La inteligencia humana (HUMINT) en el marco de la ciberseguridad

¿Qué es la inteligencia humana (HUMINT)?

La inteligencia humana (HUMINT) consiste en la recopilación de información "sobre el terreno" utilizando fuentes humanas. En el contexto de la inteligencia sobre amenazas, esto puede incluir infiltrarse entre atacantes o interactuar con ellos en redes criminales, foros y marketplaces, chats y otros entornos de ataque, como la dark web.

El objetivo de la HUMINT es recopilar información acerca de adversarios y su actividad para saber más acerca de los humanos detrás de los ciberataques: sus motivaciones, objetivos y técnicas. Esta información, especialmente cuando se utiliza junto con datos e información recopilada a través de herramientas de seguridad y otra telemetría, puede ayudar a las organizaciones a identificar riesgos y neutralizar ataques.

Es importante tener en cuenta que la HUMINT es una disciplina formal que requiere técnicas especializadas para no solo obtener información útil, sino también utilizar la seguridad operativa u OPSEC (es decir, las medidas que se toman para proteger la identidad real del investigador o su pertenencia a una empresa, organización o agencia gubernamental).

La importancia de la inteligencia humana en la ciberseguridad

A medida que los ciberdelincuentes despliegan técnicas de ataque cada vez más sofisticadas y avanzadas, como los ataques sin firma (que son difíciles de detectar mediante el uso exclusivo de la tecnología), la HUMINT se ha ido convirtiendo en una parte fundamental de la estrategia de ciberseguridad

y aporta numerosos e importantes beneficios a las organizaciones y los organismos gubernamentales. Algunos de ellos son:

1. Alertar a posibles víctimas de un ataque inminente. Recopilar datos de estos canales para anticiparse a ataques inminentes es una tarea mucho más compleja que simplemente recopilar datos sin procesar. La HUMINT permite a los Threat Hunters infiltrarse en estos entornos para recopilar información más detallada sobre los ciberdelincuentes y sus planes y tomar medidas tan necesarias como alertar a las víctimas de un ataque inminente o en curso.

2. Comprobar los datos recopilados por la inteligencia automatizada. Los adversarios saben el papel que desempeñan las herramientas de seguridad en la automatización del proceso de recopilación de datos de entornos de ataque. Como resultado, muchas personas han empezado a ocultar deliberadamente determinada información en sus publicaciones, como los nombres de las víctimas o los dominios. La HUMINT es necesaria para identificar nuevas tendencias y comprobar si los datos recopilados por estas herramientas son fiables y completos.

3. Comprobar las capacidades del ciberdelincuente La HUMINT también es extremadamente útil una vez que una organización ya ha sufrido un ataque, ya que ayuda a los equipos de seguridad a valorar las reclamaciones de los atacantes. Por ejemplo, durante un ataque de ransomware, un atacante puede afirmar tener unas capacidades mucho mayores de las que realmente tiene con la esperanza de conseguir un pago de rescate considerable. En esta situación, la HUMINT puede ayudar al equipo de seguridad a valorar las reclamaciones del ciberdelincuente y responder en consecuencia.

4. Respaldar a las autoridades. La ciberdelincuencia es tremendamente difícil de investigar y procesar legalmente, sobre todo si el ciberdelincuente opera en un país distinto al que reside la víctima. La HUMINT recopilada por un proveedor de servicios de ciberseguridad es extremadamente útil para las autoridades, ya que permite a los equipos de seguridad compartir información relevante y necesaria sobre el perfil del atacante. Esta información puede incluir su verdadero nombre, su lugar de residencia, su nacionalidad y otros datos importantes, siempre que sea posible.

Cuatro casos de uso de la inteligencia humana en el ámbito de la ciberseguridad

Los equipos de seguridad utilizan la HUMINT para muchas funciones. A continuación, te presentamos cuatro casos de uso comunes de la HUMINT:

1. Servicio de protección frente al riesgo digital (DRPS): El DRPS constituye una forma de proteger proactivamente a las organizaciones de los ciberataques. Como ya hemos comentado, el simple uso de tecnología no es suficiente para identificar y prever ataques modernos y sofisticados de manera efectiva. En primer lugar, porque monitorizar todos los datos clandestinos solo con inteligencia humana sería directamente imposible. Al combinar la recopilación automatizada con la HUMINT, es posible obtener información relevante sobre amenazas clave.

2. Respuesta a incidentes (IR), expulsión del ciberdelincuente y finalización de los pagos de rescate por ransomware: Cuando ocurre un ataque, especialmente un ataque de ransomware, identificar al ciberdelincuente y sus capacidades permite ayuda a la organización a responder ante él. Por ejemplo, durante un ataque de ransomware, el adversario puede afirmar que ha robado una gran cantidad de datos y avisar de cómo podría corromperlos. La HUMINT puede ayudar a valorar esta información y a decidir si es necesario realizar un pago de rescate.

3. Identificación de nuevos ataques: Los ciberdelincuentes cambian de tácticas y de técnicas continuamente. También hacen uso de comunidades clandestinas para buscar información que les ayude a llevar a cabo ataques, como el desarrollo de exploit y malware. Al monitorizar e identificar el tipo de ayuda que necesitan estos ciberdelincuentes, se pueden evitar o detener nuevos ataques antes de que representen un riesgo para las organizaciones.

4.Evaluación del atacante: Cuando se menciona a un atacante, los analistas de inteligencia utilizan la HUMINT para identificar su ecosistema, sus capacidades y sus motivaciones. Estos datos son útiles tanto para rastrear su actividad como para valorar la magnitud del ataque de este atacante o grupo de atacantes.