Igual que la inteligencia de fuentes abiertas se puede usar para atacar (en un contexto de ciberseguridad o puramente personal), existe una OSINT defensiva que puede servir para protegerse de dichos ataques.
En estos trabajos, se analiza a fondo la huella digital del cliente o el objetivo, con el fin de mitigar posibles fugas de información.
De esta manera, se localizan posibles vectores de ataque OSINT y se cierran esos «túneles que atraviesan nuestra muralla por debajo» sin que nos demos cuenta.
Ejemplos reales de estas acciones de mitigación son:
- Contactar con administraciones públicas para pedir que documentos con datos sensibles dejen de ser indexados por buscadores. Lamentablemente, estas administraciones son una de las principales fuentes de filtrado de datos sensibles, como nombres completos y DNI’s.
- Contactar con otras webs que pueden tener datos privados almacenados, en documentos subidos por sus usuarios.
- Contactar con buscadores para pedir que ciertos resultados de búsqueda que revelan datos personales no aparezcan, en virtud de las leyes como el RGPD o el derecho al olvido.
- Asesorar sobre configuración de redes sociales.
- Asesorar sobre los posibles vectores de ataque y sucesos que pueden ocurrir para extraer datos sensibles, de manera que el objetivo quede «vacunado» contra intentos de phishing, smishing, vishing o similares.
- En casos en los que sea casi imposible retirar resultados de búsqueda, asesorar sobre campañas de protección de la reputación, mediante inundación de contenido de otro tipo que posicione mejor y entierre resultados negativos, por ejemplo. Esto no solventa el problema y un atacante experto en OSINT desenterrará lo necesario, pero puede diluir el impacto reputacional de cara a usuarios comunes.
- Asesorar sobre brechas y filtración de datos en la web oscura, que suele ser repositorio de filtraciones de datos privados que han sido hackeados.
En este último caso, nos salimos un poco del OSINT tradicional para indagar dentro de filtraciones, lo que tiene implicaciones legales.
Dichas filtraciones no pueden ser consideradas fuentes públicas como tales, ya que son datos privados, filtrados sin permiso y que posiblemente constituyen alguna clase de delito, como la revelación de secretos.
El investigador OSINT debe mantenerse en el lado legal. Esto es importante para no caer en la doctrina del «fruto del árbol envenenado» y no poner en peligro la investigación.
Sin embargo, cuando se trabaja con OSINT defensiva, para la protección de un cliente a petición de este, la operación consiste en realizar un ataque como el que haría un adversario motivado, que se saltaría esas reglas legales.
Esto implica usar también fuentes de datos filtradas ilegalmente y que se suelen alojar en la web oscura, compartirse en torrents, etc.
En esos casos, es fundamental el permiso del cliente y la firma por escrito del acuerdo de confidencialidad y la indagación en esas fuentes dudosas, pero fundamentales. Es muy importante que el investigador OSINT opere escrupulosamente dentro de la ley para no buscarse líos.
Todo esto debe estar perfectamente estipulado en el contrato de servicios. Al fin y al cabo, como en operaciones de ciberseguridad de otra naturaleza, es fundamental acordar bien la superficie de ataque y las reglas de enfrentamiento.
Por experiencia, si se trabaja en la protección de la huella digital y la mitigación de fugas, es importante conseguir permiso para actuar como lo haría un hacker antagonista y conocer bien todos los puntos débiles, aunque no sean agradables. Eso implica muchas veces usar técnicas de hacking contra servidores, activos humanos, etc, a fin de detectar posibles vulnerabilidades que filtren información privada.
Solo así podremos proteger al cliente con garantías en estas labores.
Con la inteligencia de fuentes abiertas defensiva, el cliente debería recibir un informe de:
- Posibles puntos débiles en su caso.
- Datos que pueda haber filtrados.
- Las medidas de mitigación a poner en marcha para paliar lo anterior.
- Las medidas de protección a tomar a partir de ahora.
Curiosamente, no suele ser un trabajo muy común, pero la OSINT defensiva es tan importante como infrautilizada. Y si se trata de un personaje público o de cierta relevancia en su sector, es imprescindible, una rama más de la protección y la seguridad personal.
