Cuando se realiza una primera aproximación al ámbito de la seguridad en el ciberespacio se aprecia con cierta frecuencia cómo se utilizan indistintamente los términos ciberinteligencia y ciberseguridad. Esta circunstancia es fruto de la vinculación que existe entre ambas disciplinas. En este artículo revisamos algunos conceptos que ayudan a comprender en consisten cada una de ellas y como están vinculadas.
El diccionario de la Real Academia Española cuando define el término “servicio de inteligencia” se refiere a la inteligencia como la capacidad de proporcionar análisis e información para mejorar la toma de decisiones estratégicas orientadas a prevenir o neutralizar amenazas y a defender los intereses nacionales.
Siguiendo esa misma línea, si tomamos como referencia las aportaciones que en el campo de la inteligencia estratégica realizó Sherman Kent y que plasmó en su libro “Strategic Intelligence for Amercican World Policy”, se podría considerar la ciberinteligencia como el producto resultante de la adquisición y el análisis de información para identificar y predecir ciberataques, detectar indicios que puedan significar riesgos y derivar en amenazas y actividades que faciliten la toma de decisiones.
Por tanto, y de forma resumida, podemos concluir que la ciberinteligencia es una variante específica de la inteligencia que aporta información específica dentro del ámbito del ciberespacio. En el proceso requerido para la obtención de la información puede ser necesario la realización de diversas tareas, si bien, son dos las consideradas esenciales:
- la adquisición de datos a través de diferentes fuentes: humanas, geoespaciales, técnicas y otras basadas en fuentes abiertas. Estas últimas, conocidas como OSINT (Open Source Intelligence), son ampliamente utilizadas en ciberseguridad y hacen referencia a la recolección de información en fuentes accesibles al público, como redes sociales, foros, blogs, congresos…
- el procesamiento humano de los datos y de la información que se han obtenido con el fin de obtener un resultado útil para la toma de decisiones. Es aquí donde entran en juego las unidades de analistas de ciberinteligencia.
Procesados los datos es el momento de la entrega del resultado. Dependiendo de la necesidad de información que vaya a satisfacer el trabajo de inteligencia, el producto resultante podrá adoptar diferentes formatos:
- Difusión a través de informes, boletines, alertas, que podrán tener una determinada periodicidad o ser consecuencia de una demanda concreta ante una situación de crisis, por ejemplo. Una característica de los informes de ciberinteligencia es la mayor rapidez con la que habitualmente deben ser generados respecto a otros, fruto de la necesidad a la que deben dar respuesta.
- En el ámbito de la inteligencia de amenazas, el objetivo sería obtener las Tácticas, Técnicas y Procedimientos (TTP) que utilizan los ciberatacantes con el fin de poder elaborar una estrategia de defensa.
- Vigilancia Digital y Fraude. Mediante la ciberinteligencia se realizan investigaciones en foros ocultos de Internet o en redes sociales que permiten detectar campañas de desprestigio a empresas o a sus ejecutivos o la venta de fraudulenta de información o productos, así como, cualquier otra actividad que atente contra los activos de la compañía.
Todo este conjunto de información que se puede llegar a obtener adquiere un valor incuestionable a la hora de afrontar futuras amenazas y de elaborar una estrategia de seguridad. Además, a este repositorio habrá que sumar lo generado por una fuente adicional y muy valiosa como es la de los equipos de respuesta a incidentes de cada organización, los conocidos como CSIRT.
Una vez revisado el concepto de ciberinteligencia, es momento de realizar una aproximación al de ciberseguridad. A diferencia de lo que suele suceder con el término ciberinteligencia, sí existe un mayor consenso entre los expertos sobre el significado de ciberseguridad, no habiendo apenas hueco para la ambigüedad.
Una de las definiciones que, quizás, mejor establece el significado de este concepto es la que realiza la Agencia de Ciberseguridad de Estados Unidos (CISA) en su Security Tip ST04-001 en donde dice que “la ciberseguridad es el arte de proteger redes, dispositivos y datos del acceso no autorizado o uso delictivo y la práctica de garantizar la confidencialidad, integridad y disponibilidad de la información”.
Esa ingente tarea de protección se alcanza mediante un proceso que, en su fase operativa, aplica un conjunto de técnicas valiéndose de herramientas y procedimientos. La protección debe abarcar todo el ciclo de vida de la información, desde que se genera y procesa, hasta su transporte, almacenamiento y eliminación.
Dentro de ese conjunto de herramientas se incluyen todas aquellas que tienen que ver con la seguridad perimetral y de las redes, con las que hacen frente al malware y, aquellas que realizan la correlación en tiempo real todos los eventos registrados por esas y otras herramientas. También forman parte de este proceso los equipos de analistas que conforman los Centros de Operaciones de Seguridad (SOC).
En el día a día estamos observando el creciente número de ciberataques que se producen contra todo tipo de objetivos, públicos y privados. Observamos, también, cómo la sofisticación de esos ataques va en aumento. Los grupos de ciberdelincuentes están cada vez más organizados, con estructuras internas plenamente especializadas. Sus miembros poseen conocimientos técnicos muy elevados y las técnicas de ataque que utilizan son cada vez más complejas.
Pues bien, es aquí donde entra en juego la ciberinteligencia, convirtiéndose en un instrumento clave, siendo la perfecta aliada para la ciberseguridad, consiguiendo que aumenten sus capacidades de prevención, detección y respuesta ante ciberamenazas. La información generada por la ciberinteligencia facilita la toma de decisiones tácticas y estratégicas de las organizaciones frente a los ciberataques.
En resumen, se podría concluir que la ciberseguridad se sirve de la ciberinteligencia como instrumento para anticiparse a posibles ciberataques y frustrarlos.
Responsable de SOC en Global Technology