Ciberinteligencia: Del OSINT al CYBINT, transformando la inteligencia alternativa @Uliman73


Como en muchas oportunidades he dicho hoy día a todo componente tecnológico se le suele anteponer el término Ciber seguido luego del tema de interés, en este caso la Ciber-Inteligencia. Sin embargo y parecido a otras nociones relacionadas con el ciberespacio, no hay ninguna definición cristalizada de "Ciberinteligencia", ni siquiera hay suficientes estudios centrados en cómo se elabora, si bien encontrarán varios artículos sobre el particular, no hay aún hoy una doctrina cabalmente aceptada.

Al respaldar la idea que las organizaciones deben pasar de la seguridad reactiva a la proactiva, posturas de gestión y oponerse a la actitud de interpretar la ciberseguridad principalmente como "Medidas tomadas después del evento" y "defensa perimetral estática", diferentes representantes de la comunidad de ciberseguridad ahora están patrocinando la adopción de conceptos, herramientas y prácticas para la elaboración y el intercambio de inteligencia global sobre amenazas cibernéticas. Esta inteligencia debería permitir a sus consumidores comprender el funcionamiento, las tácticas, y contextos estratégicos de las amenazas (agentes, capacidades, motivaciones, objetivos, impacto, y consecuencias no solo desde una perspectiva técnica); prever sus desarrollos a corto, mediano y largo plazo; y tomar decisiones preventivas.

Si se integra en sus procesos de toma de decisiones relacionados con la seguridad, debería permitir a las organizaciones asumir acciones "predictivas y anticipatorias en lugar de orientadas hacia el pasado", en un formato "dinámico más que estático" y "ágil y adaptable vs. las posturas rígidas y conformadas" hacia los peligros relacionados con el ciber. La inteligencia descrita anteriormente a menudo se etiqueta como "Ciberinteligencia" (CYBINT). En general, se usa CYBINT para transmitir la idea de un conocimiento amplio y mejor calificado de real o potencial eventos relacionados con el ciberespacio que pueden poner en peligro una organización.


Si uno mira las políticas o mecanismos relevantes que se han implementado recientemente (especialmente Europa), así como otra documentación emitida por organizaciones privadas o públicas y de orden académico, la Ciberinteligencia no siempre se define de forma exhaustiva y las definiciones varían[i]. A pesar del creciente uso de esta u otras expresiones similares por parte de académicos, los medios y profesionales, el pensamiento actual sobre el tema es limitado y no está bien desarrollado. Una investigación más profunda del tema, tanto sea desde un punto de vista teórico como práctico, falta.

Por el contrario, tanto académicos como profesionales del ámbito de la Seguridad Nacional de los Estados Unidos de Norteamérica (USA), tiene reflexiones sobre la Ciberinteligencia algo relativamente más avanzadas. Esta podría ser la consecuencia de la adopción anterior de conceptos, prácticas y soluciones tecnológicas relacionados con la CYBINT basados ​​en los organismos de Gobierno de USA, similar situación se puede apreciar en Rusia y China.

Buscando una definición, terminología o noción.

Tristemente en el lenguaje cotidiano CYBINT suele utilizarse principalmente como un envoltorio ó una expresión. ¿Qué es CYBINT más exactamente? Se debe entender como producto y proceso, ¿es inteligencia "desde", "dentro", " o "para" el ciberespacio o alguna combinación de los mismos? ¿Cuáles son las principales fuentes de CYBINT? ¿Cómo está hecho? El ciclo de inteligencia "tradicional" es aplicable a la CYBINT? ¿Cuáles son los problemas asociados con el creación y uso compartido de CYBINT? Tratar de dar una respuesta a algunas de estas interrogantes podría llevarnos a comprender la CYBINT.

Por ejemplo, la falta de una comprensión uniforme del término "cyber" dificulta cualquier intento de proponer una noción integral y uniforme de CYBINT. De hecho, mientras es más o menos indiscutible al establecer qué inteligencia (como producto y proceso) es definirlo en relación con el dominio cibernético es un desafío. Uno puede preguntarse, sin embargo, en qué medida estos conceptos son aplicables a un dominio que difiere de los dominios tradicionalmente conocidos. Cyber ​​es, de hecho, hecho por el hombre, un entorno altamente evolutivo, tecnológicamente configurado y no completamente tangible, que, tal vez, necesita ser interpretado a través de diferentes paradigmas. Sus interacciones con el dominio físico / real aún no se ha entendido completamente.

Además, la CYBINT es una práctica relativamente nueva, que está lejos de ser completamente probada, evaluada y desarrollada. No hay suficiente experiencia compartida sobre cómo funciona y sobre las mejores capacidades para llevarla a cabo de manera efectiva. Esto dificulta cualquier intento de aparecer con un modelo interpretativo completo para CYBINT.

Dependiendo del alcance de las actividades de recopilación de información, los medios empleados para llevarlos a cabo y el propósito final al que sirven, en realidad hay dos maneras de mirar o interpretar la CYBINT. Una forma es pensar en la CYBINT como inteligencia "De" cibernético; es decir, el conocimiento producido a través del análisis de cualquier información valiosa recolectado "dentro" o "a través" del ciberespacio. Esta es la CYBINT stricto sensu. Desde esta perspectiva, "cibernético" se refiere tanto al dominio donde se obtienen los datos como a en otras palabras, ese vasto repositorio digital de información susceptible de ser recuperado y procesado; y las herramientas / técnicas / medios a través de los cuales se recopilan estos datos (por ejemplo, a través de tecnologías y técnicas de explotación de redes informáticas). De acuerdo con esta interpretación, CYBINT puede, en principio, apoyar la toma de decisiones en cualquier dominio y no solo para contrarrestar las amenazas cibernéticas. Puede soportar una amplia variedad de misiones en el gobierno, la industria y la academia, incluida la formulación de políticas, la planificación estratégica, negociaciones internacionales, gestión de riesgos y comunicación estratégica en áreas más allá ciberseguridad. En otras palabras, la CYBINT puede operar "de manera independiente y no necesariamente es para apoyar una misión de ciberseguridad". Sin embargo, dado que la CYBINT a menudo se discute en relación con la ciberseguridad o la prevención y respuesta a las amenazas cibernéticas, estos son los objetivos primarios, pero, nuevamente, no exclusivos de este tipo de inteligencia.

Otra forma de interpretar la CYBINT es considerarla como inteligencia "para" la cibernética; esa es, visión que se deriva de una actividad de inteligencia de fuente completa que ocurre dentro y fuera del ciberespacio. Es la CYBINT lato sensu. En este sentido, la inteligencia "para" lo cibernético también puede incluir (o basarse en) inteligencia "desde" la cibernética. Puede extraer de cualquier disciplina de la inteligencia que le proporcione conocimiento crucial, independientemente de la fuente, método o medio empleado para elaborarlo. Como tal, la CYBINT puede resultar de la combinación de inteligencia de código abierto (OSINT), inteligencia de señal (SIGINT), Inteligencia geoespacial (GEOINT), Social Media Intelligence (SOCMINT) e Inteligencia humana (HUMINT). Desde este punto de vista, la CYBINT es menos una disciplina en sí misma que una práctica analítica basada en información / inteligencia recogida también a través de otras disciplinas y destinada a informar a los tomadores de decisiones sobre cuestiones relacionadas con las actividades en el dominio del ciberespacio. Lo que califica este tipo de inteligencia como "cyber" es el propósito para el cual es elaborado: para apoyar la toma de decisiones sobre cuestiones relacionadas con el ciberespacio.

Las dos perspectivas discutidas sobre CYBINT "desde" y "para" a menudo se condensan en un solo concepto integral. Esto también se debe al hecho que la inteligencia "para" el ciber en realidad incorpora el ciber "de" uno. El resultado es una noción más amplia de CYBINT que incluye la recopilación, procesamiento, evaluación, análisis, integración e interpretación de la información que está disponible "dentro", "a través de", y / o en el ciberespacio "externo" para mejorar la toma de decisiones sobre amenazas relacionadas con el ciberespacio.

En cuanto a la información para la creación de CYBINT, esto puede variar desde la red de datos técnica (por ejemplo, datos de hardware y software), datos sobre organizaciones hostiles y sus capacidades, actividades cibernéticas en curso, a potencialmente cualquier información relevante sobre eventos geopolíticos. El tipo de datos así como su clasificación no son funcionales a la definición de CYBINT. Los datos pueden ser información en bruto o ya procesada; pueden ser obtenido legalmente o mediante acciones ilegales de intrusión / explotación de fuentes abiertas, propietarias o de otro tipo de fuentes clasificadas. Como lo sugiere la literatura, se necesitan múltiples fuentes de información para desarrollar una comprensión más holística del entorno de amenaza y producir una CYBINT integral. El aspecto más importante de los datos es que debe ser de alguna manera validado. Cuando se analiza, la información debe permitir a los responsables de la toma de decisiones identificar, rastrear y predecir capacidades, intenciones y actividades cibernéticas que ofrecen cursos de acción. Esta es la característica principal de la CYBINT; es decir, el objetivo habilitante de proporcionar a su consumidores con conocimiento de actividades potencialmente hostiles que pueden ocurrir en el dominio cibernético o puede ser perpetrada a través o en contra del ciberespacio, lo que les permite diseñar un diseño eficaz de medidas preventivas (proactivas) o contrarias (reactivas).


Dependiendo de su alcance o nivel de acción, la CYBINT puede ser estratégica, táctica, u operacional. No hay una interpretación uniforme de lo que los diferentes niveles de CYBINT deben ser. De acuerdo con la literatura disponible, la CYBINT estratégica se centra en el largo plazo. Por lo general, revisa las tendencias en las amenazas actuales y emergentes y examina oportunidades para contener estas amenazas. Sirve a procesos aplicables a la toma de decisiones destinados a lograr la misión de una organización y determinar su dirección y objetivos. La CYBINT estratégica cubre el panorama de amenazas, marca las tendencias (políticas, sociales y económicas) que afectan a la organización e identifica a los actores amenazados, sus objetivos y cómo pueden intentar alcanzarlos; es rico en información contextual. CYBINT táctica se refiere a lo que sucede en la red. También examina la fuerza y ​​las vulnerabilidades de una organización, y las tácticas, técnicas y procedimientos (TTP) empleados por actores de la amenaza. Debido a su naturaleza y alcance, tácticamente CYBINT corresponde en general a la inteligencia de amenazas cibernéticas.  Generalmente de naturaleza más técnica, informa los pasos y acciones centrados en la red que la organización puede tomar para proteger los activos, mantener continuidad y operaciones de restauración. En lo que se refiere a la CYBINT operativa, consiste en el conocimiento de amenazas inminentes o directas a una organización. Permite y mantiene las operaciones y salidas diarias. En este nivel, la CYBINT mira a la organización en sus procesos internos y vulnerabilidades.

Vale la pena dejar bien aclarado que la distinción descripta entre los niveles de CYBINT es principalmente acacémica. En la práctica, no existe una demarcación clara desde un nivel de inteligencia hasta otro; con frecuencia se superponen o se combinan. Además, el significado de estratégico, táctico y operativo es probable que varíe entre las organizaciones debido a su tamaño, complejidad, misión y atributos relacionados. Independientemente de cualquier demarcación clara entre los niveles, la capacidad de una organización para considerar todos estos niveles y el arte de inteligencia que le permite comprender los desafíos y oportunidades que es probable que encuentre en el corto, mediano y largo plazo es bastante importante.

El proceso de la ciberinteligencia: Modelos alternativos vs. Tradicionales

El proceso al que todos se refieren no es otro más que el conocido “Ciclo de Inteligencia”[ii], el que ha sido estudiado y cuestionado varias veces por profesionales y académicos hasta el punto que se han propuesto y discutido modelos alternativos. La "validez / aplicabilidad" del ciclo de inteligencia tradicional también se cuestiona en el contexto de la CYBINT. Como un eminente experto señaló, "a medida que la inteligencia crece en forma cada vez más digitalizada y cibernética (en su materia, sus métodos y sus formas), una comprensión más clara de que la inteligencia y su ciclo es en realidad un dispositivo heurístico bastante anticuado, más que una dimensión constructiva de la inteligencia como tal, puede liberar a los interesados ​​para que piensen sobre la inteligencia en formas más innovadoras”[iii]. Esta opinión es compartida por otros académicos y expertos los que consideran al Ciclo como lineal y reiterativo, ya que el mismo no enfatiza la interrelación natural de las actividades (planificación, recopilación, procesamiento, etc.) mientras que el proceso de CYBINT consiste en su relevancia mutua; en otras palabras, no capturar sus interdependencias e influencias mutuas.

En realidad, aquellos que critican el ciclo, se basan en argumentos que se hacen para describir la inadecuado representatividad del ciclo de inteligencia en general, independientemente de la CYBINT. Por lo tanto, uno puede cuestionar más en profundidad si un ad hoc el modelo interpretativo es necesario para explicar el proceso de CYBINT; o, en otro palabras, el por qué el proceso CYBINT es tan peculiar y diferente de los procesos incrustados en otras disciplinas de Inteligencia que requiere ser descrito a través de un modelo alternativo y particular para la CYBINT. Proporcionar respuestas concretas a las preguntas anteriores requeriría una clara comprensión exhaustiva y completa de CYBINT como concepto y más aún como una práctica. Tal entendimiento es difícil de alcanzar debido a la falta de suficiente reflexiones y experiencia en CYBINT. Por lo tanto, en la etapa actual, la definición de modelo interpretativo representa sobre todo una especie de ejercicio intelectual o una prueba cuyos resultados debe ser validado progresivamente. No obstante, algunos argumentos parecen apoyar bien la definición de un modelo ad hoc para explicar el proceso CYBINT.

Tautológicamente hablando, la característica principal de la CYBINT radica en el hecho de que es "cibernética"; es decir, es conocimiento sobre cuestiones relacionadas con la cibernética. CYB​​INT involucra el análisis de la información recopilada del ciberespacio y de otras fuentes para lograr fines relacionados con el ciberespacio. En el nivel muy básico, el adjetivo "cibernético" se refiere a un dominio creado por el hombre, altamente evolutivo, con forma tecnológica y no totalmente tangible. En este dominio, la información se genera, procesa, disemina, comparte, almacena, altera, es consumida y destruida por una multitud de actores a una velocidad increíble. El impacto de toma de decisiones específicas sobre cuestiones relacionadas con el ciberespacio y sus efectos tanto en lo virtual como en lo los dominios físicos son difíciles de prever. Esto afecta la forma en que la CYBINT es elaborada y consumida. Desafía las funciones básicas del proceso de inteligencia cuando se aplica a la ciberesfera, a saber, la recopilación, evaluación, análisis, integración, interpretación de información y diseminación de inteligencia.

Con respecto a la recopilación y evaluación, la CYBINT también se basa en la información entregada por fuentes no controladas, como Internet. Esta información debe ser filtrada, evaluada y (de alguna manera) validada. El filtrado es primordial para seleccionar solo elementos significativos de información del ciberespacio. La evaluación es a menudo un desafío debido a la alta volatilidad, el anonimato y la incertidumbre de los datos disponibles en el ciberespacio y la heterogeneidad de las fuentes de datos. Para validar los datos, se convierte en primordial para corroborar la información derivada de una fuente con la derivada de otras fuentes, y es mejor si al menos uno de los primeros está controlado. Filtrado, evaluación y la validación tiene como objetivo mitigar la llamada "anarquía de la información" generada por el alto volumen de datos disponibles junto con la falta de control sobre ellos. Dado que el proceso de elaboración de CYBINT también puede recurrir a la información / inteligencia producida a través de otras disciplinas, la integración de todos los conocimientos relevantes en un único producto consistente puede ser desafiante. Esto se debe a los diferentes formatos, naturaleza y grado de incertidumbre de la información e inteligencia obtenida del ciberespacio (por ejemplo, información u otros datos técnicos provenientes de las redes sociales, foros web, etc.) confrontado con otras fuentes "no virtuales". El grado de incertidumbre también afecta a la interpretación de la información procesada; es decir, el juicio y las deducciones basadas en él, que generalmente se agregan en el producto cibernético final. Dicha incertidumbre también debería ser transmitida claramente al consumidor de CYBINT, que debe ser consciente de su principal límites en términos de precisión.

Otro aspecto relevante a considerar al definir cualquier modelo interpretativo para el proceso CYBINT es el marco de tiempo ajustado que a menudo se requiere para ejecutar funciones de inteligencia. Esto exige que las funciones ocurran simultáneamente o que se tomen atajos en su ejecución. En otras palabras, las funciones no se ejecutan en un círculo sino que establecen un "canal de red "entre ellos.

Según parece, podríamos estar ante la necesidad de contar con un ciclo de inteligencia propio para la CYBINT, o al menos revitalizado. Al mirar la literatura, un equipo de expertos y académicos que trabajan en el Software and Engineering Institute (SEI) de la universidad Carnegie Mellon propuso su propio modelo hace un par de años. El modelo SEI difiere de el ciclo de inteligencia tradicional debido a la terminología adoptada, no es lineal y lógicamente estricto o consecuente de las funciones en que consiste el proceso, el desglose de las función de análisis en dos funciones especializadas (el análisis técnico o funcional y el análisis estratégico) y la capacidad de conjugar la ciberseguridad técnica "estrecha" y los propósitos de prevención de ciberamenazas "más amplios" a los que la CYBINT puede servir dentro de una organización. Tal como está representado, el modelo propuesto acomoda la interpretación de la CYBINT como una práctica analítica que depende de la información / inteligencia recopilada también a través de otras disciplinas y que está destinado a informar a los tomadores de decisiones sobre cuestiones relacionadas a las actividades en el dominio cibernético. El modelo SEI consta de cinco funciones:

  1. La determinación del "entorno" que establece el alcance del esfuerzo de CYBINT e influye en la información que se necesita para lograrlo;
  2. La "recopilación de datos" o la exploración de fuentes de datos y la recopilación y el filtrado de información a través de herramientas de uso intensivo de mano de obra;
  3. El "análisis funcional", que es el rendimiento de análisis técnico y personalizado (generalmente en apoyo de una misión de ciberseguridad) destinado a derivar el "qué" y el "cómo" de las amenazas informáticas;
  4. El "análisis estratégico" que implica la revisión, integración con información contextual, y una mayor elaboración de la funcional CYBINT con el objetivo de responder las preguntas "quién" y "por qué"; y
  5. El  "Informe y comentarios"; es decir, la diseminación de la CYBINT a los tomadores de decisiones y la recopilación de comentarios.
Las principales dependencias e influencias mutuas entre las funciones descritas son las siguientes: la recopilación de datos debe basarse en la determinación del medio ambiente, que está influenciado por las decisiones tomadas por la organización sobre la base de CYBINT consumida. La inteligencia resultante del análisis funcional puede informar decisiones sobre acciones a tomar a nivel de la red técnica de una organización que, a su vez, impactan en la determinación del ambiente interno; lo mismo pasa para la inteligencia resultante de la función estratégica, que afecta tanto a la interna y ambiente externo. La función estratégica también representa la inteligencia resultante de el análisis funcional es más consumible por los encargados de la toma de decisiones que pueden no tener un fondo técnico. Desde esta perspectiva, es una especie de complemento que contribuye a cerrar la brecha de comunicación entre los analistas y los principales tomadores de decisiones. Los últimos proporcionan retroalimentación sobre la inteligencia recibida con el fin de dar forma analítica, ajustar la dirección de la organización y, por lo tanto, influir en el entorno. Cuestionar la "validez" del modelo de SEI está más allá del alcance de este artículo. El modelo fue diseñado y propuesto como resultado del trabajo empírico que mapeó y evaluó prácticas actuales en la CYBINT de USA. También tiene un alcance normativo; ese es decir, sugiere cómo el proceso debería funcionar para ser efectivo.


1D34S F1N4L3S

Tener una comprensión clara de CYBINT es importante. Puede ayudar a las partes interesadas relevantes a ser coherente cuando promueven programas o toman acciones relacionadas con la CYBINT a nivel político, legal, operativo y de otro tipo. Tal comprensión debe ser premisa sobre la definición de un marco conceptual sólido de CYBINT. La adopción de dicho marco también representaría un elemento fundamental para desarrollar la CYBINT como una disciplina; es decir, un área específica de estudio o trabajo en inteligencia. A pesar que la mayoría de la literatura considera que la CYBINT es una ya establecida o próximamente establecida disciplina, no parece ser el caso.

En otras palabras, CYBINT no debe considerarse una disciplina porque aún no ha sido suficientemente definida teóricamente ni puesta en práctica en profundidad. Además, como se describió a lo largo de este artículo, la naturaleza de la CYBINT y su proceso de elaboración hace que sea menos una disciplina que una práctica analítica, que se basa en información / inteligencia recogida también a través de otras disciplinas. Por supuesto, nada impide que la CYBINT se establezca como una disciplina que emplea recursos técnicos o humanos específicos a través de las diferentes funciones de su proceso de elaboración.

A título personal creo que la CYBINT terminará siendo una disciplina mucho antes de lo que se cree, el uso de un ciclo propio obedece más a la particularidad del ciberespacio en el que la inmediatez y la interconexión conviven simbióticamente haciendo que el ciclo clásico quede algo desfasado conceptualmente. El ciberespacio como se ha dicho acá, es hecho por el hombre, un entorno altamente evolutivo, tecnológicamente configurado y no completamente tangible, que, tal vez, necesita ser interpretado a través de diferentes paradigmas, es por esta razón que desde el campo militar es conocido como el 5to dominio, un nuevo escenario de batalla donde lo virtual también suele convivir con lo físico y por ello a mi entender requerirá de una atención especial, no comprender la importancia de contar con Ciberinteligencia a nivel Estratégico es perder una batalla antes de iniciar la contienda.

No dejen de visitar mi sitio web: www.uliseskandiko.com



[i] Acá algunos de los documentos que dan cuenta de ello. Ver, por ejemplo, Mario Caligiuri, Cyber Intelligence. Tra libertà e sicurezza (Roma: Donzelli, 2016); Mario Caliguiri, "Cyber Intelligence, la Sfida dei Data Científico, "junio de 2016, https://www.sicurezzanazionale.gov.it/sisr.nsf/ approfondimenti / cyber cyber intelligence-la-sfida-dei-data-scientist.html; Antonio Teti, "Ciber Inteligencia" e Cyber Espionaje.  
[ii] Si bien hay diferentes representaciones del ciclo de inteligencia, las más comunes comprenden cinco funciones distintas: planificación y dirección, recopilación, procesamiento, análisis y diseminación. En el ciclo de inteligencia, vea Mark Phythian, ed. Comprender el ciclo de inteligencia (Londres y Nueva York: Routledge, 2013). En particular, vea a Philip H.J. Davies, Kristian Gustafson, e Ian Ridgen, "El El ciclo de inteligencia ha muerto, viva el ciclo de inteligencia, "en Comprender el Ciclo de inteligencia, p. 56.
[iii] Michael Warner, "El pasado y el futuro del ciclo de inteligencia", en Understanding the Intelligence Cycle, p. 19.

1 comentario:

  1. Herramientas OSINT para auditorías de seguridad y ciberamenazas
    Obteniendo inteligencia a partir de fuentes abiertas

    https://www.amazon.es/gp/product/B094HB4F8P

    El objetivo de este libro es presentar la inteligencia de fuentes abiertas (OSINT) y analizar las principales herramientas a tener en cuenta para un investigador de seguridad con el objetivo de recopilar tanta información sobre nuestro objetivo como sea posible.

    https://i.ibb.co/M2T2WWf/osint.png

    OSINT (Open Source INTelligence o Inteligencia de fuentes abiertas) es una forma de gestión de recopilación de inteligencia que implica encontrar, seleccionar y adquirir información de fuentes disponibles públicamente y analizarla para producir inteligencia que nos pueda servir en nuestras investigaciones y procesos de auditoría.

    https://i.ibb.co/f1rpWhq/osint1.png

    El lector aprenderá las diferentes herramientas que podemos utilizar cuando tenemos en mente la recopilación de información e inteligencia sobre un dominio u objetivo específico, además de obtener información sobre las principales amenazas. El conocimiento de las buenas prácticas y herramientas open source facilitan la obtención de esta información utilizando herramientas que puedes instalar en local y servicios en la nube.

    https://i.ibb.co/r0zxBYX/osint2.png

    1. Introducción a la inteligencia de fuentes abiertas
    2. Herramientas OSINT
    3. Buscadores especializados
    4. Redes sociales, búsqueda de personas y análisis de metadatos
    5. Geolocalización y frameworks OSINT
    6. Footprinting & Information Gathering
    7. Análisis de malware y ciberinteligencia
    8. Inteligencia de amenazas(Threat intelligence)
    9. Glosario de términos

    ResponderBorrar

Imágenes del tema de enot-poloskun. Con tecnología de Blogger.