OPINIÓN

Carlos Blanco Torres, Jefe de la Unidad de Inteligencia de Eulen Seguridad

Potenciando la dimensión proactiva de la ciberinteligencia

La ciberinteligencia consiste, en esencia, en la aplicación de las técnicas y métodos tradicionales del ámbito de la inteligencia en un contexto diferente al que las vio nacer. De este modo, y dado que la inteligencia es un campo de estudio multidisciplinar, los procesos de transformación de las empresas han provocado que muchas de las nuevas amenazas asociadas a estos desarrollos hayan dado como resultado la necesidad de adecuación de las tareas de inteligencia a una realidad de tecnología conectada.

En esta línea, la ciberinteligencia se concibe como un subgrupo dentro de la inteligencia, que engloba todo lo que tiene que ver con la aplicación de técnicas específicas para la conversión de información en conocimiento.

Por tanto, en primera instancia, la ciberinteligencia se ocupa de detectar y comunicar cualquier evento de interés mediante la monitorización de información pertinente –hasta aquí exactamente igual que la inteligencia tradicional– en amenazas cibernéticas que puedan pasar desapercibidas para un actor dado y estén relacionadas con sus sistemas informáticos. Sin embargo, esta tarea básica no explota el potencial completo de las personas que la llevan a cabo.

Capacidad del analista 

En ciberinteligencia, a pesar del uso de herramientas avanzadas, sigue siendo vital maximizar las capacidades que ofrece el personal experto adscrito a una unidad o servicio dados. Este hecho es importante porque la mera monitorización de espacios de interés para la detección de amenazas no es suficiente para garantizar que se está haciendo todo lo posible por defender la seguridad de nuestros clientes. Además, la inteligencia/ciberinteligencia sigue teniendo mucho de 'arte', de oficio aprendido mediante la práctica y potenciado a través de habilidades como la creatividad o el pensamiento lateral.

Dentro de estas habilidades no técnicas, que no pueden adquirirse mediante la formación de los analistas –aunque sí potenciarse– se encuentra la proactividad. Asegurado este enfoque en la forma de encarar las tareas de ciberinteligencia, se asegura a su vez que el propio servicio dé un paso adelante en cuanto a calidad y profundidad. Los analistas de ciberinteligencia, si de verdad son analistas, no deben circunscribir su campo de acción a la revisión de resultados producidos por sistemas automáticos de monitorización y detección.

eulen seguridad inteliencia
Es necesario tratar la ciberinteligencia como una actividad que, a pesar de su dependencia evidente de la tecnología, es fundamentalmente humana. Imagen: Giles Turnbull.

Es cierto que determinados servicios no proporcionan un espacio amplio de involucración para las personas, aspecto que además puede ser incluso desaconsejable en términos de rentabilidad, y cuyo cumplimiento puede enfocarse desde el ámbito puramente tecnológico. Sin embargo, una vez dado el paso de confiar en las capacidades de la ciberinteligencia, ¿por qué no aprovechar toda su potencia?

Si asumimos que el orden 'normal' de las tareas de ciberinteligencia consiste en monitorización-detección-análisis-reporte, se revela que el impulso de las personas debe aplicarse sobre las dos últimas, y especialmente sobre el análisis. Por supuesto, el trabajo de expertos en el diseño de herramientas, la parametrización de las mismas y la evaluación/mejora de sistemas de búsqueda es de máxima importancia, pero podría considerarse que esas actividades son paralelas a las del tratamiento de la información.

Análisis de ciberinteligencia

En cuanto al análisis en ciberinteligencia, un primer nivel de actuación proactiva consiste en discernir los pasos, fases, procesos, etc., que un atacante en la Red debe desarrollar para intentar interceptar/detener su actividad. Este enfoque es un avance frente a la tendencia clásica puramente reactiva. Sin embargo, como objetivo o meta, el analista debería encontrase en posición de poder combinar el conocimiento sobre eventos pasados con el que se centra en las acciones que nuestros adversarios podrían realizar potencialmente, basado en inteligencia sobre sus capacidades e intenciones y los posibles objetivos de las mismas (¿robo de información, ataque al sistema, otro?). La decisión de llevar a cabo una operación maliciosa, el planeamiento que necesita y las acciones necesarias para crear/obtener las capacidades y una ventana de acceso, son elementos que necesitan de un tiempo considerable para ver la luz.

Ese estado mental solo puede alcanzarse mediante la complicidad de la dirección, que permitirá a los analistas desarrollar todas sus capacidades y no verse envueltos en una rutina de trabajo, marcada por la revisión de eventos detectados automáticamente, que acabe provocando el pernicioso 'efecto túnel' –lo que no ha sido detectado no existe– y el análisis sesgado de la realidad. Otro punto de mejora habitual en lo que toca a la actitud de la dirección es la de ofrecer un retorno sobre la pertinencia, contenidos y formatos de los análisis que consume, elemento vital para que los analistas puedan enfocarse sobre las necesidades reales que han de satisfacerse.

Para acceder al contenido completo pincha aquí

Palabras clave:

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual