Vigilancia Digital: Rastreando la Dark Web
La sociedad que vivimos está inmersa en un proceso en el que sus miembros permanecen hiperconectados con otros semejantes y con multitud de aplicaciones y servicios, todo ello gracias a Internet, lo que ha hecho de esta red un elemento imprescindible en nuestras vidas. En el ámbito de las empresas, el impulso de la transformación digital está consiguiendo que, independientemente del tamaño de la organización, y por muy pequeña que ésta sea, todas operen en Internet. Este gigantesco mundo paralelo que se ha creado en Internet es cada vez más complejo y no está privado de la presencia de actores maliciosos que, con diferentes propósitos, ponen en riesgo activos, tanto de particulares como de empresas. A pesar de la magnitud de Internet, sin embargo, únicamente tenemos acceso a una pequeña parte de los sitios que aloja. En base al tipo de acceso que se requiere para visualizar los contenidos de estos sitios, se puede estructurar Internet en tres zonas: La web abierta o superficial. Esta web supone un porcentaje muy pequeño de toda la red. Son sitios web a disposición del público a los que se accede utilizando los navegadores tradicionales. Gracias a la indexación, el acceso es muy rápido. La Deep Web es la gran porción de la tarta de Internet. Es allí donde se aloja la mayor parte de la información disponible en la Red. Es la zona en la que se encuentra la información de empresas e instituciones. La Dark Web forma parte de la Deep Web. Ocupa una mínima parte de ésta. Esta zona oscura ha estado rodeada desde sus inicios de un halo de misterio, estando considerada como un espacio en el que se gestan actos ilícitos. Sin embargo, dada su opacidad y sus restricciones para acceder, también se ha utiliza para alojar contenido legal. Se trata de una zona donde no existe la indexación, donde no pueden acceder los navegadores tradicionales y que requiere de accesos virtuales para llegar hasta allí. Paralelamente a la transformación digital que están abordando las empresas, en el ámbito de la ciberdelincuencia se está produciendo un salto exponencial en la actividad maliciosa a nivel global. La Dark Web está siendo protagonista de este nuevo escenario pues, al cobijo del anonimato que se obtiene formando parte de ella, se fraguan numerosas acciones ilícitas. En la Dark Web se cobijan actores maliciosos que debaten en foros sobre asuntos ilícitos y trafican en mercados con bienes obtenidos de manera ilegal. Asuntos relacionados con acciones terroristas, tráfico de drogas y armas, extorsiones, ataques a la reputación de las marcas, fraudes, software malicioso o fuga de información forman parte de la actividad que se genera en la Dark Web. Las consecuencias que sufren las organizaciones que se ven afectadas por acciones gestadas en la Dark Web son múltiples y, en su mayoría, tienen una traducción económica: En el ámbito de las telecomunicaciones, en la Dark Web se trafica con el “sim swapping” o suplantación de las tarjetas SIM de los teléfonos móviles. En entornos bancarios, los actos ilícitos habituales tienen que ver con la falsificación de tarjetas de crédito. Son especialmente sensibles las amenazas a las que están sometidas las infraestructuras críticas y esenciales, generalmente asociadas a acciones terroristas y sabotajes. De forma genérica, se pueden organizar acciones que atenten contra la reputación de marcas comerciales o de los directivos de las compañías. Así mismo, la Dark Web está sirviendo para traficar con grandes bases de datos de información robadas a las organizaciones. En particular, están siendo de sumo interés para los ciberdelincuentes las que albergan credenciales de cuentas de usuarios. Disponer de los datos de acceso a servicios o aplicaciones de una empresa les facilita enormemente la ejecución de ciberataques basados, por ejemplo, en ransomware. Ante este escenario, la estrategia que deben seguir las organizaciones se debe centrar en anticiparse a estas amenazas emergentes. Es aquí donde Global Technology puede colaborar con las organizaciones aportando herramientas con capacidad para realizar investigaciones con las que obtener visibilidad continua y en tiempo real de lo que acontece en la zona oscura de Internet. Los analistas del Centro de Operaciones de Seguridad (SOC) de Global Technology pueden acceder a fuentes y foros cerrados y realizar investigaciones encubiertas. Las tecnologías que implementan estas herramientas permiten abordar una amplia gama de escenarios: Detección en tiempo real de credenciales comprometidas. Es posible detectar la filtración y el compromiso de credenciales de empleados que hayan aparecido en la web profunda u oscura. Monitorización de amenazas dirigidas contra los equipos directivos. Se puede hacer seguimiento de posibles amenazas cibernéticas o físicas de las que sean objeto directivos de la organización (estafa del CEO, doxing, spear-phising, etc…). Protección de la marca. Detección de amenazas que prevengan de ataques contra la marca empresarial y sus activos críticos. Análisis del fraude. Permite investigar fugas de tarjetas de crédito, suplantación de tarjetas SIM y otros muchos tipos de fraude. Investigaciones de amenazas terroristas. Se puede acceder a docenas de foros y canales relacionados con el terrorismo. Investigaciones sobre armas y drogas. Igualmente, es posible acceder a numerosos mercados relacionados con el tráfico de drogas y armas. Referencias genéricas. El alcance de las investigaciones incluye todos los dominios pertenecientes a la organización. La operación de este servicio la realiza el equipo de analistas del SOC, con la colaboración de la organización que solicita el servicio, definiendo los parámetros de búsqueda de amenazas que se desee investigar en estas redes con el fin de establecer las alertas que prevengan de las acciones fraudulentas que se estén gestando o que hayan podido llegar a materializarse. El servicio de Vigilancia Digital y Fraude de Global Technology reporta beneficios manifiestos para las organizaciones que optan por él. Además del evidente ahorro económico que puede suponer anticiparse a una amenaza que atente contra la organización, se pueden evitar daños físicos para las personas y materiales en las instalaciones, así como, afecciones a la reputación de la marca. José Antonio Barrio PuyoResponsable de SOC en Global Technology
La ciberinteligencia, instrumento de la ciberseguridad
Cuando se realiza una primera aproximación al ámbito de la seguridad en el ciberespacio se aprecia con cierta frecuencia cómo se utilizan indistintamente los términos ciberinteligencia y ciberseguridad. Esta circunstancia es fruto de la vinculación que existe entre ambas disciplinas. En este artículo revisamos algunos conceptos que ayudan a comprender en consisten cada una de ellas y como están vinculadas. El diccionario de la Real Academia Española cuando define el término “servicio de inteligencia” se refiere a la inteligencia como la capacidad de proporcionar análisis e información para mejorar la toma de decisiones estratégicas orientadas a prevenir o neutralizar amenazas y a defender los intereses nacionales. Siguiendo esa misma línea, si tomamos como referencia las aportaciones que en el campo de la inteligencia estratégica realizó Sherman Kent y que plasmó en su libro “Strategic Intelligence for Amercican World Policy”, se podría considerar la ciberinteligencia como el producto resultante de la adquisición y el análisis de información para identificar y predecir ciberataques, detectar indicios que puedan significar riesgos y derivar en amenazas y actividades que faciliten la toma de decisiones. Por tanto, y de forma resumida, podemos concluir que la ciberinteligencia es una variante específica de la inteligencia que aporta información específica dentro del ámbito del ciberespacio. En el proceso requerido para la obtención de la información puede ser necesario la realización de diversas tareas, si bien, son dos las consideradas esenciales: la adquisición de datos a través de diferentes fuentes: humanas, geoespaciales, técnicas y otras basadas en fuentes abiertas. Estas últimas, conocidas como OSINT (Open Source Intelligence), son ampliamente utilizadas en ciberseguridad y hacen referencia a la recolección de información en fuentes accesibles al público, como redes sociales, foros, blogs, congresos… el procesamiento humano de los datos y de la información que se han obtenido con el fin de obtener un resultado útil para la toma de decisiones. Es aquí donde entran en juego las unidades de analistas de ciberinteligencia. Procesados los datos es el momento de la entrega del resultado. Dependiendo de la necesidad de información que vaya a satisfacer el trabajo de inteligencia, el producto resultante podrá adoptar diferentes formatos: Difusión a través de informes, boletines, alertas, que podrán tener una determinada periodicidad o ser consecuencia de una demanda concreta ante una situación de crisis, por ejemplo. Una característica de los informes de ciberinteligencia es la mayor rapidez con la que habitualmente deben ser generados respecto a otros, fruto de la necesidad a la que deben dar respuesta. En el ámbito de la inteligencia de amenazas, el objetivo sería obtener las Tácticas, Técnicas y Procedimientos (TTP) que utilizan los ciberatacantes con el fin de poder elaborar una estrategia de defensa. Vigilancia Digital y Fraude. Mediante la ciberinteligencia se realizan investigaciones en foros ocultos de Internet o en redes sociales que permiten detectar campañas de desprestigio a empresas o a sus ejecutivos o la venta de fraudulenta de información o productos, así como, cualquier otra actividad que atente contra los activos de la compañía. Todo este conjunto de información que se puede llegar a obtener adquiere un valor incuestionable a la hora de afrontar futuras amenazas y de elaborar una estrategia de seguridad. Además, a este repositorio habrá que sumar lo generado por una fuente adicional y muy valiosa como es la de los equipos de respuesta a incidentes de cada organización, los conocidos como CSIRT. Una vez revisado el concepto de ciberinteligencia, es momento de realizar una aproximación al de ciberseguridad. A diferencia de lo que suele suceder con el término ciberinteligencia, sí existe un mayor consenso entre los expertos sobre el significado de ciberseguridad, no habiendo apenas hueco para la ambigüedad. Una de las definiciones que, quizás, mejor establece el significado de este concepto es la que realiza la Agencia de Ciberseguridad de Estados Unidos (CISA) en su Security Tip ST04-001 en donde dice que “la ciberseguridad es el arte de proteger redes, dispositivos y datos del acceso no autorizado o uso delictivo y la práctica de garantizar la confidencialidad, integridad y disponibilidad de la información”. Esa ingente tarea de protección se alcanza mediante un proceso que, en su fase operativa, aplica un conjunto de técnicas valiéndose de herramientas y procedimientos. La protección debe abarcar todo el ciclo de vida de la información, desde que se genera y procesa, hasta su transporte, almacenamiento y eliminación. Dentro de ese conjunto de herramientas se incluyen todas aquellas que tienen que ver con la seguridad perimetral y de las redes, con las que hacen frente al malware y, aquellas que realizan la correlación en tiempo real todos los eventos registrados por esas y otras herramientas. También forman parte de este proceso los equipos de analistas que conforman los Centros de Operaciones de Seguridad (SOC). En el día a día estamos observando el creciente número de ciberataques que se producen contra todo tipo de objetivos, públicos y privados. Observamos, también, cómo la sofisticación de esos ataques va en aumento. Los grupos de ciberdelincuentes están cada vez más organizados, con estructuras internas plenamente especializadas. Sus miembros poseen conocimientos técnicos muy elevados y las técnicas de ataque que utilizan son cada vez más complejas. Pues bien, es aquí donde entra en juego la ciberinteligencia, convirtiéndose en un instrumento clave, siendo la perfecta aliada para la ciberseguridad, consiguiendo que aumenten sus capacidades de prevención, detección y respuesta ante ciberamenazas. La información generada por la ciberinteligencia facilita la toma de decisiones tácticas y estratégicas de las organizaciones frente a los ciberataques. En resumen, se podría concluir que la ciberseguridad se sirve de la ciberinteligencia como instrumento para anticiparse a posibles ciberataques y frustrarlos. José Antonio Barrio PuyoResponsable de SOC en Global Technology
La vigilancia digital es una de las grandes especializaciones de Global Technology
La planificación de la seguridad, en cualquier caso, pero especialmente en lo que se refiere a las infraestructuras estratégicas y críticas, revierte tanta importancia y es de tal transcendencia que requiere de un tratamiento que sólo puede y debe ser proporcionado por consultoras con gran especialización en estos temas. Global Technology está especializada en estas infraestructuras y ha sido pionera en el mercado de la seguridad, en el estudio e implantación de las premisas de planificación convergente. Estas premisas básicas son hoy imperativas para la correcta elaboración de cualquier plan de seguridad. Desde hace casi una década, hemos preconizado en todos los foros y medios la necesidad de aunar todas las disciplinas de seguridad en un todo coherente. La convergencia de la seguridad física y lógica (ciberseguridad), así como la complementación con otro tipo de seguridades (laboral, medioambiental, etc.), es absolutamente imprescindible y ya ha sido recogida –por fin– en la normativa actual sobre planificación. Pero esta capacidad de planificación convergente no se puede improvisar fácilmente, ni siquiera por grandes consultoras que puedan juntar departamentos y esfuerzos en un afán por cubrir el mercado y cumplir con la legislación que en esta materia se exige. No es lo mismo unir que converger, y eso lo tiene muy claro el posible adversario en sus planteamientos de intrusión y sabrá explotar la consiguiente debilidad. Para poder converger, es necesario tenerlo imbuido en las políticas y métodos de planificación de la empresa y en los analistas que forman su equipo. Como referencia de calidad, estamos avalados por los resultados obtenidos en nuestros avanzados proyectos de planificación y control de la ejecución de todo tipo de sistemas de seguridad global y convergente. Asimismo, nos avalan el extenso y especializado currículo de los directores de proyectos y técnicos que conforman nuestra plantilla. Entre nuestro equipo de profesionales contamos con un amplio abanico de perfiles, lo cual nos permite abordar proyectos desde las diferentes vertientes de la seguridad integral (licenciados en Criminología, ingenieros superiores informáticos y técnicos, directores de Seguridad homologados por el Ministerio del Interior, abogados, analistas diplomados en Inteligencia, oficiales de Protección de Instalaciones Portuarias, técnicos de Seguridad, certificados en seguridad informática, etc.). Por otro lado, la convergencia de todas las disciplinas de la Seguridad, necesita del incuestionable apoyo de una inteligencia empresarial que le proporcione el conocimiento necesario para poder realizar un eficaz análisis de riesgos y obtener la “superioridad de la información” que le posicione por delante de sus competidores o adversarios. De esta forma, podrá actuar con la eficacia y anticipación suficiente que la actual rapidez de acontecimientos nos impone. La vigilancia digital, una de nuestras grandes especializaciones, está dedicada a la consecución de una eficaz inteligencia empresarial, produciendo una enorme cantidad de contenidos extraídos de la web pública, profunda (Deep web) y oscura de internet (Dark web). Detectar, analizar y prevenir son los factores necesarios para obtener buenos resultados y conseguir la “superioridad de la información” y minimizar la amenaza que esa misma información supondría en manos del adversario. La convergencia de todas las disciplinas de la seguridad necesita del incuestionable apoyo de la inteligencia empresarial. Nuestro servicio de vigilancia digital ofrece la obtención, evaluación, análisis y difusión de la información obtenida, mediante el uso de las herramientas informáticas de vigilancia digital y análisis más avanzadas y el trabajo de nuestros analistas titulados y experimentados en cibervigilancia y ciberinteligencia (hacking ético, NATO Open Source Intelligence, NATO Intelligence Warning System). Gracias a este trabajo mixto, somos capaces de aportar con antelación la información necesaria para la protección física de activos. Nuestra orientación al cliente hace que su problema sea también el nuestro. Proximidad, atención personalizada y cercana Por ello, Global Technology puede ser una perfecta opción para gestionar y resolver los problemas de seguridad, dejando atrás una mera relación comercial para convertirse en el socio de confianza en materias de seguridad. Enrique Polanco GonzálezSocio fundador de Global Technology
Inteligencia privada en apoyo a las empresas
El tema de Inteligencia empresarial, visto como una capacidad de la que se deben dotar las empresas para elevar y mantener un adecuado nivel de seguridad y disponer de las herramientas de conocimiento pertinentes que las posicionen adecuadamente en la parrilla competitiva, no deja muchas dudas sobre la conveniencia de incluirla entre nuestras capacidades. El problema ahora es encontrar el camino para acceder a este importante valor, que puede significar la diferencia entre el éxito y el fracaso del proyecto empresarial. En un artículo anterior (Seguritecnia, noviembre 2013) comentábamos las posibilidades que tenían las empresas, sobre todo aquellas con intereses fuera de nuestras fronteras, para ser apoyadas por las instituciones nacionales en temas de Inteligencia. Este tipo de apoyo entendíamos que era de gran importancia y transcendencia para mejorar su capacidad de toma de decisiones –buenas y a tiempo– y aumentar por consiguiente su competitividad, especialmente ante empresas extranjeras. Prácticamente, parece indiscutible la conveniencia de prestar y disponer de esta capacidad, aunque se podría entender más un apoyo de las instituciones nacionales en asuntos extrafronterizos que un apoyo dentro de nuestras fronteras, lo que podría implicar la preponderancia de una empresa sobre otra, ambas nacionales, en un injusto y discriminatorio apoyo selectivo. En estos casos, necesitaremos otras soluciones para cubrir nuestras necesidades fuera del ámbito institucional. Estas posibles soluciones pasan por buscar esas capacidades en el ámbito de las consultorías privadas de Inteligencia empresarial o crear, organizativa y funcionalmente un departamento interno capaz de gestionarla, para lo que seguramente necesitará también una asesoría externa al menos en sus primeras fases de creación y puesta en marcha. Aunque también, en determinados casos en que se puede hacer necesaria la participación de las instituciones, las consultorías de Inteligencia podrían cumplir la función de actuar de interface entre el mundo institucional relacionado con la información e Inteligencia y las empresas a las que les suele resultar algo complicado acceder y navegar en esas desconocidas aguas. Las consultorías de Inteligencia privadas tienen el objetivo de ofrecer unos servicios acordes con las necesidades que demanda el mundo empresarial en estos aspectos y que luego comentaremos. Estas consultorías se dotan de los expertos en Inteligencia necesarios para gestionar el llamado Ciclo de Inteligencia de una forma completa, eficaz y en todas las fases del mismo (dirección y planificación, obtención, proceso y análisis, difusión, toma de decisiones y vuelta a empezar). Asimismo, es imprescindible que cuenten con buenos analistas especializados en diversos temas y con las herramientas de recopilación y análisis que puedan servir de ayuda a éstos en su lidia con el apabullante mundo del big data. Así, como ya se sabe, la competencia entre empresas se basa en múltiples y muy variados factores enormemente relacionados entre sí. Entre estos factores, no hay duda que la capacidad de toma de decisiones, como ya hemos dicho, juega un papel primordial para conseguir y aumentar la superioridad competitiva. Esta capacidad, para que adquiera un verdadero valor, deberá contar con un sistema de Inteligencia empresarial que proporcione las bases en las que apoyar el proceso de la decisión que, de otra forma, dejaría demasiadas acciones cojas de fundamentos, cuando no al albur de la intuición o alocadas y gratuitas especulaciones. El ejercicio de esta capacidad crea un escenario en el que la obtención y protección de la información, base de la Inteligencia, se convierte en un objetivo estratégico que las empresas no pueden obviar. Por ello resulta muy conveniente, y prácticamente imprescindible, incluir la gestión de contrainteligencia basada al menos en conocer las propias vulnerabilidades y carencias en temas de seguridad de la información. Estas vulnerabilidades, muchas veces de fácil corrección, pueden ser una ventana abierta al exterior que facilite sobremanera el trabajo de Inteligencia de la competencia, haciéndonos transparentes en nuestras estrategias, métodos y debilidades, lo que no sería nada de desear en este competitivo mundo. Además del apoyo a la toma de decisiones en el ámbito económico y empresarial que supone la capacidad de Inteligencia, no hay que olvidar que todos los sistemas de seguridad debieran estar apoyados por una base de Inteligencia si quieren llegar a conseguir un elevado nivel de eficacia más allá de la mera vigilancia disuasoria y correctiva. La Inteligencia es, por consiguiente, parte indiscutible de la seguridad que debe ser considerada como un elemento de la misma y ser tratado en convergencia con el resto de sus disciplinas. Así, las empresas de seguridad, que ya superaron la fase de integración de las disciplinas física y lógica, están actualmente explorando el campo de la Inteligencia, tanto en apoyo a sus propios sistemas como para ofertar otro servicio a sus propios clientes, potenciador de la seguridad, que proporciona un valor añadido a las hasta ahora típicas soluciones de seguridad ofertadas. Para ello, las empresas de seguridad se están empezando a dotar de esta importante capacidad, normalmente por subcontratación de forma externalizada de este servicio, aunque no sería de extrañar que, en el futuro, y viendo el auge que está tomando el tema, acaben incorporando a sus organizaciones algún departamento con esta especialización. Ahora bien, no todo vale para todo y debemos encontrar la talla y modelo de traje que se pueda ajustar a cada uno. De la misma forma, estoy seguro de que cada empresa podrá encontrar el modelo de gestión de Inteligencia que mejor se adapte a sus necesidades, sin dejar que la frían a picotazos, ni ponerse a matar moscas a cañonazos. Los modelos pueden ser muchos y muy variados, tantos como combinaciones podamos formar entre aspiraciones, riesgos y capacidad de inversión para alcanzar nuestros objetivos. En este amplio espectro, se puede abrir un prolijo abanico que vaya desde un sistema de gestión de Inteligencia en el ámbito internacional, con aspiraciones de adquirir unos conocimientos exhaustivos en los más intrincados temas económicos, societarios o competitivos, hasta la mucho más modesta aspiración de querer saber al menos de qué va el mundo que nos rodea en nuestro entorno más cercano y que pudiera influir en una pequeña o mediana empresa en sus