitas.

Dentro de esta disciplina de obtención se englobaría por ejemplo la información obtenida de los medios de comunicación social, publicaciones especializadas y blogs.

OSINT proporciona una base informativa sobre la que se basan otras disciplinas de Inteligencia. Los productos OSINT minimizan las demandas a otras disciplinas de Inteligencia, de manera que éstas se dediquen sólo a informar sobre aquellos aspectos que no pueden satisfacerse por fuentes abiertas.

Los órganos de Inteligencia deben conocer a fondo las fuentes abiertas disponibles: cuáles son, su fiabilidad y validez, cómo acceder a ellas, etc.

9. SOCMINT

Inteligencia de Redes Sociales: Esta disciplina está basada en el análisis del contenido de las redes sociales, donde miles de personas expressan su opinión, discuten, intercambian información, aplauden o condenan determinadas decisiones de índole política, económica, social o militar. Representa una oportunidad más para el personal de Inteligencia de entender el entorno operativo en el que se desenvuelve su organización.

Aunque SOCMINT se define como la Inteligencia proveniente del estudio y análisis de la información contenida en las Redes Sociales (Facebook, Twitter, Google+, LinkedIn, YouTube, etc.), se pueden subdividir en dos:

  • Social Media Analysis. Métodos y herramientas para obtener y analizar texto, fotos, vídeos y cualquier material compartido en Redes Sociales (Facebook, Twitter, YouTube, Instagram, Pinterest o Snapchat).
  • Social NetWork Analysis. Métodos y herramientas para análisis de Redes Sociales.

Esta disciplina está estrechamente relacionada con OSINT, dado el carácter público o no clasificado de la información contenida en las Redes Sociales, pero también con HUMINT, ya que la interactividad de las redes permite sondear opiniones y formular preguntas concretas en los diferentes foros.

10. BEI

Inteligencia Biométrica: Es la Inteligencia resultante de la obtención, análisis e interpretación de datos biométricos y de la información contextual asociada a ellos.

Se define como datos biométricos a las características físicas mensurables de un individuo que sirven para identificar o para verificar que una determinada persona es quien dice que es.

La Inteligencia obtenida mediante estos datos biométricos es aquella que se utiliza, entre otras cosas, para comprobar la coincidencia de una determinada persona o de un individuo desconocido en un lugar y momento determinado, con una actividad determinada o con el uso o manejo de un dispositivo o armamento concreto, además de establecer patrones de comportamiento.

11. DOMEX

Document and Media Exploitation: Se puede definir como la obtención sistemática de información proveniente de documentos (todo documento físico requisado o proporcionado) o de datos (todo tipo de dato almacenado de forma electromagnética en dispositivos electrónicos, tales como ordenadores, teléfonos móviles, etc. requisado o proporcionado por el enemigo) en respuesta a las necesidades del cliente. Si esta explotación se realiza de forma adecuada, DOMEX maximiza el valor de la Inteligencia resultante de la misma.

DOMEX puede ser también utilizado para el procesamiento legal de determinados individuos. Por ello, es fundamental en el tratamiento de esta documentación el mantener la cadena de custodia con la finalidad de que pueda ser utilizada como prueba inculpatoria en dichos procesos legales.

DOMEX es una actividad muy especializada que debe realizarse a tiempo completo, con una formación específica y que requiere personal experto en el idioma de la zona donde se realiza la operación. DOMEX no es HUMINT y, por tanto, el personal DOMEX no necesita entrenamiento HUMINT ni realiza operaciones HUMINT. Aunque los medios HUMINT pueden ser utilizados como ayuda en las misiones DOMEX, HUMINT es mucho más consumidor que suministrador de información DOMEX.

Y esto es todo por hoy. En breve comenzaremos a subir más entradas profundizando un poco más en algunos de los temas anteriormente mencionados.

 

Escrito por Mikel Hernández Alonso

https://www.linkedin.com/in/mikel-hernandez-alonso-a3975b205/