La inteligencia de fuentes abiertas, aunque es una disciplina completa y cada vez más compleja en sí misma, está muy asociada a la ciberseguridad.
En este contexto de seguridad informática, OSINT suele ser una herramienta a la hora de realizar un test de penetración (pentesting), por parte de un «Equipo Rojo» que tenga como objetivo probar la seguridad de un cliente u objetivo.
Y por supuesto, también es usada extensivamente por adversarios y hackers a la hora de recoger información sobre un objetivo y encontrar posibles vectores de ataque.
Cuándo se usa OSINT dentro de la ciberseguridad
Se recurre sobre todo a la OSINT durante la fase inicial de recogida de información en un test de penetración.
Esa información puede ser muy diversa y algunos ejemplos son:
- Información sobre el equipo humano del objetivo para ataques de spear phising, suplantación de identidad, etc.
- Información sobre instalaciones para intrusión física.
- Información comprometida sobre el objetivo (o simplemente, información interesante sobre un objetivo humano) para conseguir influencia y poder en operaciones HUMINT.
El problema común con OSINT en el entorno de ciberseguridad
Los anteriores son solo algunos ejemplos de las muchas posibilidades de la OSINT dentro de la ciberseguridad. Cada caso es distinto, pero lo cierto es que, en la práctica, la inteligencia de fuentes abiertas es algo que parece una nota al pie de página dentro de un test de penetración, hecha de cualquier manera sin rascar más que la superficie.
Por supuesto, eso es lo que hacen «Equipos Rojos» no demasiado profesionales, pero por desgracia no es raro encontrárselo.
Del mismo modo, muchos «Equipos Azules» apenas se plantean usar inteligencia de fuentes abiertas en sus labores de defensa.
Tratando de cerrar puertos, corregir vulnerabilidades y escanear sistemas, no se preocupan demasiado de qué puertas, técnicas o no, puede abrir un adversario con el uso de OSINT. O de qué información se está filtrando sin querer de manera pública.
No se analizan huellas digitales, ni se monitorizan posibles fugas o puntos débiles, especialmente de activos humanos relacionados con la plaza que defienden.
Hay que tener en cuenta que, a menos que nos encontremos ante un adversario muy motivado y con muchos recursos, la mayoría de ciberataques comenzarán o incluirán phishing en alguna de sus variantes (vishing, etc), o se iniciarán con operaciones HUMINT o de intrusión física.
La clave para el éxito de esos ataques es la misma que la de una defensa exitosa, haber realizado una buena labor de inteligencia previa.
Al fin y al cabo, el email genérico, masivo, con faltas de ortografía y un príncipe nigeriano en el remite no va a funcionar.
En ocasiones, la relación entre OSINT y ciberseguridad es a veces es como tener la cabeza nuclear ahí mismo e ignorarla.
El problema de la recogida de información sin análisis de inteligencia
El otro gran reto de la ciberseguridad con OSINT es que (de nuevo en aquellos que no se toman en serio la importancia) se hace una labor de recogida de información, muchas veces exhaustiva, pero no se le aplica un análisis de inteligencia.
Así que tienes un montón de datos que luego no usas para nada, ni tampoco parecen muy útiles, por la sencilla razón de que no se han convertido los datos en conocimiento, que es lo que hace ese análisis de inteligencia.
De esta manera, las piezas están sobre la mesa, pero no se ve la imagen del rompecabezas.
Por ejemplo y por poner un caso habitual en el mundo real. Dentro de un contexto de test de penetación (o de ataque real) se ha recogido información sobre el equipo de una empresa, a fin de conocer nombres y correos a los que dirigir los ataques de phishing.
Sin un análisis de inteligencia, no sabremos cuál de todos ellos es realmente el mejor vector de intrusión, ni tampoco cómo afilar la lanza del spear phishing para que se clave en el objetivo, abra el correo y haga clic donde queremos. Muchas veces, la primera impresión sobre posibles objetivos no es la que parece y hay que ir más allá de la superficie.
El reto dentro de la ciberseguridad es que, para esto, son necesarias habilidades de inteligencia que van más allá de las técnicas: psicología, empatía, pensamiento crítico, análisis de hipótesis, ser capaces de evitar sesgos cognitivos… Muchas veces, estamos tan enamorados de las máquinas y nos sentimos tan cómodos con ellas, que obviamos a las personas cuando son el principal vector de ataque.
Con esto, no se quiere denostar el enfoque técnico de la ciberseguridad, al contrario. Las cosas como son, sin él, no vas a llegar lejos.
La cuestión es que ese conocimiento técnico se puede estrellar contra un muro de hormigón o, gracias a la inteligencia de fuentes abiertas, puede apuntar su rayo de la muerte a la grieta de la fortaleza.
Pero primero hay que localizar la grieta.
Es por esto que resulta fundamental que, dentro del Equipo Rojo o Azul haya expertos en OSINT, que vayan más allá de lanzar herramientas automatizadas de recogida de información, sino que la transformen en conocimiento e informen, no solo en la fase inicial, sino durante todo el proceso de ataque o defensa.
