Inteligencia de código abierto (OSINT)

La inteligencia de código abierto (OSINT) consiste en recopilar y analizar datos de dominio público con fines de inteligencia.

¿Qué son los datos de código abierto?

Los datos de código abierto son cualquier tipo de información de dominio público o que pueda hacerse pública previa solicitud. Algunas fuentes de OSINT son:

• Artículos de periódicos y revistas, así como informes de medios de comunicación
• Trabajos académicos y artículos de investigación publicados
• Libros y otros materiales de referencia
• Actividades en redes sociales
• Datos censales
• Directorios telefónicos
• Expedientes judiciales
• Antecedentes penales
• Información comercial pública
• Encuestas públicas
• Datos contextuales de ubicación
• Información divulgada sobre brechas o compromisos
• Indicadores de ciberataques de dominio público, como direcciones IP o hashes de archivo o dominio
• Datos de registro de certificado o dominio
• Datos de vulnerabilidades del sistema o la aplicación

Si bien la mayoría de los datos de código abierto son accesibles a través de Internet y se pueden indexar con la ayuda de un motor de búsqueda como Google, también se puede acceder a ellos a través de foros más privados no indexados por motores de búsqueda. Los usuarios generales no pueden acceder a la mayoría del contenido de la deep web, ya que están protegidos por cortafuegos de pago o requieren iniciar sesión. Sin embargo, estos datos se consideran de dominio público.

También es importante tener en cuenta que, a menudo, existe una enorme cantidad de datos secundarios que se pueden obtener de cada fuente de información de código abierto. Por ejemplo, se puede extraer una gran cantidad de información de las redes sociales (el nombre, la fecha de nacimiento, los familiares y el lugar de residencia de un usuario, por ejemplo). Además, los metadatos de archivo de publicaciones específicas también pueden revelar información, como el lugar de publicación, el dispositivo utilizado para crear el archivo y el autor del mismo.

¿Cómo se utilizan los datos de código abierto?

Cuando hablamos de OSINT, nos referimos a la extracción y el análisis de datos públicos para obtener datos clave sobre la actividad que mejoran la toma de decisiones. Tradicionalmente, la OSINT era una técnica utilizada por los organismos de seguridad nacional y las autoridades. Sin embargo, en los últimos años, también se ha vuelto un aspecto clave de la ciberseguridad.

OSINT y ciberseguridad

En el ámbito de la ciberseguridad, los investigadores y analistas de inteligencia utilizan los datos de código abierto para entender mejor el panorama de amenazas y ayudar a organizaciones y particulares a defender su entorno informático de riesgos conocidos.

Casos de uso de la OSINT en el ámbito de la ciberseguridad

En el ámbito de la ciberseguridad, existen dos casos de uso habituales de la OSINT:

1. Medición del riesgo al que está expuesta la organización
2. Obtención de información sobre el atacante, sus tácticas y sus objetivos

Medición del riesgo

Las pruebas de penetración (también conocidas como "validaciones de seguridad", "evaluaciones de la superficie de amenaza" o "hacking ético") consisten en simular ciberataques reales para poner a prueba las medidas de ciberseguridad de una organización y detectar sus vulnerabilidades. El objetivo de las pruebas de penetración es identificar debilidades y vulnerabilidades del entorno informático y corregirlas antes de que las detecten y aprovechen los ciberdelincuentes.

Existen diferentes tipos de pruebas de penetración; sin embargo, los más comunes en el contexto de la OSINT son:

• Las pruebas de penetración externa: Evalúan tus sistemas orientados a Internet para determinar si existen vulnerabilidades que los atacantes puedan aprovechar y que dejen al descubierto los datos o el acceso no autorizado para el público general. Las pruebas incluyen la identificación del sistema, la enumeración, la detección de vulnerabilidades y el aprovechamiento.
• La evaluación de la superficie de amenaza: También conocida como "análisis de la superficie de ataque", consiste en la identificación de las partes del sistema que se deben revisar y probar para detectar vulnerabilidades de seguridad. El objetivo del análisis de la superficie de ataque es informar a los especialistas en seguridad y los desarrolladores de las áreas de riesgos de una aplicación que están expuestas a ataques y así encontrar formas de minimizarlas. Asimismo, pretende identificar cómo y cuándo cambia la superficie de ataque y qué implicaciones tienen estos cambios desde el punto de vista de los riesgos.
• Las pruebas de penetración de aplicaciones web: Evalúan aplicaciones web utilizando un proceso de tres fases: reconocimiento (en la que el equipo de seguridad recopila información, como el sistema operativo, los servicios y los recursos en uso), identificación (en la que los analistas de seguridad tratan de identificar vulnerabilidades, como credenciales débiles, puertos abiertos o software sin parches) y aprovechamiento (en la que el equipo utiliza las vulnerabilidades detectadas para obtener acceso no autorizado a datos confidenciales).

Obtención de información sobre el atacante, sus tácticas y sus objetivos

Los datos de código abierto representan uno de los muchos tipos de datos utilizados por los equipos de ciberseguridad como parte de sus amplias funciones de inteligencia sobre amenazas para identificar al ciberdelincuente que provoca el ataque.

La inteligencia sobre amenazas es el proceso a través del cual los datos recopilados se analizan para identificar los motivos, objetivos y comportamientos de ataque del ciberdelincuente. Las soluciones de inteligencia sobre amenazas utilizan datos de código abierto y fuentes de datos privadas, como la telemetría interna y los datos obtenidos de la dark web y otras fuentes externas, para obtener una visión más completa del panorama de amenazas.

Por norma general, los datos de código abierto no proporcionan el contexto necesario para ser realmente significativos para los equipos de seguridad. Por ejemplo, una publicación en un tablón de anuncios público por sí sola no proporciona información útil a los equipos de ciberseguridad. Sin embargo, con un marco de inteligencia sobre amenazas y recopilación de datos más amplio, es posible analizar y atribuir esta actividad a un grupo de adversarios conocido, lo que permite definir de manera más precisa su perfil y utilizar esta información para defender a la organización de este tipo de atacantes.

OSINT: un arma de doble filo

Los datos de código abierto son de dominio público. Esto significa que los ciberdelincuentes y grupos de adversarios pueden utilizarlos con fines maliciosos con la misma facilidad que los profesionales de ciberseguridad o los expertos en inteligencia acceden a ellos.

Uno de los principales motivos por los que los ciberdelincuentes utilizan la OSINT es la ingeniería social. A menudo, recopilan información personal de posibles víctimas a través de perfiles de redes sociales u otra actividad en línea para crear un perfil de la víctima que puedan utilizar más adelante para personalizar los ataques de phishing. La OSINT también se puede utilizar para eludir las medidas de detección, por ejemplo, al consultar la inteligencia divulgada públicamente, los atacantes identifican las líneas de defensa de las organizaciones y buscan métodos de ataque alternativos.

Otra técnica común de ataque de los hackers es el Google hacking, también conocido como "Google dorking". El Google hacking consiste en utilizar el motor de búsqueda de Google y diferentes aplicaciones para realizar búsquedas de comandos muy específicos que permiten identificar las vulnerabilidades del sistema o información confidencial. Por ejemplo, un ciberdelincuente puede realizar una búsqueda de documentos que contengan la frase "información confidencial, pero sin clasificar". A continuación, utilizan herramientas para detectar errores de configuración o brechas de seguridad en el código de los sitios web. Estas vulnerabilidades se pueden utilizar como vía de acceso en futuros ataques de malware o ransomware.

A menudo, los ciberdelincuentes influyen en las búsquedas de Google creando redes de sitios web falsos que contienen datos de código abierto no fiables. Los adversarios ponen esta información falsa en circulación para engañar a los rastreadores web y a los lectores y hacerles distribuir malware.

Técnicas de OSINT

Posiblemente, el mayor reto asociado de la OSINT es gestionar la asombrosa cantidad de datos públicos en constante crecimiento. Dado que los humanos no podemos gestionar toda esa información, las organizaciones deben automatizar el proceso de recopilación y análisis de datos e implementar herramientas de mapeo que les ayuden a visualizar y conectar puntos de datos de forma más clara.

Con la ayuda del aprendizaje automático y la inteligencia artificial, las herramientas de OSINT pueden ayudar a los expertos en OSINT a recopilar y almacenar grandes cantidades de datos. Estas herramientas también pueden detectar enlaces y patrones importantes entre grandes cantidades de datos.

Además, las organizaciones deben desarrollar una estrategia subyacente clara que determine las fuentes de datos que quieren recopilar. De este modo, no se saturará el sistema con información de valor limitado o fiabilidad cuestionable. Para ello, las organizaciones deben definir de manera clara sus objetivos en lo que respecta a inteligencia de datos de código abierto.

Técnicas de recopilación de OSINT

En líneas generales, la recopilación de inteligencia de código abierto se puede dividir en dos categorías: pasiva y activa.

1. La recopilación pasiva combina todos los datos disponibles en una única ubicación de fácil acceso. Con la ayuda del aprendizaje automático (ML) y la inteligencia artificial (IA), las plataformas de inteligencia sobre amenazas pueden ayudar a gestionar y priorizar estos datos, así como a descartar algunos de ellos basándose en reglas definidas por la organización.
2. La recopilación activa utiliza una serie de técnicas de investigación para identificar información específica. La recopilación de datos activa se puede utilizar ad hoc para complementar los perfiles de ciberamenazas identificados por las herramientas de recopilación de datos pasivas o investigaciones específicas. Las herramientas de recopilación de OSINT más habituales realizan búsquedas de registros de certificado o dominio para identificar al propietario de determinados dominios. Otro ejemplo de recopilación de OSINT es el aislamiento de malware público para analizar aplicaciones.

Marco de OSINT

Si bien existe una enorme cantidad de datos de dominio público que pueden utilizar los profesionales de ciberseguridad, la gran cantidad de datos de OSINT (dispersos en diferentes fuentes) puede dificultar las tareas de extracción de datos clave de los equipos de seguridad. Además, es importante que la información relevante y de gran valor recopilada a través de la OSINT se integre en las herramientas y sistemas de ciberseguridad.

El marco de OSINT es una metodología que incluye datos, procesos, métodos, herramientas y técnicas que ayudan a los equipos de seguridad a identificar información sobre un adversario o sus acciones de manera rápida y precisa.

Un marco de OSINT se puede utilizar para:

• Identificar la huella digital de una amenaza conocida
• Recopilar toda la inteligencia disponible sobre la actividad, los intereses, las técnicas, las motivaciones y los hábitos de un adversario
• Clasificar datos en función de la fuente, herramienta, método u objetivo
• Identificar oportunidades para mejorar la posición de seguridad de seguridad actual a través de recomendaciones del sistema

Problemas de la inteligencia de código abierto

Los expertos en inteligencia, los organismos de seguridad nacional y las autoridades utilizan habitualmente la OSINT para proteger a las organizaciones y la sociedad de todo tipo de amenazas.

Sin embargo, como indicábamos anteriormente, es igual de sencillo para los ciberdelincuentes y atacantes utilizar la OSINT con fines maliciosos. Además, en los últimos años, la OSINT ha suscitado el debate sobre cómo se puede usar la información de domino público de manera segura y responsable. Algunos de los problemas más frecuentes son:

Legalidad

Es completamente lícito acceder a la información de dominio público, analizarla y difundirla. No obstante, recuerda que esta misma información la pueden utilizar los ciberdelincuentes para llevar a cabo actividades ilegales o participar en ellas al difundir datos engañosos o maliciosos en determinadas comunidades. Los hacktivistas son especialmente conocidos por publicar información para influir en la opinión pública.

Ética

Aunque haya una gran cantidad de información disponible en línea, tanto los particulares como las empresas deben usar esa información de manera ética. Los profesionales que utilicen la OSINT deben asegurarse de hacerlo con fines legítimos y no para aprovecharse de otras personas, acosarlas, aislarlas o dañarlas.

Privacidad

Es sorprendente la gran cantidad de información de particulares que está disponible en el dominio público. Reuniendo información de los perfiles de las redes sociales, de la actividad en línea, de los registros públicos y de otras fuentes es posible crear un perfil detallado de los hábitos, intereses y comportamientos de una persona. Aunque muchos de estos datos los compartieron los propios consumidores, en muchas ocasiones no eran plenamente conscientes de las consecuencias de compartir dicha información. El debate gira en torno a qué tipo de información deberían poder recopilar y almacenar las marcas y las empresas cuando los consumidores utilizan sus servicios, visitan sus almacenes o interactúan en línea, y cómo podrán utilizar esa información en el futuro.