Inteligencia en Seguridad en TI

MST03B
D323
Inteligencia y Ciberseguridad
MST03B
D323
Conceptos fundamentales
INTELIGENCIA
Es el producto obtenido de la recolección, evaluación, análisis, integración e
interpretación de toda la información disponible, potencialmente significativa y
que permita su transformación en conocimiento, de forma que resulte útil al
decisor a la hora de tomar sus decisiones con el menor nivel de incertidumbre
posible, siguiendo el ciclo de Inteligencia.

SEGURIDAD
En el ámbito informático, la seguridad es un proceso que implica prevenir y
detectar el uso no autorizado de un sistema informático, lo que significa que es
un proceso que protege nuestros recursos informáticos contra intenciones
maliciosas o accidentales.
CIBERESPACIO
Se conceptualiza un espacio virtual creado por las redes informáticas. Algo que no
es físico, sino un concepto utilizado para ubicar las cosas que se llevan a cabo en
entidades intangibles.
Inteligencia de fuentes abiertas:
Conocida también como Open-source intelligence (OSINT).
Elabora nuevo conocimiento a partir de fuentes
públicamente accesibles.
Inteligencia de redes sociales:
El objetivo de este trabajo es realizar una propuesta para
diseñar sistemas de inteligencia Web basados en redes
sociales, para ello se analizan los trabajos publicados hasta la
fecha y se valida la propuesta realizando numerosos
experimentos.
De la Rosa (2007)
Inteligencia estimativa y prospectiva:
Se emplea específicamente para precisar los objetivos
estratégicos de una organización y planificar las acciones
necesarias para lograrlos. Tiene un alto componente de
estimación, por lo que también se la conoce como
inteligencia estimativa o predictiva.
Jiménez (2018)
Inteligencia reputacional:
Sirve para identificar tendencias sociales, prever
comportamientos y obtener insights de valor que nos permitan
anticiparnos a posibles riesgos, pero también a identificar
oportunidades que nos ayuden a diseñar estrategias diferenciales
para fortalecer nuestro posicionamiento y liderazgo económico,
social y medioambiental, y conseguir así impulsar
comportamientos de apoyo permanentes por parte de nuestros
grupos de interés.
Inteligencia logística:
Posibilita optimizar el transporte de bienes y servicios mediante la
definición de rutas inteligentes en las cadenas de suministros
creadas en función de categorías como el tráfico, el lugar de
destino, el tipo de mercancía, las condiciones climáticas y
atmosféricas, o los hábitos de consumo online de los usuarios.
Ciberseguridad y Ciberinteligencia
La ciberseguridad es:
La seguridad de la tecnología de la información, puesto que engloba un gran
número de técnicas y métodos para proteger nuestro sistema, así como otros
dispositivos o las redes. Se puede decir que es la práctica de defender las
computadoras y los servidores, los dispositivos móviles, los sistemas electrónicos,
las redes y los datos de ataques maliciosos. También se conoce como seguridad de
tecnología de la información o seguridad de la información electrónica
(Kaspersky). El término es amplio y se aplica a numerosos elementos, desde
seguridad informática hasta recuperación ante desastres y educación del usuario
final.
La Ciberinteligencia:
se refiere a las actividades de inteligencia en los procesos de la Ciberseguridad
que se ocupan de analizar (Intenciones-oportunidades de los ciberactores) y
prevenir, identificar, localizar y atribuir ataques o amenazas a través del
ciberespacio.
Los servicios relacionados con la Ciberinteligencia son muy complejos y variados,
pero todos comparten el mismo objetivo final: asegurar el bienestar de los
negocios y la gente relacionada con ellos, así como evitar cualquier inconveniente
que les pueda perjudicar, ya sea en menor o mayor medida. La Ciberinteligencia
se entiende como habilitador de la ciberseguridad.
 Amenazas, Riesgos, Vulnerabilidades e
Impacto.
La seguridad de la información tiene que ver con la administración de riesgos, y
que riesgo se define como la probabilidad de que una amenaza explote una
vulnerabilidad, ocasionando un impacto a la organización. Si no hay amenaza no
hay riesgo, si no hay vulnerabilidades, aunque haya amenaza tampoco hay riesgo,
y aun si hay amenazas y vulnerabilidades, si no hay impacto tampoco hay riesgo.

Las estrategias de ataque comúnmente usadas utilizan múltiples pasos

estructurados, son más complejas y de largo plazo, estos pasos son conocidos
como ciclo de vida de un ataque:

• Preparación. Contempla la identificación, selección del objetivo a atacar y recolección de toda la información que sea posible acerca de la
víctima, así como la creación o adquisición del arsenal de ciberarmas.
• Obtención de acceso. Envío de las ciberarmas por diversos medios, siendo el correo electrónico (spearphishing), sitios Web infectados y
dispositivos USB los tres más comunes para explotar vulnerabilidades en el sistema de la víctima y evadir los sistemas de seguridad que tenga.
• Creación de persistencia. Los atacantes buscan afirmar y ampliar su presencia y control en la red de la víctima, realizando el reconocimiento de
la red, diversos movimientos laterales y robo de credenciales de administradores.
• Ejecución de acciones. Considera la selección y recolección de la información buscada hasta lograr la extracción de la misma (exfiltration).
• Eliminación de rastros. Una vez logrados sus objetivos, el intruso buscará eliminar todos los rastros e indicios que pudieran revelar las acciones
tomadas, sus tácticas, técnicas y procedimientos.
 Ciclo de Vida de la Ciberinteligencia
La protección de las redes y sistemas no basta, tenemos que enfocar nuestros
esfuerzos en detectar, proteger y actuar. Debemos planear la estrategia y acciones a
partir de la premisa de que nuestra red será comprometida, incluso considerar que ya
hemos sido comprometidos. Este es el punto en donde la Ciberinteligencia se convierte
en un trigger de la Ciberseguridad.

El proceso general que se sigue para la generación de Ciberinteligencia consta de cinco

pasos:

1. Identificación del objetivo o misión. Determinar qué es lo que queremos encontrar o

qué respuesta/hipótesis es la que queremos responder.
2. Fuentes de datos. Definir las fuentes de información que utilizaremos; pueden ser
internas o externas, abiertas o privadas, manuales o automáticas
3. Recolección y almacenamiento de información: técnicas y protocolos para el registro
de eventos y su conservación
4. Análisis. Preparación y análisis de la información, utilizando diversas técnicas y
herramientas visuales.
5. Identificación de hallazgos. Encontrar aquellos elementos que son relevantes y que
ayuden a confirmar o rechazar las hipótesis planteadas, o que ayuden a responder las
preguntas establecidas en el primer paso.
6. Difusión. Hacer llegar a las partes interesadas los hallazgos y cursos de acción
propuestos.
 SOPORTE DE LA CIBERINTELIGENCIA A LA CIBERSEGURIDAD
1. En la etapa de preparación del ataque, la Ciberinteligencia apoya con la investigación en fuentes
abiertas, monitoreo de DeepWeb y Darkweb, canales IRC, etc., en búsqueda de posibles
campañas que se estén planeando en contra de la organización, conocimiento de nuevas
amenazas, identificación de toda aquella información que permita anticiparse a un posible
ataque.
2. En las etapas de obtención de acceso y creación de persistencia entra en juego una de las áreas
de la Ciberinteligencia conocida como Cyber Threat Intelligence (inteligencia de ciberamenazas),
la cual se define como el conocimiento acerca de los adversarios y sus motivaciones, intenciones
y métodos, que es recolectado, analizado y difundido en formas tales que ayudan al personal de
seguridad y de negocio a proteger los activos críticos de la organización.
3. En las etapas de ejecución de acciones y eliminación de rastros, la Ciberinteligencia
complementa a través del monitoreo activo en DeepWeb y DarkWeb para identificar cuándo se
pone a la venta o se hace pública, de forma no legítima, la información que es propiedad de la
organización.

Una actividad muy importante que apoya a lo largo de todas las etapas es el establecimiento de una
estrategia de colaboración con diversas entidades que complemente la estrategia de
Ciberinteligencia, Las entidades con las que se debe buscar este tipo de colaboración son aquellas
que, por su naturaleza, llevan a cabo una evaluación permanente de las diferentes amenazas, cuentan
con centros de inteligencia de ciberamenazas, o con centros de ciberrespuesta, ya sea con cobertura
local o internacional,
Recolección de Información
MST03B
D323
 Fuentes de Información

1. Dispositivos

FireWall IDS IPS

2. Documentales

CERT-MX
CERT
Formatos y protocolos para registro de
eventos.
RFC 3227 - Directrices para la recopilación de evidencias y su almacenamiento .
Preservación

Se basa en el “principio de intercambio” de Locard Adquisición

“Siempre que dos objetos entran en contacto, transfieren parte del material que
incorporan al otro objeto". Análisis

Aquí surge el concepto de análisis forense digital. Este término hace referencia a un Documentación
conjunto de procedimientos de recopilación y análisis de evidencias que se realizan con
el fin de responder a un incidente relacionado con la seguridad informática.
Presentación
Principios durante la recolección de evidencias
• Capturar una imagen del sistema tan precisa como sea posible.
• Realizar notas detalladas, incluyendo fechas y horas indicando si se utiliza
horario local o UTC.
• Minimizar los cambios en la información que se está recolectando y
eliminar los agentes externos que puedan hacerlo.
• En el caso de enfrentarse a un dilema entre recolección y análisis elegir
primero recolección y después análisis.
• Recoger la información según el orden de volatilidad (de mayor a menor).
• Tener en cuenta que por cada dispositivo, la recogida de información
puede realizarse de distinta manera.
Orden de volatilidad
Hace referencia al período de tiempo en el
que está accesible cierta información. Es
por ello que se debe recolectar en primer
lugar aquella información que vaya a estar
disponible durante el menor período de
tiempo, es decir, aquella cuya volatilidad
sea mayor.
De acuerdo a esta escala se puede crear la
siguiente lista en orden de mayor a menor
volatilidad:
• Registros y contenido de la caché.
• Tabla de enrutamiento, caché ARP, tabla
de procesos, estadísticas del kernel,
memoria.
• Información temporal del sistema.
• Disco
• Logs del sistema.
• Configuración física y topología de la red.
• Documentos.
Investigación
Procedimiento de Recolección
• Transparencia.
• Los métodos utilizados para recolectar
evidencias deben de ser transparentes y
reproducibles. Se debe estar preparado para
reproducir con precisión los métodos usados, y
que dichos métodos hayan sido testados por
expertos independientes.
• Pasos (según principios).
• Definiendo el modo, tiempo y lugar de la
evidencia en cada dispositivo. Documentar cada
paso.
Procedimiento de almacenamiento
• Cadena de custodia
• Debe estar claramente documentada y se deben
detallar los siguientes puntos:
• ¿Dónde?, ¿cuándo? y ¿quién? descubrió y recolectó
la evidencia.
• ¿Dónde?, ¿cuándo? y ¿quién? manejó la evidencia.
• ¿Quién ha custodiado la evidencia?, ¿cuánto
tiempo? y ¿cómo la ha almacenado?
• En el caso de que la evidencia cambie de custodia
indicar cuándo y cómo se realizó el intercambio,
incluyendo número de albarán, etc.
• Dónde y cómo almacenarlo
• Se debe almacenar la información en
dispositivos cuya seguridad haya sido
demostrada y que permitan detectar intentos de
acceso no autorizados.
Correlación de eventos
de seguridad
• Es una técnica de análisis de información con base
estadística y, por lo tanto, matemática. Consiste en
analizar la relación entre, al menos, dos variables.
• El resultado debe mostrar la fuerza y el sentido de la
relación.
• El análisis de una relación entre variables, utilizan
los llamados «coeficientes de correlación».
• Se realizan sobre sobre variables cuantitativas o
cualitativas.
• La existencia de correlación no implica causalidad.
Inteligencia de Fuentes Abiertas
MST03B
D323
El objetivo de la Inteligencia de la seguridad es:
La generación de información confiable y valiosa que, convertida en inteligencia estratégica, es
indispensable para la identificación y prevención de riesgos y amenazas, internas y externas de
carácter político, económico, socio-organizacional, tecnológico, medioambiental, de seguridad y
defensa, que permita la toma de decisiones y la acción proactiva en beneficio de las organizaciones
privadas, publicas, de la sociedad y del estado en su conjunto.

Estrategias de búsqueda
La estrategia de búsqueda depende del objetivo, así
lo primero es la elección de las fuentes, si estas son
abiertas o privativas, ordenadas legales o confiables;
Se debe saber que es lo que necesitamos saber de
nuestro objetivo, si lo publico, lo oculto lo privado…
después habrá que poner en la mesa la elección de
las Herramientas de búsqueda y análisis.
Inteligencia
(información de los Motores de Búsqueda)

• Los motores de búsqueda como Google o

Bing, están desarrollados con un especie IA
que sirve para determinados fines, los de
Google o Microsoft.
Inteligencia
(Información recuperada de la WEB)
La información recuperada de la WEB, es la mas difícil Se requiere una enorme cantidad de recursos
de analizar, sobre todo la que esta bajo el contexto de (humanos y económicos) y tiempo para poder
web 2.0 analizar, clasificar y visualizar los documentos
recuperados en buscad de información relevante y
Razones:
pertinente.
• La información textual web no está estructurada,
La idea de la web semántica es tener datos definidos
es decir, no está descrita ni caracterizada de alguna
y unidos, de manera que puedan ser usados por
forma, los algoritmos de los motores de búsqueda
computadoras, no solo con el propósito de
(ej. Google) se basan principalmente en la
visualización, sino para su automatización,
aparición de las palabras clave consideradas
integración y uso repetido en múltiples aplicaciones.
aisladamente. Esto provoca falta de precisión.
• No facilita la creación de una comprensión común
y compartida de un dominio, de forma que pueda
ser utilizado por personas, organizaciones y
máquinas.
Inteligencia
(Información recuperada de las Redes Sociales
La capacidad para analizar e intervenir una red
social puede ser aprovechada para implantar
tareas de vigilancia en los sistemas de
inteligencia de un centro de investigación o una
empresa de base tecnológica.
Hay que determinar un propósito.
Puede ser político, marketing, criminal, policial,
etc…
Los principales problemas que plantean las
fuentes de información web es la extracción
de datos, porque son heterogéneas y
dinámicas (cambian en periodos cortos de
tiempo) además, por su naturaleza, crecen
exponencialmente.
Con la extracción lograda, también se analiza su
distribución espacial, el impacto global de una
temática y las relaciones institucionales
subyacentes
Como ejemplo concreto se analiza la estructura
social de la comunidad que forma la lista de
distribución REDES.
Fuentes de datos (las más relevantes)
1. OSINT (Open Source Intelligence). Inteligencia a partir de la información que es pública y
abierta, la principal fuente es Internet.
2. SIGINT (Signals Intelligence). Inteligencia a partir de la intercepción de señales. En este
contexto se traduce normalmente como la inteligencia adquirida por redes señuelo,
conocidas técnicamente como honeynets o honeygrids.
3. GEOINT (Geospatial Intelligence). Inteligencia obtenida por medio de la geolocalización; en
este caso las fuentes más importantes son los dispositivos móviles y aplicaciones.
4. HUMINT (Human Intelligence). Inteligencia adquirida por individuos, en el contexto de la
ciberseguridad se utiliza como vHUMINT, es decir, entidades virtuales que obtienen
información en su interacción con otras personas por medio de redes sociales y canales de
comunicación electrónica.
Existen múltiples disciplinas de recolección de inteligencia; como las que arriba se listan, y se
explica brevemente su aplicación en el contexto de ciberseguridad: