Aunque son términos que solemos ver juntos a menudo, hay que comprender que HUMINT y OSINT no son lo mismo. De hecho, HUMINT no es OSINT y su uso, implicaciones de todo tipo y técnicas son completamente diferentes y no tienen nada que ver, como vamos a comprobar.
Son dos juegos completamente distintos y que requieren habilidades muy diferentes en la fase de recolección del ciclo de inteligencia.
Por eso, vamos a ver qué es HUMINT, su verdadera relación con OSINT, ejemplos de HUMINT, habilidades necesarias, por dónde empezar a adquirirlas y más cosas sobre la fascinante disciplina de la inteligencia de fuentes humanas y cómo se utiliza con éxito.
Qué es HUMINT
HUMINT son las siglas de Human Intelligence (Inteligencia Humana) y es un término que se utiliza para describir la inteligencia o información clave recopilada de forma directa a partir de seres humanos, a diferencia de la recogida por dispositivos electrónicos u otros medios.
Es por eso que la HUMINT no es una disciplina que forma parte de la OSINT, como pueden ser la GEOINT o la SOCMINT
Aclaremos y maticemos bien esto.
En qué se diferencian HUMINT y OSINT (¿son lo mismo o están relacionadas?)
El significado de las siglas ya nos da la diferencia, por si no nos ha quedado bastante clara.
OSINT es el acrónimo de Open Source Intelligence (Inteligencia de Fuentes Abiertas), que significa el uso de datos disponibles públicamente. HUMINT es el acrónimo de Human Intelligence, es decir, inteligencia obtenida de seres humanos concretos porque la respuesta solo la conocen ellos.
Dicha respuesta la obtenemos hablando directamente, interactuando por escrito u observándolos en persona.
Por ejemplo, si en tu trabajo de análisis de inteligencia precisas consultar a un experto y contactas para preguntarle, eso es HUMINT.
Si ese experto es entrevistado por un periódico y, como contestación a una pregunta, ofrece la respuesta que necesitas y la lees en la página de Internet del diario, entonces ya es OSINT.
Que si nos ponemos muy puristas con el diccionario, todo lo que una fuente humana ha revelado públicamente puede ser HUMINT y OSINT a la vez, pero estamos haciendo el tonto con detalles y es poco productivo.
En definitiva, HUMINT no es OSINT, son cosas diferentes, pero trabajan siempre juntas y son indispensables la una para la otra. La OSINT nos permite casi siempre obtener datos imprescindibles para hacer una buena HUMINT y, a cambio, esa buena HUMINT completará el trabajo y ayudará a la OSINT con las piezas que le falten.
Ejemplos de HUMINT
HUMINT son esas cosas que hacen los espías de las películas, pero, también y casi siempre, son otras mucho más triviales.
- Cuando no sabes algo y llamas a alguien para preguntarle, estás haciendo HUMINT.
- Cuando un periodista entrevista a alguien sobre un suceso, está usando HUMINT.
- Cuando un policía interroga, está haciendo HUMINT.
- Cuando un abogado pregunta en un juicio, está haciendo HUMINT.
- Cuando un investigador privado realiza indagaciones interactuando con personas, está haciendo HUMINT.
- Cuando una empresa te está entrevistando para un trabajo, está haciendo HUMINT (y, hoy día, ten por seguro que tratarán de complementar la OSINT que han obtenido de ti mediante redes sociales, es decir, SOCMINT).
- Cuando un analista de seguridad de un Equipo Rojo interactúa con personas de la entidad objetivo (ya sea mediante email, teléfono o en persona, para obtener la información que necesita), está haciendo HUMINT.
- Y sí, cuando un espía se trabaja a un activo, también es HUMINT.
Pero muchos de nosotros no creo que la desarrollemos a ese nivel y, de hecho, en la práctica, la mayoría de HUMINT se hace en sector privado y en cosas mucho más triviales que la seguridad nacional.
Técnicas de HUMINT
Mientras que para muchas labores OSINT las habilidades principales de recolección (que no de análisis) suelen ser técnicas (como el conocimiento de qué herramientas o aplicaciones emplear para obtener esa información, así como el uso de dichas herramientas), en HUMINT, las habilidades necesarias son de comunicación, relación interpersonal y psicología.
Olvídate de máquinas y scripts, esta es una cuestión de personas.
Y voy a decir algo polémico, pero este es un departamento que, aunque suene tópico, no solemos tener muy desarrollado aquellos a los que siempre nos gustaron un poco más las máquinas que las personas.
Esta es una demostración más de que, en realidad, en el campo de la inteligencia, las habilidades técnicas son importantes, pero, en muchos casos, son las más sencillas de aprender y dominar, excepto cuando hablamos de programación experta de alto nivel o ingeniería inversa de malware y similares.
Como siempre dicho, aunque algunos expertos tuercen el gesto, es más fácil enseñar a manejar una herramienta OSINT ya creada a un buen analista, que enseñar habilidades interpersonales a un mago técnico que no las posee. Las herramientas son tan poderosas como la habilidad de quien las utiliza.
Así pues, las habilidades necesarias para la HUMINT son complejas, requieren de mucha práctica y son de naturaleza interpersonal y psicológica.
Veamos las principales técnicas HUMINT, empezando por las más básicas y terminando por la más habitual en ciberseguridad, la llamada “Ingeniería Social”.
Entrevistas
Tanto de trabajo, como de periodismo o de investigación (privada o por fuerzas del orden), la información HUMINT que se extrae será muy diferente en cuanto a utilidad y poder, dependiendo de las habilidades de entrevistador del analista.
La capacidad de crear un rapport o conexión rápida con el otro es imprescindible antes de poder extraer información, con lo que debe primar el conocimiento, la práctica y el empleo real sobre el terreno de las técnicas psicológicas que se han demostrado más efectivas para ese rapport rápido.
Desde las más básicas, como lenguaje corporal o uso del tono, hasta las más sutiles, como mirroring o escucha activa (no me gusta nada eso de escucha táctica).
Del mismo modo, todo entrevistador y analista HUMINT sabe que la respuesta que alguien da siempre está muy influenciada por la pregunta que se hace y cómo se hace esta.
Es por eso que un buen analista de inteligencia es capaz de hacer las preguntas excelentes que la mayoría no realiza, de hecho, esa podría ser la mejor definición de analista de inteligencia.
De esta manera, extrae información que, de otro modo, no pasa de lo típico o vaguedades. Sin necesidad de profundizar mucho más, es increíble la diferencia de entrevistas en un mismo periódico hechas por diferentes periodistas.
Mientras que unas son como declaraciones de futbolistas llenas de tópicos inofensivos que no aportan nada, otras son capaces de desvelar aspectos fascinantes del entrevistado.
¿La diferencia?
Las habilidades HUMINT del periodista y haber preparado y pensado muy bien las preguntas, para penetrar las defensas humanas iniciales y no repetir lo mismo de siempre.
Interrogatorio
Aquí ya pasamos a mayores. Este es un juego que puede estar muy ligado a las habilidades anteriores o bien ser necesarias otras más especializadas dependiendo de la situación, la urgencia y el tipo de persona que tenemos delante.
Teniendo en cuenta que este ámbito de HUMINT es más confrontacional que la entrevista (muchos interrogadores lo plantean, erróneamente, como un duelo de inteligencias y mentes, que tratan de extraer lo que el otro se resiste a decir).
Este es un campo que muchos analistas de inteligencia no precisarán trabajar de primera mano, pero es imprescindible conocerlo.
El mejor libro para aprender HUMINT para entrevistas, interrogatorios o interacciones personales en general
Ya que la HUMINT es el campo de la inteligencia que más me apasiona en realidad, lo he leído casi todo, así que un buen punto de partida para iniciarse son los libros.
La HUMINT requiere y se forja en la práctica, no nos engañemos, por leer solamente no vas a ser un experto, pero leyendo lo que realmente funciona, ya empezarás la práctica mucho más adelantado que muchos expertos.
Y sí, hay muchos libros sobre el tema y, sobre todo, mucha paja. Separemos del grano y empecemos por un casi total desconocido en el ámbito de la inteligencia en español, en parte, porque no está en nuestro idioma.
El mejor libro sobre los métodos de interrogación modernos y más efectivos, basados en resultados reales (y muy diferentes de lo que vemos en esas películas de espías y policías), es Rapport de Emily y Laurence Alison. Es el más accesible y el que mejor te pone la cabeza en su sitio para empezar con buen pie.
Y no, no me pagan por recomendar este libro ni ninguno de los que veremos a continuación.
Emily y Lauren han trabajado y enseñado sus técnicas a fuerzas del orden británicas y se han demostrado mucho más efectivas que las tradicionales. Como se podrá apreciar en el libro y ya desvela el título, todo se basa en evitar esa confrontación, de modo que se supere la muralla que separa a analista de objetivo humano.
Del mismo modo, lo que hay ahí es aplicable a toda interacción con otro para que vaya como la seda y sea productiva.
Negociación
Las habilidades negociadoras son fundamentales en un analista HUMINT. Permiten extraer la inteligencia que necesitamos y desactivar situaciones peligrosas o encalladas (o, al menos, no pisar una mina comunicativa, cosa habitual en muchas negociaciones de ámbito privado, de seguridad, etc).
Por formación profesional, hace mucho que me adiestraron en los métodos de negociación clásicos derivados de la escuela de Harvard. Si ha estado en consejos de dirección, consultoría y ámbito privado, la enorme mayoría de negociadores o gente adiestrada en la disciplina sigue ese marco de trabajo de Harvard.
Aunque siempre es bueno conocer cuanto más mejor, porque así nuestra caja de herramientas nos permitirá afrontar más situaciones diferentes, el Método Harvard de negociación me parece desfasado por experiencia y obtiene resultados inferiores frente a otros enfoques.
¿Qué hacer entonces?
El mejor libro para aprender negociación es Never Split the difference de Chris Voss, ex negociador del FBI y responsable de formar a sus negociadores. En España se ha publicado bajo el título Rompe la barrera del no. Un título horrible y hemos tardado casi 6 años en que por fin se empiece a reconocer su valor y popularizarse un poco (aunque siga siendo marginal, pero al menos, ya he encontrado a unos pocos que lo conocían), supongo que más vale tarde que nunca.
Persuasión
En general, todo buen analista HUMINT (y OSINT) debe ser un experto en persuasión, tanto verbal, como no verbal y escrita. De hecho, se podría decir que todo lo que estamos viendo son diferentes ramas del árbol de la persuasión.
Persuadir es la habilidad de convencer éticamente al otro de nuestro punto de vista o, al menos, acercarlo a él todo lo posible, ya que un buen persuasor sabe que esto no es una cuestión extrema de todo o nada.
Del mismo modo, el persuasor de verdad, el que ha practicado extensivamente su arte, sabe que no existe el 100% de efectividad, ni la magia. Tampoco las palabras hipnóticas, ni las seudociencias como la PNL funcionan. Nadie va a hacer nada porque le digas unas palabras mágicas en un cierto orden, eso es una chorrada.
La persuasión real es un juego de probabilidades y números, y se debe basar en métodos científicos probados.
El mejor libro para empezar y tener claras las bases de la persuasión es, sin duda alguna, el clásico Influencia de Robert Cialdini. Sonará tópico para quienes estén familiarizados con el tema de la persuasión, pero sigue siendo el mejor texto y no he conocido a nadie mínimamente serio que no sea el primer libro que recomiende para empezar con esta habilidad HUMINT.
Manipulación
La manipulación es convencer a otro de algo (en este caso, proporcionarnos esa inteligencia HUMINT) por cualquier medio, sin tener en cuenta la ética o el bienestar del otro.
Eso puede incluir la coerción, pero, sobre todo, incluye el empleo de información falsa y métodos emocionales exentos de cualquier rastro de moralidad.
Vamos, un día cualquiera en redes sociales y cierto tipo de política. Lo que nos lleva al siguiente punto.
Ingeniería social y HUMINT
En ciberseguridad, especialmente, nos encanta usar términos técnicos que queden bastante mejor cuando los dices que los más terrenales. Es por eso que, a la manipulación de toda la vida se la llama “Ingeniería Social” en el campo de la seguridad informática.
Me dan igual los nombres y el maquillaje, la Ingeniería Social es pura y simple manipulación y, cuanto antes lo reconozcamos, como bien me dijo uno de los mejores mentores que he tenido, más efectivos seremos.
Al final, emplean los mismos principios básicos, que no me voy a poner a detallar ahora, porque se sale del ámbito de este artículo, pero vamos, ya los he nombrado, información falsa y gatillos de emoción.
La Ingeniería Social es una habilidad HUMINT y, normalmente, se denominan así a las técnicas de obtención de información que un analista de ciberseguridad consigue en el contexto de un test de penetración (pentesting).
Pueden ser contraseñas, acceso a lugares vetados, obtención de información sobre equipos, sistemas operativos, programas o similares, que los encargados de penetrar los sistemas no pueden obtener, si no es por HUMINT.
Es decir, sonsacándolo a alguna persona de alguna manera.
Esto incluye, no solo interacciones personales bajo premisa falsa (soy un técnico de no sé qué y necesito acceso a no sé qué otra cosa), tanto en persona como por teléfono, también abarca la habilidad de hacerlo por escrito.
He perdido la cuenta de las personas a las que he hecho pinchar en enlaces con un solo email. No eran enlaces maliciosos, pero quien tenga nociones de ciberseguridad y phishing sabrá bien el quebradero de cabeza y la brecha de seguridad que supone eso.
Al menos un analista experto en HUMINT debe formar parte de un Equipo Rojo (Red Team) de penetración. Mientras, al otro lado de la trinchera, cualquier Equipo Azul defensivo debe disponer también de un experto en HUMINT o estará perdido.
Este HUMINT defensivo adiestrará a quien sea necesario en las defensas contra esa Ingeniería Social (no salirse jamás del procedimiento, cómo detectar ingenieros sociales, qué no hacer nunca ante comunicaciones, banco de niebla psicológico ante peticiones, etc).
El libro clásico que se recomienda es Human Hacking de Christopher Hadnagy, que se ha hecho un hueco como “el gurú del tema”. ¿Personalmente? Me quedé bastante decepcionado y no entiendo su necesidad de maquillar la Ingeniería Social como si fuera algo positivo para el objetivo que lo deja en mejor lugar. No por más repetir eso se va a hacer realidad. Especialmente, la última edición regurgita a Cialdini en buena parte (y con razón, porque es la base, pero, para eso, mejor ir a Cialdini directamente). Además de eso, incluye unas premisas de Ingeniería Social salpicadas, como la creación del pretexto.
¿Por qué lo pongo entonces?
Porque si se es nuevo en esto, queremos ceñirnos al ámbito de la ciberseguridad y el libro de Cialdini nos resulta un tocho académico importante y no tenemos tiempo, entonces el libro de Hadnagy es mucho más recomendable en esa situación. No te arrepentirás si estás al inicio del aprendizaje.
Trata los fundamentos, que ya está bien, y su valor está en que pocos son muy buenos en HUMINT y la Ingeniería Social es la gran desconocida. Eso permite que, quien sepa un poco, ya esté muy por delante y pueda obtener buenos resultados. Más que mérito del analista es demérito del estado lamentable de desconocimiento general sobre estas cosas, pero bueno.
Para quien quiera un relato más novelesco y ameno o se conozca a Cialdini, El arte de la intrusión, del legendario hacker Kevin Mitnick, es una lectura muy recomendable, aunque solo sea como historia fascinante de uno los pioneros. Ahí se puede ver Inteligencia Social en acción real, aplicada por uno de los que abrieron el camino. Ojo, no es un libro técnico o de aprendizaje, es la historia de Mitnick y compañía, pero merece la pena.
En definitiva, la HUMINT es la extracción de inteligencia de fuentes humanas. Esta información es, por naturaleza, privada, de modo que los analistas HUMINT entran en juego cuando la OSINT no es suficiente, haciendo gala de habilidades psicológicas de persuasión y negociación.
O bien de manipulación cuando hacen tests de penetración o son, simplemente, actores maliciosos que nos atacan.
