Documente Academic
Documente Profesional
Documente Cultură
MST03B
D323
Inteligencia y Ciberseguridad
MST03B
D323
Conceptos fundamentales
INTELIGENCIA
Es el producto obtenido de la recolección, evaluación, análisis, integración e
interpretación de toda la información disponible, potencialmente significativa y
que permita su transformación en conocimiento, de forma que resulte útil al
decisor a la hora de tomar sus decisiones con el menor nivel de incertidumbre
posible, siguiendo el ciclo de Inteligencia.
SEGURIDAD
En el ámbito informático, la seguridad es un proceso que implica prevenir y
detectar el uso no autorizado de un sistema informático, lo que significa que es
un proceso que protege nuestros recursos informáticos contra intenciones
maliciosas o accidentales.
CIBERESPACIO
Se conceptualiza un espacio virtual creado por las redes informáticas. Algo que no
es físico, sino un concepto utilizado para ubicar las cosas que se llevan a cabo en
entidades intangibles.
Inteligencia de fuentes abiertas: Inteligencia reputacional:
Conocida también como Open-source intelligence (OSINT). Sirve para identificar tendencias sociales, prever
Elabora nuevo conocimiento a partir de fuentes comportamientos y obtener insights de valor que nos permitan
públicamente accesibles. anticiparnos a posibles riesgos, pero también a identificar
oportunidades que nos ayuden a diseñar estrategias diferenciales
para fortalecer nuestro posicionamiento y liderazgo económico,
Inteligencia de redes sociales: social y medioambiental, y conseguir así impulsar
comportamientos de apoyo permanentes por parte de nuestros
El objetivo de este trabajo es realizar una propuesta para grupos de interés.
diseñar sistemas de inteligencia Web basados en redes
sociales, para ello se analizan los trabajos publicados hasta la
fecha y se valida la propuesta realizando numerosos Inteligencia logística:
experimentos.
Posibilita optimizar el transporte de bienes y servicios mediante la
De la Rosa (2007)
definición de rutas inteligentes en las cadenas de suministros
Inteligencia estimativa y prospectiva: creadas en función de categorías como el tráfico, el lugar de
destino, el tipo de mercancía, las condiciones climáticas y
Se emplea específicamente para precisar los objetivos atmosféricas, o los hábitos de consumo online de los usuarios.
estratégicos de una organización y planificar las acciones
necesarias para lograrlos. Tiene un alto componente de
estimación, por lo que también se la conoce como
inteligencia estimativa o predictiva.
Jiménez (2018)
Ciberseguridad y Ciberinteligencia
La ciberseguridad es:
La seguridad de la tecnología de la información, puesto que engloba un gran
número de técnicas y métodos para proteger nuestro sistema, así como otros
dispositivos o las redes. Se puede decir que es la práctica de defender las
computadoras y los servidores, los dispositivos móviles, los sistemas electrónicos,
las redes y los datos de ataques maliciosos. También se conoce como seguridad de
tecnología de la información o seguridad de la información electrónica
(Kaspersky). El término es amplio y se aplica a numerosos elementos, desde
seguridad informática hasta recuperación ante desastres y educación del usuario
final.
La Ciberinteligencia:
se refiere a las actividades de inteligencia en los procesos de la Ciberseguridad
que se ocupan de analizar (Intenciones-oportunidades de los ciberactores) y
prevenir, identificar, localizar y atribuir ataques o amenazas a través del
ciberespacio.
Los servicios relacionados con la Ciberinteligencia son muy complejos y variados,
pero todos comparten el mismo objetivo final: asegurar el bienestar de los
negocios y la gente relacionada con ellos, así como evitar cualquier inconveniente
que les pueda perjudicar, ya sea en menor o mayor medida. La Ciberinteligencia
se entiende como habilitador de la ciberseguridad.
Amenazas, Riesgos, Vulnerabilidades e
Impacto.
La seguridad de la información tiene que ver con la administración de riesgos, y
que riesgo se define como la probabilidad de que una amenaza explote una
vulnerabilidad, ocasionando un impacto a la organización. Si no hay amenaza no
hay riesgo, si no hay vulnerabilidades, aunque haya amenaza tampoco hay riesgo,
y aun si hay amenazas y vulnerabilidades, si no hay impacto tampoco hay riesgo.
• Preparación. Contempla la identificación, selección del objetivo a atacar y recolección de toda la información que sea posible acerca de la
víctima, así como la creación o adquisición del arsenal de ciberarmas.
• Obtención de acceso. Envío de las ciberarmas por diversos medios, siendo el correo electrónico (spearphishing), sitios Web infectados y
dispositivos USB los tres más comunes para explotar vulnerabilidades en el sistema de la víctima y evadir los sistemas de seguridad que tenga.
• Creación de persistencia. Los atacantes buscan afirmar y ampliar su presencia y control en la red de la víctima, realizando el reconocimiento de
la red, diversos movimientos laterales y robo de credenciales de administradores.
• Ejecución de acciones. Considera la selección y recolección de la información buscada hasta lograr la extracción de la misma (exfiltration).
• Eliminación de rastros. Una vez logrados sus objetivos, el intruso buscará eliminar todos los rastros e indicios que pudieran revelar las acciones
tomadas, sus tácticas, técnicas y procedimientos.
Ciclo de Vida de la Ciberinteligencia
La protección de las redes y sistemas no basta, tenemos que enfocar nuestros
esfuerzos en detectar, proteger y actuar. Debemos planear la estrategia y acciones a
partir de la premisa de que nuestra red será comprometida, incluso considerar que ya
hemos sido comprometidos. Este es el punto en donde la Ciberinteligencia se convierte
en un trigger de la Ciberseguridad.
Una actividad muy importante que apoya a lo largo de todas las etapas es el establecimiento de una
estrategia de colaboración con diversas entidades que complemente la estrategia de
Ciberinteligencia, Las entidades con las que se debe buscar este tipo de colaboración son aquellas
que, por su naturaleza, llevan a cabo una evaluación permanente de las diferentes amenazas, cuentan
con centros de inteligencia de ciberamenazas, o con centros de ciberrespuesta, ya sea con cobertura
local o internacional,
Recolección de Información
MST03B
D323
Fuentes de Información
1. Dispositivos
2. Documentales
CERT-MX
CERT
Formatos y protocolos para registro de
eventos.
RFC 3227 - Directrices para la recopilación de evidencias y su almacenamiento .
Preservación
“Siempre que dos objetos entran en contacto, transfieren parte del material que
incorporan al otro objeto". Análisis
Aquí surge el concepto de análisis forense digital. Este término hace referencia a un Documentación
conjunto de procedimientos de recopilación y análisis de evidencias que se realizan con
el fin de responder a un incidente relacionado con la seguridad informática.
Presentación
Principios durante la recolección de evidencias
• Capturar una imagen del sistema tan precisa como sea posible.
• Realizar notas detalladas, incluyendo fechas y horas indicando si se utiliza
horario local o UTC.
• Minimizar los cambios en la información que se está recolectando y
eliminar los agentes externos que puedan hacerlo.
• En el caso de enfrentarse a un dilema entre recolección y análisis elegir
primero recolección y después análisis.
• Recoger la información según el orden de volatilidad (de mayor a menor).
• Tener en cuenta que por cada dispositivo, la recogida de información
puede realizarse de distinta manera.
Orden de volatilidad
Hace referencia al período de tiempo en el • Registros y contenido de la caché.
que está accesible cierta información. Es
por ello que se debe recolectar en primer • Tabla de enrutamiento, caché ARP, tabla
lugar aquella información que vaya a estar de procesos, estadísticas del kernel,
disponible durante el menor período de memoria.
tiempo, es decir, aquella cuya volatilidad • Información temporal del sistema.
sea mayor.
• Disco
De acuerdo a esta escala se puede crear la
siguiente lista en orden de mayor a menor • Logs del sistema.
volatilidad:
• Configuración física y topología de la red.
• Documentos.
Investigación
Estrategias de búsqueda
La estrategia de búsqueda depende del objetivo, así
lo primero es la elección de las fuentes, si estas son
abiertas o privativas, ordenadas legales o confiables;
Se debe saber que es lo que necesitamos saber de
nuestro objetivo, si lo publico, lo oculto lo privado…
después habrá que poner en la mesa la elección de
las Herramientas de búsqueda y análisis.
Inteligencia
(información de los Motores de Búsqueda)