Antes de centrarme en la ciberinteligencia, es importante observar que, en un mundo hiperconectado digitalmente, las infraestructuras críticas se han convertido en un objetivo muy atractivo para las organizaciones del cibercrimen trasnacional por diferentes motivos que van desde un beneficio económico hasta sabotaje de gobiernos. El caso del troyano BlackEnergy, el 23 de diciembre de 2015, cuando dejó sin electricidad a una región de Ucrania llamada Ivano-Frankivsk durante varias horas, es un claro ejemplo de cómo la orquestación de este tipo de ataques viene efectuándose desde hace tiempo en todo el mundo y el alto impacto que puede llegar a ocasionar.
Esto representa un desafío mundial para todas las organizaciones bajo este concepto de infraestructura crítica y da paso a explorar cómo las estrategias de ciberseguridad que se vienen utilizando no son suficientes para garantizar su normal funcionamiento. Frente a esto, la ciberinteligencia surge como una nueva estrategia frente a la ciberseguridad, donde suele mantenerse un enfoque reactivo. Con este nuevo frente de acción, las actividades proactivas son claves para proteger las infraestructuras críticas.
¿Qué es la ciberinteligencia?
La ciberinteligencia es una disciplina crucial de la ciberseguridad que busca anticiparse a las amenazas cibernéticas mediante un proceso de inteligencia centrado en la recolección, análisis y aplicación de la información para toma de decisiones que permitan anticipar, detectar y responder de una manera más efectiva a los ciberataques que puedan llegar a impactar a una organización.
Podemos clasificar la ciberinteligencia en tres categorías de acuerdo con la fuente de información, el objetivo del análisis y el tipo de amenaza, entre otros factores. Estas categorías incluyen aspectos estratégicos, operativos y tácticos que son aplicables a cualquier organización. Uno de los procesos clave es la recolección de datos que pasarán a ser procesados para tomar decisiones en la organización. Algunas de las fuentes disponibles son:
- Feeds de inteligencia. Proporcionan información sobre nuevas vulnerabilidades, malware que está siendo utilizado en campañas en todo el mundo junto con las técnicas de ataque y los hallazgos de investigaciones que han sido desarrolladas.
- Logs. En las infraestructuras modernas compuestas por múltiples sistemas de seguridad como firewalls, IDS y SIEM, los registros obtenidos por las diferentes soluciones contienen datos valiosos que pueden permitir la identificación de patrones de ataque e identificar posibles amenazas.
- Intercambio de información. Las comunidades de seguridad dedicadas a compartir información acerca de tendencias, ataques, indicadores de compromiso y técnicas de mitigación permiten fortalecer la capacidad defensiva contra las amenazas comunes que se encuentran en el ciberespacio.
La ciberinteligencia sigue un ciclo estructurado que implica las siguientes etapas:
- Planificación. Se establecen los objetivos y se determina la información relevante para la organización, así como las fuentes de información y los recursos necesarios para el proceso.
- Recolección. Valiéndose de múltiples fuentes, los analistas inician un proceso que busca alimentar las bases de conocimientos frente al contexto operativo de la organización.
- Análisis y evaluación. Se busca identificar patrones, relaciones o tendencias que sean útiles. Aquí se aplicarán técnicas de análisis estadístico o cualquier metodología que permitan, además, evaluar la calidad y fiabilidad de los datos.
- Producción de inteligencia. Esta es la fase con mayor relevancia debido a que es en este punto donde se genera un producto que permita entender de manera clara y concisa cómo debe orientarse la toma de decisiones basada en todo el ciclo de inteligencia.
- Presentación. Finalmente, las partes interesadas reciben un informe que les permitirá tomar las decisiones necesarias para contribuir a la defensa activa de la organización.
¿Qué beneficios aporta?
Uno de los beneficios significativos de la ciberinteligencia es el fortalecimiento de la postura de seguridad frente a las amenazas cibernéticas a las que están expuestas las infraestructuras críticas mediante un nuevo punto de vista de la seguridad al converger la ciberinteligencia con la estrategia de ciberseguridad. Además, una protección continua adicional contra las amenazas persistentes avanzadas (APT, por sus siglas en inglés) es indispensable para obtener cierto grado de ventaja contra posibles ciberataques.
Al integrar la ciberinteligencia a la estrategia de ciberseguridad, las organizaciones pueden anticiparse a las amenazas, entender las tácticas, técnicas y procedimientos de los adversarios y tomar acciones para implementar controles que disminuyan la probabilidad de un incidente y el impacto que este pueda representar en caso de materializarse.
Con la ciberinteligencia es posible fortalecer la defensa de la cadena de suministro. Dado que las infraestructuras críticas dependen de una amplia red de proveedores, se vuelven vulnerables a los ataques dirigidos a través de terceros. La ciberinteligencia permite identificar y evaluar los riesgos asociados con los proveedores, analizando su postura de seguridad, detectando posibles amenazas y garantizando la adopción de medidas adecuadas para mitigar esos riesgos. De esta manera, las organizaciones pueden proteger su cadena de suministro y evitar brechas de seguridad originadas por actores maliciosos infiltrados a través de socios externos.
Desafíos modernos
El punto de partida para afrontar las amenazas modernas es aceptar que no existe una solución mágica que garantice la seguridad total de una infraestructura tecnológica. Los actores de amenaza evolucionan constantemente y son capaces de integrar a sus operaciones nuevas herramientas que pueden llegar a ser muy sigilosas. Por este motivo, es necesario que existan componentes en las estrategias de ciberseguridad que aborden integralmente toda la organización. Algunas estrategias que pueden ser útiles:
- Monitoreo proactivo. Seleccionar una herramienta que permita monitorear activamente las superficies de ataque para detectar anomalías o patrones puede permitir la detección temprana de un incidente y adoptar medidas para contenerlos antes de que impacten con un daño significativo.
- Respuesta a incidentes. No sólo es diseñar el documento, sino implementarlo y ponerlo a prueba con ejercicios, como los del Red Team, para que la organización tenga una visión más realista del nivel de preparación y eficiencia de los componentes asociados al documento.
- Formación especializada. Este es un componente que siempre será indispensable en las organizaciones para que entiendan realmente cómo funcionan los procesos asociados a la ciberinteligencia y cuál es el camino más óptimo para su implementación.
- Análisis de tendencias. Teniendo en cuenta el contexto de la organización (sector o industria), es posible direccionar las investigaciones de tendencias de ataques para hacer un constante seguimiento a los movimientos de los actores de amenaza.
Finalmente, es importante hacer un llamado a todas las organizaciones para promover la implementación de estrategias basadas en ciberinteligencia con el objetivo de fortalecer las infraestructuras críticas y garantizar una resiliencia en el panorama digital que actualmente vemos continuamente afectado por los actores de amenaza. Es necesario destinar recursos humanos, tecnológicos y económicos para afrontar, de manera correcta, los desafíos actuales y futuros que la guerra cibernética presenta para una sociedad digitalmente conectada.