Todas las organizaciones tratan de implantar las medidas más adecuadas de prevención y protección que están a su alcance por capacidad, recursos, presupuestos, etc., protegiendo así diferentes, infraestructuras, sistemas, aplicaciones, o “secciones” de su enorme (cada vez más) superficie de exposición.
Éstas optarán por soluciones software, hardware, aplicaciones y servicios On-Premise y/o Cloud, de todo tipo, autogestionados y/o gestionados por terceros, para proteger todos los frentes posibles: antivirus / antimalware, EDRs (Endpoint Detection and Response), MDRs (Managed Detection and Response), firewall, IDSs (Intrusion Detection System), IPSs (Intrusion Prevention System), soluciones de protección de accesos, 2FA (Doble Factor de Autenticación) y MFA (Múltiple Factor de Autenticación), CASBs (Cloud Access Security Browker), backups, VPNs (Virtual Personal Network), certificados, protección de correo electrónico, pentesting, awareness, SIEMs (Security Information and Event Management), etc.
Sin embargo, muchas de ellas, aún no tiene aproximaciones a la inteligencia, a la ciberinteligencia, ni a las técnicas OSINT (Open Source Intelligence), las cuales, actualmente, son herramientas esenciales para la investigación y el rastreo de información relevante.
Pero, primero, veamos qué es cada uno de estos conceptos: inteligencia, ciberinteligencia y OSINT.
La inteligencia corporativa consiste en un proceso mediante el cual se recopila determinado tipo de información (la que relativa al objetivo que buscamos) que posteriormente es revisada y analiza para incrementar conocimiento y calidad del mismo. Esta tarea concluye en la generación de un marco, contexto o mejor escenario de conocimiento, gracias al cual (más y mejor información) se podrán tomar mejores y más correctas medidas y decisiones, decisiones informadas.
En el caso de la ciberseguridad, la ciberinteligencia corporativa, el tipo de información recopilada y analizada es la referente a datos relacionados con ciberamenazas, vulnerabilidades, ciberataques, actores maliciosos, etc. La ciberinteligencia, por tanto, es un área específica de la inteligencia que se centra en el ciberespacio y en las ciberamenazas.
Y, esta información, ¿Dónde está y cómo se consigue? La información se encuentra dentro y fuera de la organización y está dispersa en determinados “lugares”, dispositivos, ordenadores, servidores, bases de datos, correo electrónico, servicios de mensajería instantánea, nube de terceros, servicios externalizados, páginas web en Internet, la “Internet profunda” (Deep Web y Dark Web), redes sociales, infraestructuras de operadores, etc., de donde hay que obtenerla de forma explícita y con los mecanismos o herramientas más adecuados para cada caso.
Este proceso y herramientas de recopilación y obtención de información a partir de orígenes de todo tipo y fuentes de acceso público, sin que en el proceso se vulnere ningún derecho ni medida de seguridad, es lo que se denomina OSINT (Open Source Intelligence o Inteligencia de Fuentes Abiertas).
En materia de OSINT y ciberinteligencia, se debe ser escrupuloso y cauteloso, especialmente cuando la información se consigue accediendo a sistemas de terceros, entidades, administraciones, organizaciones y empresas, cuya seguridad no debe de ser violada.
En ese proceso OSINT y de ciberinteligencia, por tanto, existen varios estadios:
- Determinación de objetivos y requisitos.
- Identificación de fuentes de información relevante más apropiadas.
- Recopilación de la información y contraste de la misma.
- Procesamiento de la información recogida (formateo para que se pueda analizar).
- Análisis de la información procesada.
- Inteligencia. Transformación de la información trabajada en contenido útil para la toma de decisiones. Informe y conclusiones.
- Repetición del proceso o iteración, si fuese necesario.7
Respecto al lugar, medio, mecanismo, o canal donde buscar, pueden ser infinidad, dependiendo de lo que estemos buscando. Entre ellos, los siguientes:
- Motores de Búsqueda (Google, Bing, etc.).
- Dominios e IPs (para conseguir información sobre un determinado dominio, o una determinada dirección IP, por ejemplo, utilizado WHOIS en Internet).
- Redes Sociales (búsqueda de usuarios, cuentas, perfiles y su información en RRSS).
- Imágenes y Videos (análisis de imágenes para identificar lugares o personas).
- Puertos y Servicios (escaneo de puertos disponibles/accesibles).
- IP para geolocalización (averiguar el lugar donde se encuentre una IP, un determinado dispositivo).
- En la Web (contenido de Internet y de los sitios web que aloja).
- HUMINT (Inteligencia Humana). Consiste en la localización y recopilación de información a través de interacciones humanas, a través de personas (empleados, exempleados, clientes, usuarios, proveedores, etc.), mediante conversaciones, cuestionarios, etc. También abarca la búsqueda de información sobre personas.
- SOCINT (Inteligencia de Redes o Medios Sociales). Consiste en la localización y recopilación de información a partir de las Redes Sociales y servicios online de todo tipo, en busca de actores maliciosos y actividades ilícitas o ilegales.
- IMINT (Inteligencia de Imágenes). Consiste en la localización y recopilación de información a partir de imágenes y de videos.
- GEOINT (Inteligencia Geoespacial). Consistente en la localización y recopilación de información a partir de datos ubicaciones físicas, como el origen de un ciberataque.
- SIGINT (Inteligencia de Señales). Consistente en la localización y recopilación de información a partir de señales electrónicas (radio, teléfono, monitorización de la red, etc.).
Teniendo esos conocimientos, para poder trabajar en OSINT, además, debemos contar con recursos y herramientas especiales. Algunos pueden ser tan “accesibles” y “sencillos” como los dorks de navegadores como Google Chrome, Microsoft Bing y/o DuckDuckGo, con cada uno de sus comandos, operadores y parámetros de búsqueda.
Además, en lo que a Google Chrome se refiere, contamos con Google Images, que nos permite buscar información, basándose en una determinada imagen de partida que le hayamos indicado.
Además de los operadores en estos buscadores, existen muchas otras herramientas profesionales específicas para este tipo de labores, como:
- Social Links (para buscar, extraer, analizar y visualizar información de Redes Sociales, mensajería y Dark Web).
- Shodan (para encontrar máquinas y dispositivos que están conectados a Internet, tales como ordenadores, móviles, servidores, cámaras y cualquier otro tipo de dispositivo IoT).
- Tinfoleak (para obtener información a través de Twitter -ahora X-).
- Osintgram (para obtener información a través de Instagram y análisis de cuentas de Instagram).
- Maltego (graficar datos e información recopilada).
- NextVision (buscar en la Internet oscura, Deep Web y Dark Web).
- Creepy (para extraer información de redes sociales como Twitter -ahora X-, Flickr, Facebook, etc. y, además, encontrar ubicaciones físicas).
- DNSDumpster (busca toda la información sobre el dominio que le indiquemos).
- Metagoofil (extrae los metadatos de un determinado archivo que le indiquemos).
- FOCA (extrae archivos ofimáticos relacionados, o que se encuentren, en un determinado dominio que le indiquemos).
- IPinfo (devuelve información sobre las direcciones IPs que le indiquemos).
Como decíamos, estas labores requieren de capacitación, experiencia y destrezas especializadas y entrenadas con el tiempo. En definitiva, perfiles que no existen en la mayoría de las empresas, sino que deben ser contratados externamente como servicios profesionales especialistas.
En términos de seguridad y ciberseguridad, estos servicios profesionales y especialistas, pueden ayudar a las empresas a:
- Detectar amenazas que puedan afectar a la empresa.
- Investigar a la competencia y al mercado, obteniendo información de valor a modo de ventaja competitiva.
- Investigar el nivel de reputación e imagen de marca de la empresa para evaluar su posicionamiento y detectar posibles ataques de difamación, etc.
- Evaluar vulnerabilidades, identificando posibles puntos débiles de la empresa (técnicos, comerciales, de marketing, de imagen, etc.).
- Realizar seguimiento de actores maliciosos, rastreando perfiles concretos y extractando información de valor respecto a sus posibles actividades maliciosas o ilícitas.
- Ayudar en el cumplimiento normativo, detectando fallas, no conformidades o incumplimientos, en materia de privacidad, ciberseguridad y legales, que poder corregir.
Puedes ampliar detalles sobre nuestros servicios visitando la página de 𝗭𝗲𝗿𝗼𝗹𝘆𝗻𝘅.
Si lo prefieres, contáctanos y hablamos.
