Breaking

13/1/17

CYBERINTELIGENCIA y CIBERANALISTAS El Desafío @uliman73

By Lic. Ulises León Kandiko *
Ya en alguna oportunidad en este mismo sitio, publiqué sobre el tema de la llegada de la CYBINT o Cyberinteligencia, sus consecuencias y particularidades dentro del ámbito tanto de la Inteligencia (tanto la Estratégica Nacional, Militar como la Criminal) como de la Seguridad Pública.

Sin embargo, en términos generales hoy día sigue existiendo falta de información sobre lo que verdaderamente es la Ciberinteligencia y el uso que debe dársele. No es menos cierto que hay multiplicidad de recursos dando vueltas en forma de programas o plataformas, pero la CYBINT es mucho mas, a menudo vemos como se la emplea como una palabra rimbombante, algo de moda que sirve para las declaraciones políticas o empresariales, pero vacío de contenido.

Un primer paso en el sentido correcto para comprender la CYBINT es darse cuenta que las bases, es decir las tácticas, técnicas y procedimientos de inteligencia, así como algunas de sus operaciones, existían mucho antes que apareciese el cyberespacio. A menudo (mas de lo que debería) se tiene la idea que la inteligencia es ofensiva en su naturaleza cuando se la ve desde las perspectiva de las operaciones de espionaje y recolección, pero su propósito final esta arraigada a la defensa también.

En el articulo ya publicado titulado “Cyberinteligencia (CYBINT) Aquí y ahora” en este mismo portal, dijimos que mas allá de una definición para entender que es el CYBINT había que iniciar por definir que es la inteligencia, para lo cual referí a una publicación del Departamento de Defensa (DoD) de los Estados Unidos de Norteamérica, la "Publicación Conjunta (JP) 2-0 Joint Intelligence" que sirve como base para su comprensión y uso de la inteligencia. A partir de ese documento se pueden referir o tomar 3 elementos de información muy relevantes en el campo y uso de la CYBINT:

1. Definición de Inteligencia según el DoD: El producto resultante de la recopilación, procesamiento, integración, evaluación, análisis e interpretación de la información disponible sobre naciones extranjeras, fuerzas o elementos hostiles o potencialmente hostiles o áreas de operaciones reales o potenciales.

2. Las actividades que resultan en el producto.

3. Las organizaciones que participan en esas actividades.

Desde la perspectiva dispuesta por el DoD, se aprecia que considera a la inteligencia como un producto, las actividades en ese producto y las organizaciones que realizan las actividades. La mayoría de las organizaciones civiles y los usos de la inteligencia no incluirán los objetivos definidos por las naciones extranjeras. Una definición útil y más simplista para el uso general puede presentarse así: “La inteligencia es un producto y un proceso desde la recolección, procesamiento, análisis y uso de la información para satisfacer una meta identificada”.

Un elemento primordial es cerciorarse que los datos cumplan con algún objetivo o propósito definido y que no sea solo “inteligencia por inteligencia en si misma”.

El ciclo de la inteligencia es totalmente aplicable a la CYBINT. Éste (el ciclo) es un proceso virtuoso que se retroalimenta, podemos verlo como un proceso circular y repetido que se emplea para convertir datos, información en inteligencia útil para cumplir con una meta dada. El ciclo se configura en los siguientes pasos o etapas:

1. Planificación y dirección del esfuerzo de reunión - Esta etapa suele dividirse en 4 sub-etapas mas que son I) Orientación, II) Coordinación, III) Plan de Obtención (documento de trabajo que no se eleva o remite, que contiene los Elementos Esenciales de Información –EEI- y Otros Requerimientos de Información –ORI-) y IV) Supervisión de a ejecución de órdenes y solicitudes.

Para crear adecuadamente cualquier cantidad de inteligencia fuera de la información debe tener un objetivo definido y las intenciones. Esto podría ser algo tan simple como querer saber los servidores de comando y control de una parte de un malware para que pueda bloquearlo en su red a querer saber el tipo de sistemas de información que utiliza su objetivo para que pueda infiltrarlos. A medida que avanzas en el ciclo de inteligencia, puedes volver atrás y abordar los pasos de nuevo (como un ejemplo si obtienes nuevos datos que revelan algo que no sabías, una brecha de inteligencia, puedes definir un nuevo objetivo).

2. Recolección y obtención de información - Dónde y cómo adquirir los datos e información para procesar. Es la explotación sistemática de las fuentes de información por las agencias de inteligencia y la entrega de la información obtenida. Esta etapa se compone de 2 sub-etapas: I) Búsqueda (a través de la Orden de Obtención, y II) Reunión de información.

Esto puede ser honeypots, logs de Firewall, logs del sistema de detección de intrusiones, escaneos de Internet, etc. Se debe conocer la mayor cantidad de opciones de recolección disponibles mientras está en la fase de planificación y dirección para poder hacer metas razonables o necesidades de inteligencia.

3. Procesamiento de la información - es el más importante de los pasos, a cargo de los analistas, donde se transforma la información en inteligencia, el mismo consta de 3 sub-etapas: I) Registro, II) Evaluación y III) Análisis. Este es el paso en el cual se tomarán datos y se convertirán en un producto de inteligencia. Esto se hace a través del análisis y la interpretación y, por tanto, depende en gran medida del analista. Todos los informes producidos deben cumplir con una necesidad o objetivo definido de inteligencia de su fase de planificación y dirección.

4. Difusión - Esta se realiza a través de la documentación que se remite a todos los niveles, superiores y subalternos respectivamente, así como entre integrantes del Sistema en forma horizontal, lo que puede concretarse en algunos de los siguientes documentos: Informe de Inteligencia / Informe Especial de Inteligencia / Informe Periódico de Inteligencia (Diario, semanal, mensual, trimestral, etc.) / Apreciación de inteligencia / Estudio de Inteligencia / Parte de Información. En definitiva es proporcionar al usuario final el producto terminado, si estos no pueden acceder al documento final, entonces el proceso es inútil y no cumple con su meta. Este último paso es el que da lugar a la “retroalimentación del ciclo”.

Recopilando todo lo que se expuso hasta ahora vemos que dentro de la disciplina de la inteligencia se depende en gran medida del analista y de su interpretación de los datos. Tratando este tema, no solo el de la inteligencia ó la CYBINT ö cualesquiera de los últimos artículos que publiqué sobre TIC´s sobre Seguridad Pública o Inteligencia, vemos que el factor humano siempre es el mas determinante, así que aprovecharé para ver o tratar el tema del Analista de Cyberinteligencia un poco mas en detalle.

Pese al uso de Tecnologías, Plataformas y demás, no hay un conjunto de estándares para el producto de inteligencia, es decir el análisis en si, ya que la redacción técnica es definitivamente una habilidad humana que necesita ser desarrollada adecuadamente; a que punto, a tal que de dicho análisis o inteligencia satisfaga el objetivo original o impuesto en el Plan.

Esta redacción técnica tiene varios métodos y formas, en un informe de inteligencia estándar puede arrancarse con un BLUF (Bottom Line Up Front), que no es otra cosa mas que un resumen corto para el lector que solo dispone de escasos segundos para interiorizarse del tema, a continuación los productos de inteligencia deben contener los detalles importantes de la información evaluada y claro esta el valor agregado que surge de las consideraciones del analista.

Lo que el analista expone como su entender debe estar claramente separado de los hechos presentados, es difícil que el analista no se involucre en el tema y pierda perspectiva, como así también no es fácil la tentación de usar datos no debidamente estudiados pero que convalidan la primera impresión del analista. Al final del día, es el análisis del analista en cyberinteligencia lo más importante. El analista es la persona experta en el tema y las decisiones de importancia suelen derivarse de los productos de inteligencia.

Como logramos tener los mejores analistas? Las técnicas de redacción de informes son un buen puntapié incial, conocer técnicas de comunicación y análisis, pero al final del día, como a un buen vino es solo con el tiempo que se logra ser un buen analista.

Ciertamente sucede que la habilidad de poder analizar suele ser mas una forma de arte que estar ligada a una ciencia dura; sin embargo hay varias formas no tan ligadas al arte, por ejemplo convertirse en experto en un tema o área de trabajo.

Algunos analistas pueden creer que esa artesanía de la inteligencia es algo borroso y que las personas sin habilidades técnicas todavía pueden ser expertos, todo lo contrario ocurre en el mundo de la CYBINT, una CYBINT correctamente llevada a cabo debe ser el campo mas técnicamente exigente, un buen analista de CYBINT debe ser capaz de discernir entre lo es obviamente cierto de lo falso casi al instante que se le presenta la información.

Otra forma, mas allá de la redacción técnica, es la de apuntalar las habilidades de análisis a través del pensamiento crítico. Esto puede entenderse como que el analista de CYBINT en vez de solo pensar en cuál es la respuesta, ó en qué respuesta despuntó otro analista, se ponga a pensar en qué procesos y preguntas debe hacerse para llegar a la respuesta.

Esa respuesta a la que quiere llegarse no es ir tras un documento revelador, sino en el cómo lo hacen, por qué, qué quieren obtener, cómo se descubrió tal intrusión, cómo se puede descubrir la próxima, etc.

En realidad, no se puede creer que haya una única fuente de información, sino que el verdadero analista debe poder ser capaz de combinar múltiples fuentes de datos sin inconvenientes. La CYBINT encuadra en muchos campos o disciplinas y puede ayudar de múltiples formas al analista.

La capacidad de procesar grandes cantidades de datos y a la vez pensar críticamente se convierte en una habilidad invaluable para la práctica de Cyberinteligencia. Con este artículo, ni los predecesores o futuros pretendo cubrir en profundidad las herramientas o metodologías sino simplemente sentar las bases de hacia donde ir y que hacer, hablamos de herramientas pues bien pueden empezar por algunas como: Feeds RSS, Maltego, Zmap, Nmap, Proyecto HoneyPot, Wireshark, Cuckoo Sandbox, etc. 

Una vez que el analista transitó un camino y cuenta en su cuenta con saldo suficiente, es importante que comience a perfilarse en que subdisciplina de la cyberinteligencia va a desarrollar su carrera en profundidad. Eventualmente sucede que el analista tiende a irse al lugar donde mayor confort profesional y técnico tiene, lo que redundará en ser más competente en esa área. Algunas de las subdisciplinas que podemos encontrar son:

I) Operaciones de recolección de información.

II) Cyber-Contrainteligencia.

III) Inteligencia de amenazas

Como en casi todo, no hay nada nuevo que inventar, la rueda ya se inventó al igual que la pólvora, por lo que aquí escribo tampoco es nada nuevo, “no hay nada nuevo bajo el sol”. Por ello recomiendo tratar de leer de Richard J. Heuer Jr. “Psicología del Análisis de Inteligencia”, allí revela grandes datos y verdades, y habla y explica muy bien el concepto de pensar críticamente y dar así un análisis fuerte y consolidado. En el incorpora la psicología cognitiva, el análisis de decisiones y el método científico para ayudar a los analistas a llegar a un mejor producto.

Dejo ya sentado el desafío para avanzar en futuros artículos sobre las Subdisciplinas de la Cybertinteligencia. Tengan en mente que la verdadera revolución tecnológica no es el software ni el hardware que se desarrolle, sino la verdadera integración e interacción de estos con el hombre. 


*Licenciado en Seguridad, Egresado IUPFA, CSO., Analista, Especialista en Inteligencia, Seguridad Pública  y Defensa, Cyberterrorismo y Cyberamenazas. Actualmente es CEO de GS2 y brinda asesoramiento a Gobiernos Estaduales y Fuerzas de Seguridad.

CYBERINTELIGENCIA y CIBERANALISTAS El Desafío @uliman73
Ya en alguna oportunidad en este mismo sitio, publiqué sobre el tema de la llegada de la CYBINT o Cyberinteligencia, sus consecuencias y particularidades  dentro del ámbito tanto de la Inteligencia (tanto la Estratégica Nacional, Militar como la Criminal) como de la Seguridad Pública.
Sin embargo, en términos generales hoy día sigue existiendo falta de información sobre lo que verdaderamente es la Ciberinteligencia y el uso que debe dársele. No es menos cierto que hay multiplicidad de recursos dando vueltas en forma de programas o plataformas, pero la CYBINT es mucho mas, a menudo vemos como se la emplea como una palabra rimbombante, algo de moda que sirve para las declaraciones políticas o empresariales, pero vacío de contenido.
Un primer paso en el sentido correcto para comprender la CYBINT es darse cuenta que las bases, es decir las tácticas, técnicas y procedimientos de inteligencia, así como algunas de sus operaciones, existían mucho antes que apareciese el cyberespacio. A menudo (mas de lo que debería) se tiene la idea que la inteligencia es ofensiva en su naturaleza cuando se la ve desde las perspectiva de las operaciones de espionaje y recolección, pero su propósito final esta arraigada a la defensa también.
En el articulo ya publicado titulado Cyberinteligencia (CYBINT) Aquí y ahora en este mismo portal, dijimos que mas allá de una definición para entender que es el CYBINT había que iniciar por definir que es la inteligencia, para lo cual referí a una publicación del Departamento de Defensa (DoD) de los Estados Unidos de Norteamérica, la "Publicación Conjunta (JP) 2-0 Joint Intelligence" que sirve como base para su comprensión y uso de la inteligencia. A partir de ese documento se pueden referir o tomar 3 elementos de información muy relevantes en el campo y uso de la CYBINT:
  1. Definición de Inteligencia según el DoD: El producto resultante de la recopilación, procesamiento, integración, evaluación, análisis e interpretación de la información disponible sobre naciones extranjeras, fuerzas o elementos hostiles o potencialmente hostiles o áreas de operaciones reales o potenciales.
  2. Las actividades que resultan en el producto.
  3. Las organizaciones que participan en esas actividades.
Desde la perspectiva dispuesta por el DoD, se aprecia que considera a la inteligencia como un producto, las actividades en ese producto y las organizaciones que realizan las actividades. La mayoría de las organizaciones civiles y los usos de la inteligencia no incluirán los objetivos definidos por las naciones extranjeras. Una definición útil y más simplista para el uso general puede presentarse así: “La inteligencia es un producto y un proceso desde la recolección, procesamiento, análisis y uso de la información para satisfacer una meta identificada”.
Un elemento primordial es cerciorarse que los datos cumplan con algún objetivo o propósito definido y que no sea solo “inteligencia por inteligencia en si misma”.
El ciclo de la inteligencia es totalmente aplicable a la CYBINT. Éste (el ciclo) es un proceso virtuoso que se retroalimenta, podemos verlo como un proceso circular y repetido que se emplea para convertir datos, información en inteligencia útil para cumplir con una meta dada. El ciclo se configura en los siguientes pasos o etapas:
1. Planificación y dirección del esfuerzo de reunión - Esta etapa suele dividirse en 4 sub-etapas mas que son I) Orientación, II) Coordinación, III) Plan de Obtención (documento de trabajo que no se eleva o remite, que contiene los Elementos Esenciales de Información –EEI- y Otros Requerimientos de Información –ORI-) y IV) Supervisión de a ejecución de órdenes y solicitudes.
Para crear adecuadamente cualquier cantidad de inteligencia fuera de la información debe tener un objetivo definido y las intenciones. Esto podría ser algo tan simple como querer saber los servidores de comando y control de una parte de un malware para que pueda bloquearlo en su red a querer saber el tipo de sistemas de información que utiliza su objetivo para que pueda infiltrarlos. A medida que avanzas en el ciclo de inteligencia, puedes volver atrás y abordar los pasos de nuevo (como un ejemplo si obtienes nuevos datos que revelan algo que no sabías, una brecha de inteligencia, puedes definir un nuevo objetivo).
2. Recolección y obtención de información - Dónde y cómo adquirir los datos e información para procesar. Es la explotación sistemática de las fuentes de información por las agencias de inteligencia y la entrega de la información obtenida. Esta etapa se compone de 2 sub-etapas: I) Búsqueda (a través de la Orden de Obtención, y II) Reunión de información.
Esto puede ser honeypots, logs de Firewall, logs del sistema de detección de intrusiones, escaneos de Internet, etc. Se debe conocer la mayor cantidad de opciones de recolección disponibles mientras está en la fase de planificación y dirección para poder hacer metas razonables o necesidades de inteligencia.
3. Procesamiento de la información - es el más importante de los pasos, a cargo de los analistas, donde se transforma la información en inteligencia, el mismo consta de 3 sub-etapas: I) Registro, II) Evaluación y III) Análisis. Este es el paso en el cual se tomarán datos y se convertirán en un producto de inteligencia. Esto se hace a través del análisis y la interpretación y, por tanto, depende en gran medida del analista. Todos los informes producidos deben cumplir con una necesidad o objetivo definido de inteligencia de su fase de planificación y dirección.
4. Difusión -  Esta se realiza a través de la documentación que se remite a todos los niveles, superiores y subalternos respectivamente, así como entre integrantes del Sistema en forma horizontal, lo que puede concretarse en algunos de los siguientes documentos: Informe de Inteligencia / Informe Especial de Inteligencia / Informe Periódico de Inteligencia (Diario, semanal, mensual, trimestral, etc.) / Apreciación de inteligencia / Estudio de Inteligencia / Parte de Información. En definitiva es proporcionar al usuario final el producto terminado, si estos no pueden acceder al documento final, entonces el proceso es inútil y no cumple con su meta. Este último paso es el que da lugar a la “retroalimentación del ciclo”.
Recopilando todo lo que se expuso hasta ahora vemos que dentro de la disciplina de la inteligencia se depende en gran medida del analista y de su interpretación de los datos. Tratando este tema, no solo el de la inteligencia ó la CYBINT ö cualesquiera de los últimos artículos que publiqué sobre TIC´s sobre Seguridad Pública o Inteligencia, vemos que el factor humano siempre es el mas determinante, así que aprovecharé para ver o tratar el tema del Analista de Cyberinteligencia un poco mas en detalle.
Pese al uso de Tecnologías, Plataformas y demás, no hay un conjunto de estándares para el producto de inteligencia, es decir el análisis en si, ya que la redacción técnica es definitivamente una habilidad humana que necesita ser desarrollada adecuadamente; a que punto, a tal que de dicho análisis o inteligencia satisfaga el objetivo original o impuesto en el Plan.
Esta redacción técnica tiene varios métodos y formas, en un informe de inteligencia estándar puede arrancarse con un BLUF (Bottom Line Up Front), que no es otra cosa mas que un resumen corto para el lector que solo dispone de escasos segundos para interiorizarse del tema, a continuación los productos de inteligencia deben contener los detalles importantes de la información evaluada y claro esta el valor agregado que surge de las consideraciones del analista.
Lo que el analista expone como su entender debe estar claramente separado de los hechos presentados, es difícil que el analista no se involucre en el tema y pierda perspectiva, como así también no es fácil la tentación de usar datos no debidamente estudiados pero que convalidan la primera impresión del analista. Al final del día, es el análisis del analista en cyberinteligencia lo más importante. El analista es la persona experta en el tema y las decisiones de importancia suelen derivarse de los productos de inteligencia.
Como logramos tener los mejores analistas? Las técnicas de redacción de informes son un buen puntapié incial, conocer técnicas de comunicación y análisis, pero al final del día, como a un buen vino es solo con el tiempo que se logra ser un buen analista.
Ciertamente sucede que la habilidad de poder analizar suele ser mas una forma de arte que estar ligada a una ciencia dura; sin embargo hay varias formas no tan ligadas al arte, por ejemplo convertirse en experto en un tema o área de trabajo.
Algunos analistas pueden creer que esa artesanía de la inteligencia es algo borroso y que las personas sin habilidades técnicas todavía pueden ser expertos, todo lo contrario ocurre en el mundo de la CYBINT, una CYBINT correctamente llevada a cabo debe ser el campo mas técnicamente exigente, un buen analista de CYBINT debe ser capaz de discernir entre lo es obviamente cierto de lo falso casi al instante que se le presenta la información.
Otra forma, mas allá de la redacción técnica, es la de apuntalar las habilidades de análisis a través del pensamiento crítico. Esto puede entenderse como que el analista de CYBINT en vez de solo pensar en cuál es la respuesta, ó en qué respuesta despuntó otro analista, se ponga a pensar en qué procesos y preguntas debe hacerse para llegar a la respuesta.
Esa respuesta a la que quiere llegarse no es ir tras un documento revelador, sino en el cómo lo hacen, por qué, qué quieren obtener, cómo se descubrió tal intrusión, cómo se puede descubrir la próxima, etc.
En realidad, no se puede creer que haya una única fuente de información, sino que el verdadero analista debe poder ser capaz de combinar múltiples fuentes de datos sin inconvenientes. La CYBINT encuadra en muchos campos o disciplinas y puede ayudar de múltiples formas al analista.
La capacidad de procesar grandes cantidades de datos y a la vez pensar críticamente se convierte en una habilidad invaluable para la práctica de Cyberinteligencia. Con este artículo, ni los predecesores o futuros pretendo cubrir en profundidad las herramientas o metodologías sino simplemente sentar las bases de hacia donde ir y que hacer, hablamos de herramientas pues bien pueden empezar por algunas como: Feeds RSS, Maltego, Zmap, Nmap, Proyecto HoneyPot, Wireshark, Cuckoo Sandbox, etc.
Una vez que el analista transitó un camino y cuenta en su cuenta con saldo suficiente, es importante que comience a perfilarse en que subdisciplina de la cyberinteligencia va a desarrollar su carrera en profundidad. Eventualmente sucede que el analista tiende a irse al lugar donde mayor confort profesional y técnico tiene, lo que redundará en ser más competente en esa área. Algunas de las subdisciplinas que podemos encontrar son:
I)                    Operaciones de recolección de información.
II)                  Cyber-Contrainteligencia.
III)                Inteligencia de amenazas
Como en casi todo, no hay nada nuevo que inventar, la rueda ya se inventó al igual que la pólvora, por lo que aquí escribo tampoco es nada nuevo, “no hay nada nuevo bajo el sol”. Por ello recomiendo tratar de leer de Richard J. Heuer Jr. “Psicología del Análisis de Inteligencia”, allí revela grandes datos y verdades, y habla y explica muy bien el concepto de pensar críticamente y dar así un análisis fuerte y consolidado. En el incorpora la psicología cognitiva, el análisis de decisiones y el método científico para ayudar a los analistas a llegar a un mejor producto.
Dejo ya sentado el desafío para avanzar en futuros artículos sobre las Subdisciplinas de la Cybertinteligencia. Tengan en mente que la verdadera revolución tecnológica no es el software ni el hardware que se desarrolle, sino la verdadera integración e interacción de estos con el hombre.


CYBERINTELIGENCIA y CIBERANALISTAS El Desafío @uliman73
Ya en alguna oportunidad en este mismo sitio, publiqué sobre el tema de la llegada de la CYBINT o Cyberinteligencia, sus consecuencias y particularidades  dentro del ámbito tanto de la Inteligencia (tanto la Estratégica Nacional, Militar como la Criminal) como de la Seguridad Pública.
Sin embargo, en términos generales hoy día sigue existiendo falta de información sobre lo que verdaderamente es la Ciberinteligencia y el uso que debe dársele. No es menos cierto que hay multiplicidad de recursos dando vueltas en forma de programas o plataformas, pero la CYBINT es mucho mas, a menudo vemos como se la emplea como una palabra rimbombante, algo de moda que sirve para las declaraciones políticas o empresariales, pero vacío de contenido.
Un primer paso en el sentido correcto para comprender la CYBINT es darse cuenta que las bases, es decir las tácticas, técnicas y procedimientos de inteligencia, así como algunas de sus operaciones, existían mucho antes que apareciese el cyberespacio. A menudo (mas de lo que debería) se tiene la idea que la inteligencia es ofensiva en su naturaleza cuando se la ve desde las perspectiva de las operaciones de espionaje y recolección, pero su propósito final esta arraigada a la defensa también.
En el articulo ya publicado titulado Cyberinteligencia (CYBINT) Aquí y ahora en este mismo portal, dijimos que mas allá de una definición para entender que es el CYBINT había que iniciar por definir que es la inteligencia, para lo cual referí a una publicación del Departamento de Defensa (DoD) de los Estados Unidos de Norteamérica, la "Publicación Conjunta (JP) 2-0 Joint Intelligence" que sirve como base para su comprensión y uso de la inteligencia. A partir de ese documento se pueden referir o tomar 3 elementos de información muy relevantes en el campo y uso de la CYBINT:
  1. Definición de Inteligencia según el DoD: El producto resultante de la recopilación, procesamiento, integración, evaluación, análisis e interpretación de la información disponible sobre naciones extranjeras, fuerzas o elementos hostiles o potencialmente hostiles o áreas de operaciones reales o potenciales.
  2. Las actividades que resultan en el producto.
  3. Las organizaciones que participan en esas actividades.
Desde la perspectiva dispuesta por el DoD, se aprecia que considera a la inteligencia como un producto, las actividades en ese producto y las organizaciones que realizan las actividades. La mayoría de las organizaciones civiles y los usos de la inteligencia no incluirán los objetivos definidos por las naciones extranjeras. Una definición útil y más simplista para el uso general puede presentarse así: “La inteligencia es un producto y un proceso desde la recolección, procesamiento, análisis y uso de la información para satisfacer una meta identificada”.
Un elemento primordial es cerciorarse que los datos cumplan con algún objetivo o propósito definido y que no sea solo “inteligencia por inteligencia en si misma”.
El ciclo de la inteligencia es totalmente aplicable a la CYBINT. Éste (el ciclo) es un proceso virtuoso que se retroalimenta, podemos verlo como un proceso circular y repetido que se emplea para convertir datos, información en inteligencia útil para cumplir con una meta dada. El ciclo se configura en los siguientes pasos o etapas:
1. Planificación y dirección del esfuerzo de reunión - Esta etapa suele dividirse en 4 sub-etapas mas que son I) Orientación, II) Coordinación, III) Plan de Obtención (documento de trabajo que no se eleva o remite, que contiene los Elementos Esenciales de Información –EEI- y Otros Requerimientos de Información –ORI-) y IV) Supervisión de a ejecución de órdenes y solicitudes.
Para crear adecuadamente cualquier cantidad de inteligencia fuera de la información debe tener un objetivo definido y las intenciones. Esto podría ser algo tan simple como querer saber los servidores de comando y control de una parte de un malware para que pueda bloquearlo en su red a querer saber el tipo de sistemas de información que utiliza su objetivo para que pueda infiltrarlos. A medida que avanzas en el ciclo de inteligencia, puedes volver atrás y abordar los pasos de nuevo (como un ejemplo si obtienes nuevos datos que revelan algo que no sabías, una brecha de inteligencia, puedes definir un nuevo objetivo).
2. Recolección y obtención de información - Dónde y cómo adquirir los datos e información para procesar. Es la explotación sistemática de las fuentes de información por las agencias de inteligencia y la entrega de la información obtenida. Esta etapa se compone de 2 sub-etapas: I) Búsqueda (a través de la Orden de Obtención, y II) Reunión de información.
Esto puede ser honeypots, logs de Firewall, logs del sistema de detección de intrusiones, escaneos de Internet, etc. Se debe conocer la mayor cantidad de opciones de recolección disponibles mientras está en la fase de planificación y dirección para poder hacer metas razonables o necesidades de inteligencia.
3. Procesamiento de la información - es el más importante de los pasos, a cargo de los analistas, donde se transforma la información en inteligencia, el mismo consta de 3 sub-etapas: I) Registro, II) Evaluación y III) Análisis. Este es el paso en el cual se tomarán datos y se convertirán en un producto de inteligencia. Esto se hace a través del análisis y la interpretación y, por tanto, depende en gran medida del analista. Todos los informes producidos deben cumplir con una necesidad o objetivo definido de inteligencia de su fase de planificación y dirección.
4. Difusión -  Esta se realiza a través de la documentación que se remite a todos los niveles, superiores y subalternos respectivamente, así como entre integrantes del Sistema en forma horizontal, lo que puede concretarse en algunos de los siguientes documentos: Informe de Inteligencia / Informe Especial de Inteligencia / Informe Periódico de Inteligencia (Diario, semanal, mensual, trimestral, etc.) / Apreciación de inteligencia / Estudio de Inteligencia / Parte de Información. En definitiva es proporcionar al usuario final el producto terminado, si estos no pueden acceder al documento final, entonces el proceso es inútil y no cumple con su meta. Este último paso es el que da lugar a la “retroalimentación del ciclo”.
Recopilando todo lo que se expuso hasta ahora vemos que dentro de la disciplina de la inteligencia se depende en gran medida del analista y de su interpretación de los datos. Tratando este tema, no solo el de la inteligencia ó la CYBINT ö cualesquiera de los últimos artículos que publiqué sobre TIC´s sobre Seguridad Pública o Inteligencia, vemos que el factor humano siempre es el mas determinante, así que aprovecharé para ver o tratar el tema del Analista de Cyberinteligencia un poco mas en detalle.
Pese al uso de Tecnologías, Plataformas y demás, no hay un conjunto de estándares para el producto de inteligencia, es decir el análisis en si, ya que la redacción técnica es definitivamente una habilidad humana que necesita ser desarrollada adecuadamente; a que punto, a tal que de dicho análisis o inteligencia satisfaga el objetivo original o impuesto en el Plan.
Esta redacción técnica tiene varios métodos y formas, en un informe de inteligencia estándar puede arrancarse con un BLUF (Bottom Line Up Front), que no es otra cosa mas que un resumen corto para el lector que solo dispone de escasos segundos para interiorizarse del tema, a continuación los productos de inteligencia deben contener los detalles importantes de la información evaluada y claro esta el valor agregado que surge de las consideraciones del analista.
Lo que el analista expone como su entender debe estar claramente separado de los hechos presentados, es difícil que el analista no se involucre en el tema y pierda perspectiva, como así también no es fácil la tentación de usar datos no debidamente estudiados pero que convalidan la primera impresión del analista. Al final del día, es el análisis del analista en cyberinteligencia lo más importante. El analista es la persona experta en el tema y las decisiones de importancia suelen derivarse de los productos de inteligencia.
Como logramos tener los mejores analistas? Las técnicas de redacción de informes son un buen puntapié incial, conocer técnicas de comunicación y análisis, pero al final del día, como a un buen vino es solo con el tiempo que se logra ser un buen analista.
Ciertamente sucede que la habilidad de poder analizar suele ser mas una forma de arte que estar ligada a una ciencia dura; sin embargo hay varias formas no tan ligadas al arte, por ejemplo convertirse en experto en un tema o área de trabajo.
Algunos analistas pueden creer que esa artesanía de la inteligencia es algo borroso y que las personas sin habilidades técnicas todavía pueden ser expertos, todo lo contrario ocurre en el mundo de la CYBINT, una CYBINT correctamente llevada a cabo debe ser el campo mas técnicamente exigente, un buen analista de CYBINT debe ser capaz de discernir entre lo es obviamente cierto de lo falso casi al instante que se le presenta la información.
Otra forma, mas allá de la redacción técnica, es la de apuntalar las habilidades de análisis a través del pensamiento crítico. Esto puede entenderse como que el analista de CYBINT en vez de solo pensar en cuál es la respuesta, ó en qué respuesta despuntó otro analista, se ponga a pensar en qué procesos y preguntas debe hacerse para llegar a la respuesta.
Esa respuesta a la que quiere llegarse no es ir tras un documento revelador, sino en el cómo lo hacen, por qué, qué quieren obtener, cómo se descubrió tal intrusión, cómo se puede descubrir la próxima, etc.
En realidad, no se puede creer que haya una única fuente de información, sino que el verdadero analista debe poder ser capaz de combinar múltiples fuentes de datos sin inconvenientes. La CYBINT encuadra en muchos campos o disciplinas y puede ayudar de múltiples formas al analista.
La capacidad de procesar grandes cantidades de datos y a la vez pensar críticamente se convierte en una habilidad invaluable para la práctica de Cyberinteligencia. Con este artículo, ni los predecesores o futuros pretendo cubrir en profundidad las herramientas o metodologías sino simplemente sentar las bases de hacia donde ir y que hacer, hablamos de herramientas pues bien pueden empezar por algunas como: Feeds RSS, Maltego, Zmap, Nmap, Proyecto HoneyPot, Wireshark, Cuckoo Sandbox, etc.
Una vez que el analista transitó un camino y cuenta en su cuenta con saldo suficiente, es importante que comience a perfilarse en que subdisciplina de la cyberinteligencia va a desarrollar su carrera en profundidad. Eventualmente sucede que el analista tiende a irse al lugar donde mayor confort profesional y técnico tiene, lo que redundará en ser más competente en esa área. Algunas de las subdisciplinas que podemos encontrar son:
I)                    Operaciones de recolección de información.
II)                  Cyber-Contrainteligencia.
III)                Inteligencia de amenazas
Como en casi todo, no hay nada nuevo que inventar, la rueda ya se inventó al igual que la pólvora, por lo que aquí escribo tampoco es nada nuevo, “no hay nada nuevo bajo el sol”. Por ello recomiendo tratar de leer de Richard J. Heuer Jr. “Psicología del Análisis de Inteligencia”, allí revela grandes datos y verdades, y habla y explica muy bien el concepto de pensar críticamente y dar así un análisis fuerte y consolidado. En el incorpora la psicología cognitiva, el análisis de decisiones y el método científico para ayudar a los analistas a llegar a un mejor producto.
Dejo ya sentado el desafío para avanzar en futuros artículos sobre las Subdisciplinas de la Cybertinteligencia. Tengan en mente que la verdadera revolución tecnológica no es el software ni el hardware que se desarrolle, sino la verdadera integración e interacción de estos con el hombre.


No hay comentarios.:

Publicar un comentario

Instagram @SchmitzOscar