Las técnicas de análisis en apoyo a la ciberinteligencia- I+L
1683
post-template-default,single,single-post,postid-1683,single-format-standard,ajax_fade,page_not_loaded,,qode_grid_1300,footer_responsive_adv,qode-content-sidebar-responsive,qode-theme-ver-9.0,wpb-js-composer js-comp-ver-4.11.1,vc_responsive

Las técnicas de análisis en apoyo a la ciberinteligencia

contrainteligencia-tecnicas-analisis

07 May Las técnicas de análisis en apoyo a la ciberinteligencia

Por José Manuel Díaz-Caneja.  Analista de Inteligencia. Curso Superior de Inteligencia de las FAS

El pasado 30 de abril fue publicada en el BOE la nueva Estrategia Nacional de Ciberseguridad 2019 (ENC 2019), la cual, en su Capítulo 1 detalla que:

“La rápida evolución de las ciberamenazas aconseja una aproximación más proactiva de la ciberinteligencia. Su integración en el esquema conjunto de la ciberseguridad es un elemento clave para el conocimiento de la situación y la necesaria alerta temprana que permita anticiparse a las acciones de los potenciales adversarios a través del conocimiento de sus capacidades, técnicas, tácticas e intenciones.”

Es decir, lo que propone la ENC 2019 es potenciar la inteligencia en el ciberespacio con la finalidad de anticiparse a las amenazas que operan en él y desde él.

Pero ¿esto significa que nos debemos ceñir únicamente al análisis de malware, su estructura y orígenes? Como dice Iván Portillo en su artículo Conociendo que es la Ciberinteligencia y el Cyber Threat Intelligence, esto sería un error porque, bajo el concepto de ciberinteligencia, se engloba el análisis de todas las amenazas y no únicamente el malware.

Si interpretamos la definición que ofrece el Centro Criptológico Nacional (CCN), ciberinteligencia es la aplicación de las actividades de inteligencia en el ciberespacio, y que pretende anticiparse a las amenazas que provienen del mismo. Su finalidad es contribuir a mejorar la ciberseguridad, proporcionando productos de inteligencia oportunos, precisos, fiables y predictivos, que apoyen la planificación y la toma de decisiones.

Pero ¿cómo podemos analizar esas ciberamenazas?

 

LAS TÉCNICAS DE ANÁLISIS EN APOYO DE LA CIBERINTELIGENCIA

Para dar respuesta a la pregunta anterior hay que tener en cuenta una serie de aspectos sobre las ciberamenazas, siendo los principales dos:

  • Cualquier ciberamenaza tienen su origen en el mundo físico. Ya sea en la mente de un cibercriminal u otro tipo de actores, ya sean estados, grupos o individuos.
  • Pretende producir unos efectos, no solamente en el ciberespacio, si no que se prolonguen también al mundo físico.

ciberamenaza-analisis-inteligencia

Un primer paso es ser consciente que cualquier ciberamenaza, en el fondo, es un sistema que engloba:

  • Una estructura, es decir, sus componentes y las relaciones entre ellos.
  • Unas funciones, que son los efectos o resultados que la ciberamenaza pretende lograr.
  • Los efectos que produce.
  • Unos procesos, entendidos como la secuencia de eventos y actividades que se deben de llevar a cabo para conseguir los efectos deseados.

Si tomamos como ejemplo el ciberespionaje industrial de un país sobre la industria de otro, esta ciberamenaza podría descomponerse en:

  • Estructura: todos los medios materiales y humanos y las relaciones entre ellos que son necesarios para llevar a cabo el ciberespionaje. Aquí englobaríamos desde hackers, ordenadores, conexiones a internet, routers, o diferentes aparatos que permitan captar cualquier tipo de señal electromagnética. Pero incluso, podría ser necesario personal HUMINT que identificara los potenciales miembros de la organización a ser chantajeados o sobornados para que facilitaran la entrada al sistema informático de la empresa.
  • Funciones: si nos referimos a espionaje industrial, el efecto que se perseguiría sería ahorrar costes en I+D+i para el desarrollo de nuevos productos tecnológicos, y conseguir adelantar al competidor en el mercado.
  • Procesos: toda la secuencia de actividades que hay que llevar a cabo. Abarcaría desde decidir qué tecnología se quiere robar, establecer la infraestructura necesario hasta actividades de ingeniería social para identificar puntos débiles, etc.

Como podemos ver en este breve ejemplo, en muchos casos nos salimos fuera del ciberespacio. Por lo tanto, la mera monitorización de virus, puertos, tráfico de entrada y salida, etc. no es suficiente para anticiparnos.

Para ser más eficaces es necesario aplicar diferentes técnicas de análisis, unas  más que otras, basadas en la información técnica obtenida y la proveniente de otras fuentes, que nos permitan tener una mayor visión de conjunto.

En muchas ocasiones el punto de partida será el hacerse una serie de preguntas. En este caso concreto, y volviendo al ejemplo del ciberespionaje, podrían ser:

  • ¿Qué debe proteger nuestra organización?
  • ¿Qué intentan descubrir nuestros competidores/adversarios (o agencias de gobiernos extranjeros) sobre nosotros? ¿Y por qué?
  • ¿Cómo están tratando de hacerlo? ¿Qué capacidades tienen? ¿Aplican un enfoque técnico o están intentando sobornar a nuestros empleados?
  • ¿Qué podemos hacer, y qué estamos haciendo, para reducir sus posibilidades de obtenerlo? ¿Qué tácticas legítimas de denegación y engaño podríamos emplear para salvaguardar nuestra información? ¿y nuestras patentes? ¿nuestros desarrollos de I+D?

Pero, el análisis en ciberinteligencia debe tener claro cuál es su finalidad.

 

FINALIDAD DEL ANÁLISIS EN CIBERINTELIGENCIA

Independientemente del componente técnico, el análisis en ciberinteligenica, ante cualquier amenaza, debe ayudar a comprender  el comportamiento de los actores que hay detrás, sus capacidades e interacciones entre ellos. De esta forma, nos permitirá identificar sus fortalezas, debilidades, vulnerabilidades y capacidad de adaptación y resiliencia.

análisis-ciberinteligencia

Esta comprensión profunda de los actores que están detrás de una ciberamenaza puede ayudar a determinar cómo podemos influenciarlos para que no alcancen los efectos que pretenden conseguir. Aquí, el término influenciar se utiliza en sentido amplio, ya que:

  • Unas veces, gracias a nuestras capacidades técnicas o repercusiones legales, los disuadiremos de que lleven a cabo actividades en contra de nuestra organización.
  • Otras veces, los engañaremos aplicando un enfoque más de contrainteligencia, dejándoles que roben información falsa o engañosa.
  • En otras ocasiones resultará más fácil hacer frente a campañas de manipulación y desinformación, etc.

 

TÉCNICAS DE ANÁLISIS DE APLICACIÓN EN CIBERINTELIGENCIA

Las técnicas de análisis que se pueden aplicar en ciberinteligencia son muchas y variadas, como por ejemplo, análisis de redes o análisis de incidentes y factores críticos. Incluso podemos utilizar otras más complejas como las técnicas de elaboración de escenarios basados en un análisis estructural y de actores.

Técnicas como el análisis estructural permiten:

  • Identificar la interrelación e influencia entre variables.
  • Cuáles son las variables clave que deberemos controlar prioritariamente, y que serán, dependiendo de la situación, o las más dependientes o las más influyentes.
  • Ayuda en la elaboración de indicadores de alerta, lo cual nos facilita la confección de un plan de obtención para monitorizar la evolución de los acontecimientos.

análisis-actores-inteligencia

Por otro lado, el análisis de actores facilita:

  • Comprender qué actores influyen sobre qué variables.
  • Cómo influyen los actores entre sí.
  • Identificar cuáles podrían tener intereses similares a nosotros, lo que facilitaría el establecimiento de alianzas y acuerdos.
  • Determinar qué actores serían nuestros competidores, según la evolución de las variables clave y que podrían estar detrás de una amenaza

 

Escenarios de futuro y planes de contingencia

Una vez entendida esta interrelación, debemos elaborar escenarios de futuro sobre la posible evolución de su comportamiento, y establecer el itinerario que podrían seguir desde el momento presente a esos hipotéticos escenarios de futuro.

Este camino al futuro lo marcaremos con indicadores y puntos de decisión asociados que permitan anticipar tanto las necesidades de información de nuestra organización como la activación de planes de contingencia, en caso de que una amenaza se materialice.

El análisis estructural y de actores, combinado con la elaboración de escenarios nos facilita la identificación de relaciones ocultas entre factores, variables y actores. Estos elementos facilitan o dificultan la secuencia de actividades que una ciberamenaza debe llevar a cabo para alcanzar sus objetivos.

escenarios-futuro-inteligencia

Además, ayuda en la identificación de efectos de segundo y tercer orden, y que podrían ser consecuencia de nuestras acciones iniciales para contrarrestar una ciberamenaza, o de esta cuando se materialice. Esto nos permite diseñar las medidas de mitigación e incluso en ocasiones identificar, localizar y atribuir fuentes de ciberataques.

En resumen, la comprensión profunda de las ciberamenazas, puede ayudar a visualizar y describir cómo nuestras acciones pueden afectar a otros actores, como la forma en que las acciones de esos mismos actores pueden afectar a las propias. Asimismo, y   buscando ese enfoque más proactivo por el que aboga la ENC, nos puede facilitar lacolaboración con otros organismos y organizaciones.

Si quieres conocer nuestra formación en inteligencia para análisis de redes sociales pincha aquí.

 



Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies