La calidad de la inteligencia depende de su oportunidad, relevancia y precisión, y se evalúa mediante niveles de confianza. Las fuentes de datos se dividen en abiertas (OSINT), como registros de Internet y redes sociales, y cerradas, como los datos de la red interna de una organización, que son inherentemente las más relevantes. El intercambio efectivo de esta inteligencia es fundamental y se facilita a través de comunidades como los Centros de Análisis e Intercambio de Información (ISAC) y estándares estructurados como STIX, transportados a través de protocolos como TAXII. Todo el proceso se rige por el Ciclo de Inteligencia, un método continuo de cinco fases (Requisitos, Recopilación, Análisis, Difusión y Retroalimentación) que transforma los datos brutos en inteligencia procesable.
1. Definición y Fundamentos de la Inteligencia de Amenazas
La inteligencia de amenazas se define como el conocimiento que permite a los defensores obtener una mejor comprensión de sus entornos operativos al contextualizar los datos sobre actores maliciosos y sus comportamientos. Sergio Caltagirone, coautor de "The Diamond Model of Intrusion Analysis", la define como "conocimiento e información procesable sobre los adversarios y sus actividades maliciosas que permite a los defensores y a sus organizaciones reducir el daño a través de una mejor toma de decisiones de seguridad".
Un programa de inteligencia de amenazas eficaz ofrece múltiples beneficios:
- Toma de decisiones con confianza: Proporciona una imagen clara de la actividad en la red.
- Mejora del tiempo de respuesta: Permite a los operadores actuar con mayor agilidad.
- Reducción del tiempo de recuperación: Minimiza el impacto en caso de un incidente.
- Defensa proactiva: Dificulta que los adversarios establezcan una presencia en la red.
1.1. Disciplinas de Inteligencia Tradicional
La inteligencia de ciberamenazas se inspira en las disciplinas de inteligencia tradicionales, que se clasifican según el origen de la información.
Disciplina | Descripción |
SIGINT | La inteligencia de señales (Signals Intelligence) se obtiene a través de la interceptación de comunicaciones y transmisiones electrónicas o de instrumentación. |
HUMINT | La inteligencia humana (Human Intelligence) se deriva de fuentes humanas a través de métodos abiertos, encubiertos o clandestinos. |
OSINT | La inteligencia de fuentes abiertas (Open Source Intelligence) es la recopilación y análisis de información públicamente disponible en formato impreso o electrónico. |
MASINT | La inteligencia de medición y signatura (Measurement and Signature Intelligence) se deriva de datos distintos a las imágenes y a SIGINT. |
GEOINT | La inteligencia geoespacial (Geospatial Intelligence) es el análisis de imágenes y datos geoespaciales relativos a actividades de seguridad en la Tierra. |
All Source | Esta inteligencia se deriva de todas las fuentes disponibles sobre un sujeto o tema. |
2. Clasificación de Amenazas y Actores
Para responder eficazmente a un incidente, es crucial primero establecer una línea base de lo que constituye un comportamiento "normal" en el sistema. Sin esta comparación, la detección de actividades maliciosas se vuelve extremadamente difícil.
2.1. Tipos de Amenazas
- Amenazas Conocidas vs. Desconocidas:
- Sistemas basados en firmas: Dependen del conocimiento previo de una amenaza y comparan la actividad con una base de datos de malware conocido. Son eficaces contra amenazas existentes pero ineficaces contra variantes nuevas o no observadas.
- Sistemas basados en anomalías/heurísticos: Analizan el comportamiento de un ejecutable (comandos, escritura de archivos, intentos de ocultación) en lugar de su apariencia. A menudo utilizan entornos "sandbox" para observar la actividad en un entorno virtual aislado.
- Día Cero (Zero-Day):
- Vulnerabilidad de Día Cero: Es un fallo en un software del que el proveedor no tiene conocimiento y para el cual no existe un parche.
- Exploit de Día Cero: Es el código escrito para aprovechar una vulnerabilidad de día cero. Estos exploits son muy valiosos, lo que ha dado lugar a la aparición de mercados negros para su compraventa y, en contrapartida, a programas de recompensas por errores (bug bounties) ofrecidos por los proveedores.
2.2. Perfiles de Actores de Amenazas
Los actores de amenazas se pueden categorizar por su sofisticación, motivación e intención. Estas clasificaciones no son mutuamente excluyentes.
- Amenazas Persistentes Avanzadas (APT):
- Definición: Esfuerzos de hacking sigilosos y continuos, a menudo coordinados por una organización o gobierno con recursos significativos. Su objetivo es obtener y mantener acceso persistente sin ser detectados.
- Características:
- Avanzadas: Operadores bien equipados, con formación formal, financiación significativa y un alto grado de coordinación.
- Persistentes: Se centran en objetivos específicos, ignorando blancos de oportunidad, y demuestran consistencia y persistencia.
- Amenaza: Son la implementación técnica de un plan político o militar, coordinados por humanos con un objetivo específico.
- Hacktivistas:
- Motivación: Promover una causa o llamar la atención sobre un problema.
- Métodos: Suelen utilizar herramientas de fácil acceso y la participación masiva. Las tácticas comunes incluyen ataques de denegación de servicio (DoS) y desfiguración de sitios web (defacement). Rara vez operan con sigilo, buscando notoriedad para su causa.
- Crimen Organizado:
- Motivación: Principalmente el lucro financiero.
- Métodos: Robo de propiedad intelectual o datos personales para su venta. Las técnicas incluyen el uso de ransomware, cryptojacking y exfiltración masiva de datos. La popularidad de las criptomonedas ha facilitado el lavado de dinero.
- Estados-Nación:
- Capacidades: Se encuentran entre los adversarios más sofisticados, con infraestructura dedicada, recursos de formación y apoyo operativo. Sus actividades suelen tener una fuerte influencia gubernamental o militar.
- Tácticas: Utilizan una planificación y coordinación extensas, herramientas avanzadas (incluidos exploits de día cero) y técnicas de ofuscación. Pueden emplear tácticas de "falsa bandera" para atribuir falsamente sus acciones a otros actores.
- Script Kiddies:
- Descripción: Hackers inexpertos o novatos con habilidades mínimas que utilizan código de exploit o herramientas con interfaz gráfica desarrolladas por otros, sin comprender su funcionamiento interno. Sus ataques suelen ser fáciles de defender.
- Amenazas Internas:
- Riesgo: Representan un riesgo particularmente alto debido a su acceso privilegiado a los recursos internos, lo que hace ineficaces las defensas perimetrales tradicionales.
- Tipos:
- Intencionales: Empleados, contratistas o socios que actúan maliciosamente para obtener ganancias financieras, por venganza o ambos. Pueden robar datos lentamente para evitar ser detectados o sabotear deliberadamente los sistemas.
- No Intencionales: Empleados que causan incidentes de seguridad debido a la falta de formación, negligencia o error humano. Estas acciones pueden ser tan dañinas como las intencionales.
- Amenazas en la Cadena de Suministro:
- Origen: Proveedores de hardware, software u otros suministros de una organización. Una amenaza puede introducirse en cualquier punto de la cadena y ser transmitida inadvertidamente a los clientes. Un ejemplo sería un chip con capacidades de espionaje integrado en un equipo de hardware.
2.3. Malware de Mercancía (Commodity Malware)
Incluye cualquier software malicioso generalizado que se vende a actores de amenazas, a menudo en comunidades clandestinas. Esto ha dado lugar al fenómeno del Malware como Servicio (MaaS), donde el malware se diseña, construye y vende a los clientes según sus especificaciones, a menudo como un servicio de suscripción basado en la nube.
3. Características y Fuentes de Inteligencia
No existe una solución única para la inteligencia de amenazas. Las organizaciones deben priorizar los datos más relevantes para su entorno específico para evitar el ruido inmanejable.
3.1. Atributos de la Inteligencia de Calidad
- Oportunidad (Timeliness): La inteligencia debe entregarse a tiempo para ser útil a los responsables de la toma de decisiones. Su valor es temporal y puede ser útil en un momento y completamente inútil en otro.
- Relevancia (Relevancy): La inteligencia debe ser pertinente para la organización y la audiencia a la que se dirige. La información irrelevante es costosa en términos de tiempo y recursos. Los datos de la red interna son invariablemente la fuente más relevante.
- Precisión (Accuracy): La información debe ser fácticamente correcta para permitir conclusiones fiables. Los analistas deben esforzarse por limitar el sesgo en su proceso de análisis.
3.2. Niveles de Confianza
Los proveedores de inteligencia utilizan un lenguaje estimativo para comunicar las evaluaciones, reconociendo que la información puede ser incompleta.
- Confianza Alta: El juicio se basa en información de alta calidad, aunque no debe interpretarse como un hecho probado.
- Confianza Moderada: La información es plausible y de fuentes creíbles, pero carece de corroboración suficiente para un nivel de confianza más alto.
- Confianza Baja: La información es cuestionable, implausible, fragmentada o mal corroborada.
A esto se suma una calificación de confianza, que es una clasificación de cuán seguros estamos de que una calificación de amenaza es precisa.
Tipo de Amenaza | Calificación de Confianza |
Desconocida | 0 |
Desacreditada | 1 |
Improbable | 2–29 |
Dudosa | 30–49 |
Posible | 50–69 |
Probable | 70–89 |
Confirmada | 90–100 |
3.3. Métodos y Fuentes de Recopilación
Fuentes Abiertas (OSINT)
OSINT es información gratuita recopilada de fuentes públicas. Es preferible para los adversarios, ya que les permite obtener información sin interactuar directamente con el objetivo, minimizando las huellas digitales.
- Google: El uso de operadores de búsqueda avanzados (conocido como "Google hacking") puede revelar sistemas vulnerables y configuraciones incorrectas.
Operador | Restringe los resultados a | Ejemplo |
| El dominio o sitio especificado |
|
| Que tengan el texto especificado en la URL |
|
| El tipo de archivo indicado |
|
| Páginas con el texto indicado en su título |
|
| Páginas que contienen un enlace al sitio o URL indicado |
|
| Las últimas copias cacheadas de los resultados |
|
- Registros de Internet:
- Registros Regionales de Internet (RIR): Las cinco corporaciones que gestionan la asignación de direcciones IP a nivel mundial (ARIN, RIPE NCC, etc.).
- DNS y WHOIS: El Sistema de Nombres de Dominio (DNS) asocia nombres de dominio con direcciones IP. Herramientas como
nslookupyWHOISpueden revelar información técnica y de contacto sobre un dominio, aunque algunos registradores ofrecen servicios de registro privado.
- Sitios de Empleo: Las ofertas de trabajo pueden revelar las tecnologías (por ejemplo, marcas de firewalls) que utiliza una empresa, proporcionando pistas sobre su infraestructura de red.
- Redes Sociales: Plataformas como Twitter y Reddit pueden ser fuentes de indicadores durante eventos de alto impacto. También permiten la creación de perfiles de redes sociales para ataques de ingeniería social.
- Otras fuentes: Boletines gubernamentales, equipos de respuesta a incidentes (CERT/CSIRT) y la web profunda/oscura (Deep/Dark Web).
Fuentes Cerradas
Son datos recopilados de forma encubierta o a través de acceso privilegiado. Suelen ser de mayor calidad y son cruciales para corroborar los hallazgos de OSINT.
- Red Interna: La fuente de datos de amenazas más relevante para una organización. Incluye registros de eventos de firewalls, DNS, VPN y sistemas de autenticación.
- Datos Clasificados: Información cuya divulgación no autorizada podría dañar la seguridad nacional. Su manejo está restringido a personal con la autorización de seguridad adecuada.
- Suscripciones de Inteligencia de Amenazas: Feeds comerciales de pago que suelen estar seleccionados, ser más detallados y personalizados para las necesidades de una industria específica.
- Protocolo de Semáforo (Traffic Light Protocol - TLP): Un conjunto de designaciones codificadas por colores para guiar el intercambio responsable de información sensible.
Color | Cuándo debe usarse | Cómo puede compartirse |
TLP:RED | Cuando la información no puede ser procesada por partes adicionales y podría impactar la privacidad, reputación u operaciones si se utiliza indebidamente. | Los destinatarios no pueden compartir la información fuera del intercambio original. La información TLP:RED está limitada a los presentes en la reunión. |
TLP:AMBER | Cuando la información requiere apoyo para ser procesada eficazmente, pero conlleva riesgos si se comparte fuera de las organizaciones involucradas. | Los destinatarios pueden compartir la información con miembros de su propia organización, así como con clientes que necesiten conocerla para protegerse. |
TLP:GREEN | Cuando la información es útil para la concienciación de todas las organizaciones participantes, así como de sus pares dentro de la comunidad o sector más amplio. | Los destinatarios pueden compartir la información con pares y organizaciones asociadas dentro de su sector o comunidad, pero no a través de canales públicamente accesibles. |
TLP:WHITE | Cuando la información conlleva un riesgo mínimo o no previsible de uso indebido, de acuerdo con las normas y procedimientos aplicables para su divulgación pública. | La información puede distribuirse sin restricciones, sujeta a las normas estándar de derechos de autor. |
4. Estándares e Intercambio de Inteligencia
Para un intercambio eficaz, se requiere una estructura formalizada y formatos comúnmente entendidos.
4.1. Comunidades de Intercambio
- Centros de Análisis e Intercambio de Información (ISAC): Organismos específicos de la industria que facilitan el intercambio de información sobre amenazas y mejores prácticas relevantes para la infraestructura común de ese sector.
- Organizaciones de Análisis e Intercambio de Información (ISAO): Similares a los ISAC pero no están alineados con una industria específica. Son organizaciones voluntarias, transparentes e inclusivas.
ISAC | Descripción |
Automotriz (Auto-ISAC) | Mecanismo principal para que los fabricantes de automóviles compartan información sobre amenazas y vulnerabilidades relacionadas con vehículos conectados. |
Aviación (A-ISAC) | Trabaja con empresas de aviación privadas para garantizar la resiliencia de la red global de transporte aéreo. |
Comunicaciones (NCC) | Facilita el intercambio de información sobre vulnerabilidades entre operadores de comunicaciones, ISP, proveedores de satélites y otros. |
Electricidad (E-ISAC) | Establece la concienciación sobre incidentes y amenazas relevantes para el sector eléctrico. |
Infraestructura Electoral (EI-ISAC) | Permite a los organismos electorales, desde municipios locales hasta el gobierno federal, asegurar la seguridad e integridad de las elecciones. |
Servicios Financieros (FS-ISAC) | Apoya la resiliencia y continuidad de la infraestructura de servicios financieros globales. |
Salud (H-ISAC) | Existe para mantener la continuidad del sector salud contra amenazas físicas y cibernéticas. |
Tecnología de la Información (IT-ISAC) | Proporciona un foro para que los miembros del sector de TI compartan indicadores de alto volumen relacionados con su sector. |
Multiestatal (MS-ISAC) | Proporciona recursos para el intercambio de información para los gobiernos estatales, locales, tribales y territoriales. |
4.2. Formatos Estructurados y Protocolos
- STIX (Structured Threat Information Expression): Un léxico estandarizado para comunicar inteligencia de ciberamenazas (CTI). Utiliza un marco de Objetos de Dominio STIX (SDO) para representar entidades (p. ej.,
Threat Actor,Malware,Campaign) y Objetos de Relación STIX (SRO) para conectarlos. El objetivo es permitir intercambios flexibles y legibles tanto por humanos como por máquinas (generalmente en formato JSON). - TAXII (Trusted Automated Exchange of Intelligence Information): Un protocolo que define cómo se puede compartir la información de amenazas. Está diseñado para soportar el intercambio de datos STIX, especificando la API para el intercambio. La versión 2.1 utiliza dos servicios principales: Colecciones (un almacén lógico de objetos) y Canales (una vía para que los clientes se suscriban a los datos publicados).
- OpenIOC: Un marco de trabajo diseñado por Mandiant para organizar los Indicadores de Compromiso (IoC) y las Tácticas, Técnicas y Procedimientos (TTP) de un atacante en un formato legible por máquina. Su estructura consta de metadatos, referencias y una definición lógica (a menudo booleana).
- MISP y OpenCTI: Dos plataformas de código abierto utilizadas para compartir, analizar, correlacionar y visualizar datos de inteligencia de amenazas.
5. El Ciclo de la Inteligencia
Es un proceso central de cinco pasos utilizado para transformar señales brutas en inteligencia terminada para la toma de decisiones. El ciclo es continuo y no requiere un conocimiento perfecto de una fase para comenzar la siguiente.
- Requisitos: Identificar y priorizar las incertidumbres sobre el entorno operativo que el equipo de seguridad debe resolver. Esta fase implica la planificación y dirección del esfuerzo de inteligencia.
- Recopilación: Ejecutar el plan definido y recopilar datos para llenar las lagunas de inteligencia. En un entorno empresarial, esto a menudo implica la instrumentación de métodos de recolección técnica, como la configuración de un tap de red o la habilitación de registros mejorados.
- Análisis: Dar sentido a los datos recopilados añadiendo contexto sobre el entorno operativo. El producto de esta fase es inteligencia procesable y terminada. Los analistas utilizan técnicas analíticas estructuradas para mitigar sesgos y gestionar la incertidumbre.
- Difusión: Distribuir la inteligencia solicitada al cliente en el formato acordado. La inteligencia siempre debe ser procesable, es decir, debe proporcionar un camino claro para el cliente.
- Retroalimentación (Feedback): Solicitar explícitamente la opinión de los consumidores para mejorar las actividades y alinear mejor los productos con sus necesidades cambiantes. Esta fase también permite a los analistas revisar su propio rendimiento.
No hay comentarios:
Publicar un comentario