Ciberseguridad

Qué es la ciberinteligencia

La ciberinteligencia es el proceso de generar conocimiento tras analizar información sobre ciber amenazas: actores maliciosos y sus motivaciones, capacidades y Tácticas, Técnicas y Procedimientos (TTPs), así como vulnerabilidades explotables conocidas en una infraestructura.

Es importante diferenciar los datos (elementos en bruto, como una dirección IP) y la información (datos organizados con contexto, como “una dirección IP que está escaneando nuestra red”).

La ciberinteligencia transforma la información “cruda” en comprensión, permitiendo una toma de decisiones informada para una seguridad proactiva. Este conocimiento se puede describir en distintos niveles:

• Inteligencia estratégica: Visión a largo plazo sobre el panorama de amenazas y motivaciones de actores. Ayuda a la alta dirección en inversiones y políticas.
• Inteligencia operacional: Enfocada en TTPs específicas, campañas e infraestructura de adversarios. Útil para que los SOCs ajusten controles.
• Inteligencia táctica: Información específica de aplicación inmediata, como Indicadores de Compromiso (IoCs) –IPs, dominios, hashes de malware– que las herramientas usan para detectar y bloquear amenazas activas.

Importancia en la actualidad

La transformación digital ha expandido enormemente la superficie de ataque de las empresas (con entornos cloud, SaaS e IoT), ya que hoy casi cualquier necesidad se gestiona mediante software, webs o portales.

Hace más de una década que los ciberataques son mucho más frecuentes y sofisticados ocupando los titulares en las noticias, y aparece una gran cantidad de cibercriminales en búsqueda de empresas a las que atacar para obtener beneficios económicos, estratégicos o políticos.

Qué es el ciclo de inteligencia

El ciclo de inteligencia es una filosofía de trabajo que promueve el rigor analítico, la objetividad y la búsqueda de la verdad basada en las evidencias. Es el modelo conceptual fundamental que describe el proceso mediante el cual la información en bruto se recopila, analiza, transforma en inteligencia y se pone a disposición de los encargados de las tomas de decisiones.

Con orígenes militares, su adaptabilidad lo ha convertido en un estándar en múltiples disciplinas, destacando en especial en la ciberseguridad por sus similitudes. No es un proceso lineal, sino iterativo. Cada ciclo completado genera nueva información, alimentando el siguiente hacia una dirección más precisa.

Aplicación en ciberinteligencia

En el campo de la ciberinteligencia, el ciclo constituye una base esencial para transformar los logs, avisos y mensajes en información útil que pueda aprovecharse. Actúa como una hoja de ruta marcada para crear acciones de alto valor para la ciberdefensa.

Es importante diferenciar entre dato, información e inteligencia:

• Dato: una IP, dominio, hash, etc.
• Información: “esta IP ha escaneado nuestros puertos”, “este dominio está involucrado en campañas de phishing”.
• Inteligencia: “esta IP pertenece a un grupo APT activo que explota una CVE reciente; debemos bloquearla y aplicar un parche”, “este dominio pertenece a un grupo APT que actúa suplantando la identidad de técnicos IT”.

Fases del ciclo de inteligencia en ciberinteligencia

El ciclo se descompone en fases secuenciales e interdependientes. Aunque la terminología varíe, la esencia es universal. Veamos su aplicación en ciberinteligencia.

Planificación y dirección

Esta fase inaugural es posiblemente la más crítica y puede marcar la diferencia entre un buen trabajo o uno en el que surgen complicaciones. Se define quién coordinará el proceso e identificaremos las necesidades y la información que demandan los destinatarios del proceso de ciberinteligencia.

En esta fase se debe definir cuál va a ser la estrategia para la recolección de la información: esto incluye el tipo de información a buscar, el contenido específico y la asignación de recursos (personal, herramientas). También es crucial clasificar la disponibilidad y fiabilidad potencial de las fuentes de información y establecer los flujos de comunicación.

Recolección de datos

El objetivo de esta fase es obtener la información en bruto. Cuanta mayor información relevante obtengamos, mejor. Es primordial capturar los atributos relacionados con esa información: su clasificación de seguridad, la fuente de origen, el contexto, la fiabilidad de la fuente, la integridad de la información y la fecha de la misma, entre otros. Todos éstos tendrán relevancia en fases posteriores.

Durante la recolección, es crucial identificar fuentes relevantes, evaluar su fiabilidad y actualidad, y usar métodos eficientes, éticos y legales. Algunas de las fuentes más comunes son las siguientes:

• Fuentes abiertas (OSINT): Información públicamente disponible (medios, blogs de seguridad, redes sociales, repositorios de código, informes de fabricantes, BBDD de vulnerabilidades, buscadores como Shodan, Netlas, Censys).
• Fuentes humanas (HUMINT): Información por interacción con personas (entrevistas, informes de expertos, interacción en comunidades online).
• Fuentes cerradas o comerciales: Información no pública directamente (feeds de inteligencia de proveedores, informes privados, acceso a foros/mercados en la dark web o de agencias especializadas).
• Intercambio de información: Datos compartidos con entidades de confianza (CERTs/CSIRTs, foros públicos).

Procesamiento

La información recolectada no suele estar lista para realizar un análisis riguroso. Esta fase se encarga de arreglarlo.

El objetivo de esta fase es transformar los datos brutos de la fase de recolección, que suelen ser voluminosos y sin una estructura fija; lo que los convierte en “no utilizables directamente”. Una vez procesados, se convierten en información organizada y lista para el análisis. Debemos convertir los datos crudos en un formato comprensible y manejable.

Un procesamiento meticuloso es crucial. Los errores en esta fase pueden llevar a análisis defectuosos. Las actividades clave de esta fase son:

• Depuración: Eliminación de duplicados o errores evidentes.
• Filtrado: Selección de los datos relevantes para los requisitos de inteligencia.
• Estructuración y organización: Estructurar y clasificar los datos para que sean útiles y fáciles de trabajar.
• Normalización: Adecuar los diferentes formatos para facilitar la comparación.
• Decodificación y traducción: Si está codificada en diferentes formatos o se encuentra en otros idiomas.
• Enriquecimiento: Añadir información para aumentar valor.

Análisis y producción

Aquí, la información procesada se transforma en inteligencia final como informes, alertas o boletines, entre otros. En esta fase, los analistas examinan datos, buscan patrones, identifican relaciones, evalúan amenazas y formulan hipótesis, plasmando su trabajo en una producción resultante de todas las fases anteriores del ciclo.

Un proceso importante aquí es ser capaces de interpretar esa información. De forma que podamos, gracias a nuestras capacidades y a la información ya procesada, construir una comprensión clara de la amenaza, intentar entender las motivaciones y Tácticas, Técnicas y Procedimientos (TTPs) de nuestros adversarios, para así poder anticiparnos a sus próximos movimientos.

Algunas de las tareas de la fase de análisis pueden ser:

• Identificar patrones y tendencias: Indicios de actividad maliciosa o detectar estilos y comportamiento de un adversario.
• Formular y probar hipótesis: Ante información incompleta, aplicar pensamiento crítico evitando sesgos.
• Predicción: Anticipar comportamientos futuros basados en TTPs y tendencias.
• Desarrollar conclusiones y recomendaciones: Deben ser claras, concisas y accionables.

Diseminación

El producto de inteligencia debe entregarse eficazmente a quienes lo necesitan para tomar decisiones o ejecutar las acciones necesarias. Una diseminación mal ejecutada puede suponer que el trabajo previo no tenga un impacto real en la defensa, anulando los esfuerzos. Algunos de los factores que determinarán el éxito son:

• Seleccionar la audiencia: Un informe técnico puede ser interesante para un SOC, mientras que un resumen ejecutivo convence a la dirección.
• Oportunidad: Una alerta tardía es inútil, por lo que no debe dilatarse en el tiempo.
• Seguridad y confidencialidad: Compartir la información a través de canales acordados y seguros, respetando el principio “necesidad de conocer” (Need-to-know).

Retroalimentación

Última fase, fundamental para la naturaleza iterativa y de mejora continua. Consiste en retroalimentarse para adecuarse y mejorar si es necesario. A partir de la retroalimentación, podemos determinar si los esfuerzos dedicados son efectivos, redefinir estrategias en caso de ser necesario, explorar nuevas fuentes de recolección o ajustar las existentes.

Sin esta fase, el ciclo de ciberinteligencia se estanca. En ella, se recogen impresiones, se cierra el bucle y proporciona información para refinar todas las etapas.

Aplicaciones prácticas

El ciclo de inteligencia no es un concepto abstracto: tiene aplicaciones concretas de gran valor que mejoran significativamente la postura de seguridad de cualquier organización. Veamos algunas de las más relevantes.

Detección de amenazas avanzadas

Las APTs evaden defensas tradicionales y son un reto para las organizaciones que están en el foco de estos grupos.

La ciberinteligencia ayuda a identificar sus TTPs y herramientas. Con esta inteligencia, los equipos realizan threat hunting, buscando proactivamente señales que indiquen que una APT se encuentra tras un ataque -o intento de ataque-. Se puede aprovechar para crear detecciones personalizadas en SIEMs o EDRs a través de reglas.

Protección de infraestructuras críticas

Las organizaciones que gestionan infraestructuras esenciales para el funcionamiento de la sociedad moderna son objetivos de alto valor para las APT, que pueden tener motivaciones políticas y un objetivo de estas características puede tener un gran impacto en un país o en una empresa de algún sector clave.

La ciberinteligencia ayuda a las infraestructuras críticas a comprender las amenazas específicas dirigidas contra sus sistemas de control industrial y SCADA. Las tecnologías de la Operación (OT), a menudo tienen un mayor número de vulnerabilidades difíciles de gestionar, así como protocolos diferentes a los entornos IT tradicionales, lo cual puede suponer un reto para las organizaciones y equipos de ciberseguridad.

Respuesta a incidentes

Cuando ocurre un incidente de seguridad, la ciberinteligencia es clave para los equipos de respuesta a incidentes en diferentes fases:

• Preparación: Incluso antes de un incidente, la inteligencia sobre TTPs relevantes para la organización ayuda a desarrollar y probar planes de respuesta (playbooks) más efectivos y realistas.
• Durante el incidente: Ayuda a identificar rápidamente la naturaleza del ataque, el posible actor detrás del mismo (si hay indicadores), o las herramientas o malware utilizados. Esto puede guiar las acciones de contención para evitar que el ataque se propague y su impacto sea mayor.
• Post-incidente: El análisis forense es fundamental para entender completamente los ciberincidentes, identificar fallos en las defensas y extraer lecciones aprendidas que fortalezcan la seguridad a partir de la experiencia vivida.

Apoyo a la toma de decisiones estratégicas

Más allá de la respuesta táctica y operacional, la ciberinteligencia proporciona un contexto esencial para la toma de decisiones estratégicas de alto nivel en la organización:

• Ayuda a optimizar las inversiones en ciberseguridad, dirigiéndolas hacia las áreas de mayor riesgo o donde se espera un mayor retorno en términos de reducción de riesgos.
• Facilita la gestión cuantitativa de los riesgos en ciberseguridad, ayudando a traducir las amenazas en un impacto de negocio tangible (pérdidas financieras, daño reputacional, entre otros).
• Retroalimenta la planificación de la continuidad del negocio y la recuperación ante desastres, proporcionando escenarios de ataque realistas y probables contra los que prepararse.

Conclusiones

La creciente interconexión de las empresas con la nube, la automatización y las nuevas tecnologías han generado un escenario con una gran cantidad de variables que los ciber criminales pueden aprovechar. La sofisticación de los adversarios impulsará una mayor necesidad de colaboración e intercambio de inteligencia, así como seguir ciclos estrictos que mejoren la eficiencia y el resultado de los trabajos de inteligencia. La capacidad de adaptarse con una gran velocidad y optimizar el ciclo de inteligencia será un diferenciador clave para conseguir el éxito.

Desde la planificación alineada con los objetivos de negocio hasta la retroalimentación que impulsa la mejora continua, cada fase del ciclo es fundamental. Permiten generar un mapa enriquecido del entorno de amenazas, permitiendo a las organizaciones anticiparse y mejorar sus defensas en sus infraestructuras.

2De cara al futuro, la automatización y la inteligencia artificial (IA) se integrarán más en el ciclo permitiendo acelerar el tiempo de las fases y manejar mejor grandes volúmenes de datos. Serán valiosas en la recolección y procesamiento masivo de datos, así como en la detección de patrones, donde pueden realizar cálculos de forma más rápida.

Sin embargo, la supervisión y el punto de vista crítico de los analistas humanos seguirán siendo esenciales. La IA será una gran aliada, pero no un sustituto completo que pueda actuar de forma 100% autónoma.

Para aquellos que busquen dominar el arte de la ciberinteligencia, el Curso de Ciberinteligencia de OpenWebinars ofrece una formación por y para expertos. Ha sido diseñado para profundizar en la comprensión y aplicación práctica del ciclo de inteligencia, dominar técnicas avanzadas de OSINT para una recolección y análisis de datos eficaz en la ciberseguridad; desarrollando habilidades cruciales para la evaluación y el análisis de ciberamenazas.