¿Qué es la ciberinteligencia? ¿Para qué sirve? ¿Qué diferencia hay con la ciberseguridad? ¿Qué importancia tiene su aplicación en las empresas e instituciones? A estas, y otras cuestiones, iremos dando respuesta en este artículo. ¡Empecemos!
Contexto de la Ciberinteligencia
El desarrollo y la democratización en el uso de las Tecnologías de Información y Comunicación e Internet, ha provocado que éstas se integren en nuestras actividades cotidianas, de tal forma, que nos facilitan prácticamente cualquier tarea de nuestro día a día. Sin embargo, de igual forma, con ello se ha generado un espacio de actividad susceptible a vulnerabilidades.
Este espacio de “nueva” actividad, se ha convertido en una oportunidad para individuos o grupos que persiguen fines malintencionados. Así, en el contexto empresarial e institucional la actividad maliciosa se constituye como una amenaza que requiere capacidad de respuesta.
Glosario
Democratización: uso generalizado.
Vulnerabilidad: que puede ser victimizado, herido, dañado, lesionado…
Oportunidad: “conveniente para algo”. Y, ¿para qué ‘algo’? En este contexto, en la mayoría de los casos, los individuos o grupos persiguen fines lucrativos. ¡La pasta, amiga! El ciberespacio ha facilitado la creación de auténticos negocios criminales, muy rentables; a costa de sacrificar la filosofía y ética hacker.
Actividad maliciosa: acción dañina, perjudicial, intencionada.
Amenaza: Circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias negativas sobre los activos provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor.
¿Qué es la ciberinteligencia?
La ciberinteligencia no es otra cosa que la inteligencia aplicada en ese “nuevo” espacio de actividad susceptible a vulnerabilidades (también conocido como ciberespacio, espacio cibernético, espacio virtual, entorno digital, 5º dominio…)
Así, el concepto “inteligencia”, fuertemente relacionado con el mundo militar, es una noción vinculada a la capacidad de saber escoger las mejores opciones, para solucionar un problema.
En vista de fomentar esta capacidad de “saber escoger”, se aplica el Análisis de Inteligencia; que según el diccionario LID de Inteligencia y Seguridad, se trata de un “procedimiento que engloba diferentes fases de actuación (Ciclo de Inteligencia) en el tratamiento de información recibida de observaciones planificadas, de acuerdo con las necesidades de información establecidas en cada momento»
Por tanto, esta definición, trasladada al ciberespacio implica que los analistas deben poseer unos conocimientos técnicos mínimos para captar y conocer la estructura y modus operandi de los ciberactores que se van a encontrar en el ciberespacio. Además de dominar los procedimientos implícitos en el análisis de inteligencia tradicional, tanto operativo, táctico como estratégico.
Es cierto, que la adaptación del ciclo de inteligencia a la ciberinteligencia, puede plantear problemas debido a factores como el volumen de los datos que pueden llegar a observarse o la rapidez con la que se dan los acontecimientos. Con lo que, las interrelaciones entre las diferentes fases son constantes y pueden darse variaciones en el orden establecido.
¿Qué requieren las empresas e instituciones de la ciberinteligencia?
A pesar de los diferentes enfoques para la aplicación de ciberinteligencia, las organizaciones, tanto empresariales como gubernamentales, pretenden lograr un equilibrio entre la protección del perímetro de sus redes y la necesidad de adelantarse en la búsqueda de conocimientos estratégicos. Para ello, se requieren análisis tácticos donde los analistas recopilen los datos fiables necesarios, tanto del sistema físico como del sistema informático; para la obtención de mejoras de la ciberseguridad. Dirigido a responder y comprender “qué ha ocurrido”, “cómo” y “cuándo”.
Y, por otro lado, se requiere un análisis estratégico, en el cual los analistas persiguen responder a “quién es el responsable” del ataque o incidente, y “por qué” se ha producido, con el fin de proporcionar un contexto y un enfoque estratégico a los responsables sobre el cual podrían apoyar sus decisiones.
Ciberseguridad, el mejor instrumento para la ciberseguridad
Sí, la ciberinteligencia es un instrumento potenciador que forma parte de la ciberseguridad. La primera, como hemos inferido, es una disciplina de anticipación que analiza comportamientos [humanos], mientras que la segunda es una actividad dirigida a la protección de la confidencialidad, integridad y disponibilidad de la información; sustentada en tres pilares fundamentales: prevención, detección y reacción.
De esto, resulta destacable que dicha seguridad depende tanto de las tecnologías de la que se dispone para la protección, como de las PERSONAS que las utilizan e implementan. Es decir, la ciberseguridad depende de forma directa de los recursos destinados a ella.
¿Qué es la ciberinteligencia?
¿Cómo se aplica la ciberinteligencia?
Ya hemos comentado que se trata de un proceso, el cual explicaremos a continuación. No obstante, en primer lugar, se debe definir los conceptos claves que la comportan: datos – información – conocimiento.
- Dato: unidad mínima semántica. Se representa a través de un símbolo, como puede ser un número o una letra o un conjunto de estos. Que puede ser cuantitativa o cualitativa. Los datos por sí solos tiene poca o ninguna relevancia o propósito.
- Información: conjunto de datos organizados y procesados que transmiten un mensaje. Como cualquier mensaje, tiene un emisor y un receptor. Así, la información es capaz de cambiar la forma en que el receptor percibe algo, es capaz de impactar sobre sus juicios de valor y comportamientos.
- Conocimiento: es la mezcla de experiencia, valores, información y “saber hacer” que sirve como marco para la incorporación de nuevas experiencias e información, y es útil para la acción. Se origina y aplica en la mente de los conocedores. En las organizaciones con frecuencia no sólo se encuentra dentro de documentos o almacenes de datos, sino que también está en rutinas organizativas, procesos, prácticas, y normas.
Así, aportamos algo más a la definición de ciberinteligencia: que consta de datos que se recopilan, procesan y analizan para comprender los motivos, objetivos y comportamientos del actor de amenaza. Además, permite tomar decisiones de forma más ágil, más informadas y respaldadas por evidencias, con el objetivo de favorecer la ciberseguridad.
Fases de la ciberinteligencia
- Planificación y dirección: El primer paso para aplicar y generar ciberinteligencia es hacer la pregunta idónea, en relación con qué se quiere conseguir y cuál es el objetivo. En esta primera fase se debe planificar la estrategia que se va a seguir para obtener los datos y generar la información, así como definir qué tipo de información se pretende, y el tiempo que se dispone para ello. Un factor importante en esta etapa es comprender quién consumirá y se beneficiará del producto terminado:
¿la inteligencia irá a un equipo de analistas con experiencia técnica que necesitan un informe rápido sobre un nuevo exploit, o a un ejecutivo que busca una amplia descripción general de las tendencias para informar sus decisiones de inversión en seguridad para el próximo trimestre?
- Colección: es la fase donde se recopilan los datos sin procesar que cumplan con los requisitos establecidos. Estos pueden extraerse de fuentes públicas o privadas. El elemento más importante en esta fase es valorar la fiabilidad y la credibilidad de las fuentes, para evitar errores posteriores.
- Procesamiento: fase donde se deben ordenar, organizar, etiquetar y filtrar los datos obtenidos en la fase anterior. El objetivo principal en esta fase es descartar los posibles falsos positivos/negativos y concretar la información sobre la que se aplicará el análisis.
Dado el volumen de datos que se pueden extraer, cabe destacar la importancia de automatizar, mediante herramientas adecuadas esta tarea.
- Análisis: en esta fase se da sentido a los datos procesados [información] utilizando métodos y herramientas de análisis. El objetivo del análisis es buscar posibles amenazas de seguridad, con lo que se convierte la información en conocimiento [Inteligencia] estratégica, táctica u operativa, dependiendo del objetivo que se haya establecido.
- Difusión: en esta fase del proceso, la [ciber]inteligencia se convierte en producto terminado, el cual se distribuye a los consumidores previstos. Suele acogerse en forma de informe o documento informativo, donde se debe exponer de forma concisa y fácil de entender las conclusiones del análisis respecto a los objetivos. A partir de este momento, el decisor puede usar el conocimiento resultante en la ejecución de acciones.
Para terminar, cabe señalar que la aplicación de ciberinteligencia siempre es más enriquecedora hacerla en equipo. A nivel micro se evitarán conclusiones sesgada por un único analista. A nivel macro, compartir el conocimiento sobre ciberincidentes y ciberamenenazas facilitará hacer frente a la industria del cibercrimen.
“Saber mucho no es lo mismo que ser inteligente. La inteligencia no es sólo información, sino también juicio, la manera en que se recoge y maneja la información” (Carl Sagan).
AUTOR: Patricia Martín
Linkedin: https://www.linkedin.com/in/patriciamartingr/
Analista de Inteligencia en Bidaidea Ciberseguridad.
¿NECESITAS ORIENTACIÓN POR UN PROFESIONAL EN CIBERINTELIGENCIA?
Envíanos un email a comercial@bidaidea.es o un formulario mediante nuestra página de contacto y te responderemos en menos de 24h.