Ciberseguridad e Inteligencia: CYBINT
La literatura específica para la doctrina de “inteligencia” es abundante, pero no así para el concepto “ciberinteligencia”, como sí lohay para el término “ciberseguridad”.
No obstante, realizando un paralelismo de las acciones que realizan las comunidades de inteligencia con las actividades de prevención, protección, seguridad e investigaciones, que llevan a cabo tanto las dependencias públicas como las del sector privado, el eje rector de la inteligencia es siempre el análisis y procesamiento de la información.
Usualmente, se ha representado a las actividades de inteligencia con la analogía de un ciclo o un proceso que tiene esencialmente cuatro fases previas a la toma de decisiones por el receptor de los productos resultantes de la información procesada: recolección, evaluación, análisis y diseminación.
De entre varias definiciones del término ciberinteligencia que se han ido identificando últimamente, hemos logrado desarrollar una propuesta que adopta los elementos principales del ciclo, pero incorporando aquellos relacionados con el ámbito de las Tecnologías de la Información y las Comunicaciones (TIC), como también su relación prevaleciente en el entorno digital del ciberespacio.
¿QUÉ ES CIBERINTELIGENCIA?
El producto, resultado de una sistemática recolección, evaluación y análisis de información en el ciberespacio, sobre amenazas, individuos o actividades sospechosas de naturaleza criminal en un ambiente digital, para accionar la toma de decisiones estratégicas en materia de identificación, prevención, mitigación e investigación de impactos adversos contra la infraestructura crítica, física y tecnológica de la organización.
Se trata también con la ciberinteligencia, de apoyar y coadyuvar con los responsables a cargo de la ciberseguridad institucional, típicamente situada bajo la coordinación de quienes atienden la dirección de seguridad y control de información de la organización, pero también, con los profesionales de la gestión preventiva del fraude ocupacional y su tratamiento (mitigación y control).
Cualquier persona que se considera un buen analista trabajando con las TIC utiliza el ciclo de inteligencia de manera natural.
El primer paso para comprender la ciberinteligencia es saber que las tácticas, técnicas y procedimientos de inteligencia, así como sus varios tipos de operaciones especiales existen desde hace mucho tiempo, antes de que el ciberespacio fuera concebido.
La inteligencia es más frecuentemente vista como una serie de acciones ofensivas en su naturaleza cuando se le relaciona con operaciones de espionaje y recolección de información, sin embargo, también su propósito final es la defensa y la protección.
A menudo, las definiciones, técnicas y métodos de inteligencia utilizadas por los gobiernos y las organizaciones militares sirven como las mejores bases para comprender la ciberinteligencia.
Por supuesto, la gran mayoría de las organizaciones civiles que usan la inteligencia no incluyen en sus objetivos lo que están haciendo otras naciones. En términos generales, utilizan una definición más simple: la inteligencia es un producto y un proceso que implica la recolección, la evaluación y el análisis de la información para alcanzar metas definidas e identificadas.
La clave está en tener la certeza de que los datos e información a recolectar y analizar cumplen un objetivo y un propósito definido y no solamente realizar inteligencia porque sí. Este aspecto es igualmente aplicable a la ciberinteligencia en donde prácticamente las fuentes y recursos para la recolección, la evaluación, el análisis y la diseminación se llevan a cabo en el ciberespacio.
Otra pieza de información importante es comprender la forma en que las comunidades de inteligencia definen las diferentes disciplinas que integran esta actividad. Como ejemplo, se citan las siguientes:
• HUMINT: inteligencia humana. La que es recolectada por la interacción entre personas.
• OSINT: inteligencia de fuentes abiertas. La que está disponible en fuentes públicas.
• SIGINT: inteligencia de señales. La que se obtiene a través de medios electrónicos (satélites).
• GEOINT: inteligencia geoespacial. La que se deriva de imágenes tomadas en forma aérea.
• MASINT: inteligencia de mediciones. La que proviene de radares y lecturas de radiaciones. Lo conveniente de estos metaconceptos, más allá de ayudar a un mejor entendimiento de los distintos campos en que se ha ido especializando y sofisticando la inteligencia, es la necesidad de categorizar la inteligencia y evaluar el uso apropiado que se intenta desplegar en la identificación de fuentes y recursos a utilizar para que sean aplicados de manera oportuna y correcta. La ciberinteligencia se ha convertido en sí misma en una nueva disciplina de la inteligencia.
• CYBINT: ciberinteligencia. Datos e información digital proveniente del ciberespacio.
Lo más importante es entender el ciclo de vida de la inteligencia. El ciclo sigue un proceso circular repetidamente, pero que va evolucionando en calidad en cada paso al convertir los datos recolectados en inteligencia accionable, para alcanzar los objetivos establecidos por un usuario o tomador de decisiones. Comprende los siguientes pasos:
1. Planeación y dirección. Determinar los requerimientos para producir alguna cantidad de inteligencia que resulte provechosa, es imperativo definir lo que se quiere obtener y su propósito. Esto podría identificar los códigos y controles que sirven para alguna pieza de malware a efecto de poder bloquearlo en la red, como también conocer el tipo de sistemas de información que un adversario está utilizando para poder infiltrarlo. Al avanzar en el ciclo de inteligencia siempre se puede regresar y retomar los pasos nuevamente, de tal forma que al obtener datos frescos que revelen algo que se desconocía, se pueden redefinir los objetivos o establecer una nueva meta.
2. Recolección. Dónde y cuándo se obtienen los datos y la información por procesar, esto puede realizarse a través de honeypots y honeynets (trampas informáticas —tarros de miel— para atraer atacantes), dispositivos de hardware y/o software tipo firewall, cuyos registros configurados pueden revelar señales de los atacantes, registros de sistemas de detección de intrusos, escaneo de la red Internet, etc. Conviene saber en la etapa de planeación y dirección cuáles son las opciones disponibles de recolección de datos en los entornos específicos donde se aplicarán acciones de ciberinteligencia para tener una certeza razonable de los objetivos y necesidades por cubrir.
3. Evaluación y análisis. Aplicar alguna medida de valor a los diferentes datos y analizarlos detenidamente, esto es, descomponer todas las partes que integran un problema en cuestión para extraer su significado y en función de ello realizar su procesamiento: la conversión de la información recolectada en algo que pueda utilizarse. Por ejemplo, tener la capacidad de acceder a datos específicos de una amenaza digital materializada como un fraude en los sistemas, de registro de cajeros automáticos que han copiado información de cuentas de bandas magnéticas de tarjetahabientes. Esto puede conocerse por la forma en cómo se almacena y se accede a los datos para convertirlos a algún formato entendible como un código ASCII (American Standard Code for Information Interchange) proveniente de un código binario.
4. Producción. Este es el paso donde los datos e información se convierten en un producto de inteligencia. Esto es realizado a través del análisis y la interpretación, cuyo principal valor lo aporta el analista. Todos los reportes producidos deberían cumplir con las metas definidas en las necesidades de inteligencia establecidas en la fase de planeación y dirección.
5. Diseminación. Suministrar al usuario o tomador de decisiones con el producto de inteligencia terminado. Si algún usuario no puede acceder al producto de inteligencia o no puede utilizarlo, entonces este producto es inservible y no habrá cumplido el objetivo. Los especialistas de las comunidades de inteligencia no incluyen directamente la retroalimentación como parte del ciclo, sin embargo, todas las organizaciones y los analistas deberían considerar un paso 6.
6. Retroalimentación. Asegurar que la fase de planeación y dirección esté en línea correctamente con lo que se ha producido.
Con lo anterior, puede comprenderse que la ciberinteligencia adopta y aplica de igual manera lo que las comunidades de inteligencia recomiendan.
Puede resumirse lo descrito en el entendido de que la inteligencia, o bien, la ciberinteligencia, es altamente dependiente de lo que producen los analistas y su interpretación de los datos y la información.
En tal sentido, un analista calificado puede obtener y generar un producto útil explotando recursos, por ejemplo, de la big data.
En México, se debe reconocer el extraordinario trabajo que en materia de seguridad e inteligencia en el entorno digital está realizando la prestigiada Universidad de las Américas Puebla, Campus Ciudad de México, junto con el Instituto Iberoamericano de Liderazgo en Seguridad, al hospedar eventos como el Congreso de Ciberseguridad e Inteligencia 2019.
Esta institución académica se está convirtiendo rápidamente en la Universidad de la Ciberseguridad y la inteligencia, en nuestro país.