Ciberinteligencia y OSINT como parte de la seguridad corporativa

La imperiosa necesidad de un excelente nivel de seguridad / ciberseguridad corporativa en cualquier tipo de empresa es algo que, a día de hoy, es indiscutible.

Todas las organizaciones tratan de implantar las medidas más adecuadas de prevención y protección que están a su alcance por capacidad, recursos, presupuestos, etc., protegiendo así diferentes, infraestructuras, sistemas, aplicaciones, o “secciones” de su enorme (cada vez más) superficie de exposición.

Éstas optarán por soluciones software, hardware, aplicaciones y servicios On-Premise y/o Cloud, de todo tipo, autogestionados y/o gestionados por terceros, para proteger todos los frentes posibles: antivirus / antimalware, EDRs (Endpoint Detection and Response), MDRs (Managed Detection and Response), firewall, IDSs (Intrusion Detection System), IPSs (Intrusion Prevention System), soluciones de protección de accesos, 2FA (Doble Factor de Autenticación) y MFA (Múltiple Factor de Autenticación), CASBs (Cloud Access Security Browker), backups, VPNs (Virtual Personal Network), certificados, protección de correo electrónico, pentesting, awareness, SIEMs (Security Information and Event Management), etc.

Sin embargo, muchas de ellas, aún no tiene aproximaciones a la inteligencia, a la ciberinteligencia, ni a las técnicas OSINT (Open Source Intelligence), las cuales, actualmente, son herramientas esenciales para la investigación y el rastreo de información relevante.

Pero, primero, veamos qué es cada uno de estos conceptos: inteligencia, ciberinteligencia y OSINT.

La inteligencia corporativa consiste en un proceso mediante el cual se recopila determinado tipo de información (la que relativa al objetivo que buscamos) que posteriormente es revisada y analiza para incrementar conocimiento y calidad del mismo. Esta tarea concluye en la generación de un marco, contexto o mejor escenario de conocimiento, gracias al cual (más y mejor información) se podrán tomar mejores y más correctas medidas y decisiones, decisiones informadas.

En el caso de la ciberseguridad, la ciberinteligencia corporativa, el tipo de información recopilada y analizada es la referente a datos relacionados con ciberamenazas, vulnerabilidades, ciberataques, actores maliciosos, etc. La ciberinteligencia, por tanto, es un área específica de la inteligencia que se centra en el ciberespacio y en las ciberamenazas.

Y, esta información, ¿Dónde está y cómo se consigue? La información se encuentra dentro y fuera de la organización y está dispersa en determinados “lugares”, dispositivos, ordenadores, servidores, bases de datos, correo electrónico, servicios de mensajería instantánea, nube de terceros, servicios externalizados, páginas web en Internet, la “Internet profunda” (Deep Web y Dark Web), redes sociales, infraestructuras de operadores, etc., de donde hay que obtenerla de forma explícita y con los mecanismos o herramientas más adecuados para cada caso.

Este proceso y herramientas de recopilación y obtención de información a partir de orígenes de todo tipo y fuentes de acceso público, sin que en el proceso se vulnere ningún derecho ni medida de seguridad, es lo que se denomina OSINT (Open Source Intelligence o Inteligencia de Fuentes Abiertas).

En materia de OSINT y ciberinteligencia, se debe ser escrupuloso y cauteloso, especialmente cuando la información se consigue accediendo a sistemas de terceros, entidades, administraciones, organizaciones y empresas, cuya seguridad no debe de ser violada.

En ese proceso OSINT y de ciberinteligencia, por tanto, existen varios estadios:

• Determinación de objetivos y requisitos.

• Identificación de fuentes de información relevante más apropiadas.

• Recopilación de la información y contraste de la misma.

• Procesamiento de la información recogida (formateo para que se pueda analizar).

• Análisis de la información procesada.

• Inteligencia. Transformación de la información trabajada en contenido útil para la toma de decisiones. Informe y conclusiones.

• Repetición del proceso o iteración, si fuese necesario.7

En todo este proceso se debe de ser muy cuidadoso y asegurarse que la información obtenida es fidedigna y certera, evitando extractar datos de fuentes no reconocidas o poco fiables, así como evitar los casos de infoxicación y el síndrome de Diógenes de datos, relativos al exceso de información que no aporta valor, sino que dificulta el proceso. Del mismo modo, también hay que gestionar correctamente los volúmenes pobres de información y la ausencia de ésta.

Respecto al lugar, medio, mecanismo, o canal donde buscar, pueden ser infinidad, dependiendo de lo que estemos buscando. Entre ellos, los siguientes:

• Motores de Búsqueda (Google, Bing, etc.).

• Dominios e IPs (para conseguir información sobre un determinado dominio, o una determinada dirección IP, por ejemplo, utilizado WHOIS en Internet).

• Redes Sociales (búsqueda de usuarios, cuentas, perfiles y su información en RRSS).

• Imágenes y Videos (análisis de imágenes para identificar lugares o personas).

• Puertos y Servicios (escaneo de puertos disponibles/accesibles).

• IP para geolocalización (averiguar el lugar donde se encuentre una IP, un determinado dispositivo).

• En la Web (contenido de Internet y de los sitios web que aloja).

En lugar donde buscar o el tipo de información a tratar de localizar y analizar puede ser de muchas categorías por lo que, dependiendo del tipo de información a encontrar e incluso el tipo de formato en el que se encuentra, OSINT puede tomar otras denominaciones como las siguientes:

• HUMINT (Inteligencia Humana). Consiste en la localización y recopilación de información a través de interacciones humanas, a través de personas (empleados, exempleados, clientes, usuarios, proveedores, etc.), mediante conversaciones, cuestionarios, etc. También abarca la búsqueda de información sobre personas.

• SOCINT (Inteligencia de Redes o Medios Sociales). Consiste en la localización y recopilación de información a partir de las Redes Sociales y servicios online de todo tipo, en busca de actores maliciosos y actividades ilícitas o ilegales.

• IMINT (Inteligencia de Imágenes). Consiste en la localización y recopilación de información a partir de imágenes y de videos.

• GEOINT (Inteligencia Geoespacial). Consistente en la localización y recopilación de información a partir de datos ubicaciones físicas, como el origen de un ciberataque.

• SIGINT (Inteligencia de Señales). Consistente en la localización y recopilación de información a partir de señales electrónicas (radio, teléfono, monitorización de la red, etc.).

Para realizar este tipo de actividades, se deben tener unos conocimientos técnicos especializados en materia de fuentes abiertas, extracción y herramientas para ello, informática, programación, seguridad, ciberseguridad, privacidad, conocimientos legales. En definitiva, el rol de un analista de ciberseguridad o un analista OSINT, corresponde perfil técnico pero multidisciplinar.

Teniendo esos conocimientos, para poder trabajar en OSINT, además, debemos contar con recursos y herramientas especiales. Algunos pueden ser tan “accesibles” y “sencillos” como los dorks de navegadores como Google Chrome, Microsoft Bing y/o DuckDuckGo, con cada uno de sus comandos, operadores y parámetros de búsqueda.

Además, en lo que a Google Chrome se refiere, contamos con Google Images, que nos permite buscar información, basándose en una determinada imagen de partida que le hayamos indicado.

Además de los operadores en estos buscadores, existen muchas otras herramientas profesionales específicas para este tipo de labores, como:

• Social Links (para buscar, extraer, analizar y visualizar información de Redes Sociales, mensajería y Dark Web).

• Shodan (para encontrar máquinas y dispositivos que están conectados a Internet, tales como ordenadores, móviles, servidores, cámaras y cualquier otro tipo de dispositivo IoT).

• Tinfoleak (para obtener información a través de Twitter -ahora X-).

• Osintgram (para obtener información a través de Instagram y análisis de cuentas de Instagram).

• Maltego (graficar datos e información recopilada).

• NextVision (buscar en la Internet oscura, Deep Web y Dark Web).

• Creepy (para extraer información de redes sociales como Twitter -ahora X-, Flickr, Facebook, etc. y, además, encontrar ubicaciones físicas).

• DNSDumpster (busca toda la información sobre el dominio que le indiquemos).

• Metagoofil (extrae los metadatos de un determinado archivo que le indiquemos).

• FOCA (extrae archivos ofimáticos relacionados, o que se encuentren, en un determinado dominio que le indiquemos).

• IPinfo (devuelve información sobre las direcciones IPs que le indiquemos).

Y, una multitud de ellas que no reflejamos en este listado.

Como decíamos, estas labores requieren de capacitación, experiencia y destrezas especializadas y entrenadas con el tiempo. En definitiva, perfiles que no existen en la mayoría de las empresas, sino que deben ser contratados externamente como servicios profesionales especialistas.

En términos de seguridad y ciberseguridad, estos servicios profesionales y especialistas, pueden ayudar a las empresas a:

• Detectar amenazas que puedan afectar a la empresa.

• Investigar a la competencia y al mercado, obteniendo información de valor a modo de ventaja competitiva.

• Investigar el nivel de reputación e imagen de marca de la empresa para evaluar su posicionamiento y detectar posibles ataques de difamación, etc.

• Evaluar vulnerabilidades, identificando posibles puntos débiles de la empresa (técnicos, comerciales, de marketing, de imagen, etc.).

• Realizar seguimiento de actores maliciosos, rastreando perfiles concretos y extractando información de valor respecto a sus posibles actividades maliciosas o ilícitas.

• Ayudar en el cumplimiento normativo, detectando fallas, no conformidades o incumplimientos, en materia de privacidad, ciberseguridad y legales, que poder corregir.

¿Necesita tu empresa ayuda con 𝘀𝗲𝗿𝘃𝗶𝗰𝗶𝗼𝘀 de 𝗖𝗶𝗯𝗲𝗿𝗶𝗻𝘁𝗲𝗹𝗶𝗴𝗲𝗻𝗰𝗶𝗮 y 𝗢𝗦𝗜𝗡𝗧, como los que ofrecemos en 𝗭𝗲𝗿𝗼𝗹𝘆𝗻𝘅: 𝙎𝙚𝙧𝙫𝙞𝙘𝙞𝙤𝙨 𝙙𝙚 𝘾𝙞𝙗𝙚𝙧𝙞𝙣𝙩𝙚𝙡𝙞𝙜𝙚𝙣𝙘𝙞𝙖 𝙮 𝙊𝙎𝙄𝙉𝙏?

Puedes ampliar detalles sobre nuestros servicios visitando la página de 𝗭𝗲𝗿𝗼𝗹𝘆𝗻𝘅.

Si lo prefieres, contáctanos y hablamos.

Inteligencia para la continuidad, la mejora y el éxito del negocio

El concepto de inteligencia es muy amplio, abarcando diferentes ámbitos y matices, aunque en todos los casos hace referencia a la información, los datos, el conocimiento y la comprensión de éstos en un determinado contexto, su análisis, la investigación, la identificación de riesgos y amenazas, la resolución de problemas, la definición de estrategias basadas en ellos y, por tanto, el apoyo a la toma de decisiones (inteligentes, argumentadas y fundadas) y, en el caso de las empresas, la mejora del negocio.

Si centramos el foco en los “servicios de inteligencia”, acotamos su significado y alcance. A priori, suena a concepto gubernamental, a política, a relaciones entre naciones/estados, a defensa, a aspectos militares, a servicios secretos, agentes y espías… Y esa es la realidad, que podemos trasladar, del mismo modo y con objetivos similares, al entorno corporativo de las empresas, sus estrategias y objetivos de negocio.

La RAE (Real Academia de la Lengua Española) define la “Inteligencia” como la “capacidad de entender, comprender y resolver problemas (conocimiento, comprensión y acto de entender)”, mientras que define los “Servicios de Inteligencia” como la “organización del Estado que proporciona al poder ejecutivo análisis e información para mejorar la toma de decisiones estratégicas orientadas a prevenir o neutralizar amenazas y a defender los intereses nacionales”.

Es decir, los componentes y factores esenciales de la inteligencia son los siguientes:

• Información / datos.

• Recopilación / obtención.

• Comprensión y análisis.

• Investigación y vigilancia.

• Identificación de riesgos y amenazas.

• Conclusiones y recomendaciones de resolución de problemas y/o de mejora.

• Toma de decisiones, fundadas.

Por otro lado, debemos tener en cuenta que el ámbito de aplicación en ocasiones es tan específico que da lugar a un área de actuación, disciplina, ciencia, actividad muy concreta, con entidad propia, como es el caso de la ciberinteligencia.

Del mismo modo que hablamos de la seguridad y de la ciberseguridad, podemos hablar también de la inteligencia y de la ciberinteligencia, entendiendo siempre que trasladamos los conceptos originales al ámbito de la tecnología, y más en concreto, del entorno digital, de los sistemas informáticos, de las TIC (Tecnologías de la Información y las Comunicaciones) en la que todos, incluidas las organizaciones, nos desenvolvemos a diario (cada vez más, y cada vez será más aún).

Según el CCN-CERT (Centro Criptológico Nacional), la ciberinteligencia es “en conjunto de actividades que utilizan todas las fuentes de inteligencia en apoyo de la seguridad cibernética para mapear la amenaza cibernética general, recopilar las intenciones cibernéticas y las posibilidades de los adversarios potenciales, analizar y comunicar, e identificar, localizar y asignar la fuente de los ataques cibernéticos”.

Siendo así, parece que la inteligencia y la ciberinteligencia, cobran un enorme y muy relevante valor en el parabién de los estados y naciones, pero, obviamente, también en el de las organizaciones, las empresas y cualquier otro tipo de organismos que la utilicen y basen sus decisiones en ella (decisiones inteligentes).

¿Tienes dudas sobre qué tipo de estrategia seguir en tu negocio?

¿Desconoces el escenario y contexto en el que se debe desenvolver tu empresa dentro de tu sector y área de actuación, el de tus proveedores, el de tus partners, el de tus competidores, el de tus clientes y clientes potenciales, el del mercado, los condicionantes geopolíticos, gubernamentales, institucionales, legales, normativos, etc.?

¿Tienes identificados los riesgos y amenazas que podrían afectar a tu negocio y su continuidad?

En tu empresa, ¿seríais capaces de extraer información de fuentes abiertas, de la Dark Web, de la Deep Web… en definitiva de trabajar en labores de OSINT (Open Source Intelligence), HUMINT (inteligencia basada en fuentes de información humanas), IMINT (inteligencia basada en la extracción de información de imágenes, etc.)?

¿Tienes capacidad para realizar este tipo de labores de inteligencia y ciberinteligencia?

¿Cuentas con expertos para desarrollar esa tarea dentro de tu organización?

¿La inteligencia y la ciberinteligencia, forman parte de tu core business?

¡No te preocupes! Puedes contar con Zerolynx para ello. Nuestros Servicios de Inteligencia pueden con todo ello y pueden ofrecerte el apoyo que necesitas, no solamente para garantizar la continuidad de tu negocio, sino también para mejorarlo.

Investigamos allá donde sea necesario, buscamos la información que consideres de interés y valor para ti y tu empresa, la analizamos, te ofrecemos respuestas a tus dudas, te ayudamos y te aconsejamos sobre los mejores pasos a seguir para:

• Conocer mejor a tu empresa y la huella digital que tiene en Internet.

• Conocer mejor a tu competencia y la huella digital que tiene en Internet.

• El establecimiento de tu estrategia corporativa.

• El establecimiento de objetivos de negocio claros y sus prioridades.

• Adelantarte a los posibles riesgos y amenazas de tu empresa y de tu sector

• Obtener una importante y diferencial ventaja competitiva.

- Obtener éxito en el campo de actuación que requieras.

El primer paso es conocerse a uno mismo. También a tus competidores, a tus proveedores, a tus partners, a tus clientes y, en especial los posibles riesgos a los que se podría enfrentar tu compañía, el contexto en el que se desenvuelve la actividad corporativa de tu empresa y su negocio. Nos encargamos de ello. Analizamos por ti:

• Descubrimos la huella en Internet.

• Analizamos y protegemos tus activos contra riesgos y amenazas.

• Investigamos, proponemos y actuamos.

¿Cómo lo hacemos? Nuestro equipo de expertos es multidisciplinar e internacional (no existen fronteras). Buscamos e investigamos en todas las fuentes posibles, siguiendo el proceso y los pasos más adecuados a tu caso y situación:

• Tú nos marcas los objetivos de la investigación.

• Investigamos. Encontramos toda la información necesaria en base a los objetivos.

• Nuestros expertos la analizan e investigan más si fuese necesario.

• Te mostramos resultados y conclusiones.

5. Nuestros ingenieros preparan y entregan informes y recomendaciones que se ajustan al cumplimiento de las normativas vigentes en materia de investigación privada, investigación pericial, etc.

Como la inteligencia y la ciberinteligencia son materias enormemente extensas (casi sin limitaciones) y pueden abarcar infinidad de ámbitos, si tus necesidades y las de tu empresa puede que estén más acotadas, siendo más concretas y específicas, siempre puedes optar por un servicio dedicado a cubrir tu necesidad:

• Huella Digital Corporativa. Localización de exfiltraciones e información expuesta en Internet que pueda suponer un riesgo para tu empresa.

• Huella Digital VIP. Localización de datos expuestos del personal clave de tu organización.

• Búsqueda de Shadow IT. Identificación de riesgos buscando en activos e infraestructuras expuestas, no controlados por tu Dpto. de IT.

• Procesos de Due Dilligence. Buscamos y analizamos información sobre proveedores, partners, para detectar sus posibles riesgos y ayudar en las decisiones de la organización.

• Monitorización de Riesgos en Internet y en la Dark Web. Monitorizamos foros de eCrime para detectar la venta de datos exfiltrados de tu organización.

• Análisis de Actor Malicioso. Si has tenido un incidente, analizamos la información del mismo (sus efectos y consecuencias) y de los actores maliciosos responsables de él.

• Informe de Ciberamenazas. Te facilitamos informes periódicos sobre incidentes de seguridad que están ocurriendo y que podrían afectar a tu negocio.

• Investigaciones Personalizadas Ad Hoc. Te ayudamos con investigaciones privadas adaptadas y personalizadas a la realidad del problema, de tus necesidades y las de tu organización.

Puedes ampliar detalles sobre nuestros servicios de Inteligencia visitando la página de Zerolynx.

Si lo prefieres, contáctanos y hablamos.