Piense en los miles de artefactos y pruebas que un equipo de arqueólogos tiene que desenterrar y examinar para construir un relato coherente sobre una antigua civilización. Cada artefacto es una pequeña pista que permite comprender cómo vivía la gente de aquella época. Hoy en día, se siguen desenterrando pequeños artefactos con este fin. Las plataformas de redes sociales como Facebook utilizan algoritmos para analizar las interacciones, los “me gusta”, los “compartidos” y las conversaciones digitales del usuario con el fin de crear un perfil detallado de sus intereses y preferencias. Estos artefactos digitales se utilizan para mostrarle anuncios relevantes.  

¿Qué es OSINT? 

Del mismo modo que un arqueólogo desarrolla una hipótesis sobre un hecho histórico a partir de artefactos desenterrados o una plataforma de redes sociales crea inferencias sobre su estilo de vida utilizando la minería de datos sociales, existe otro proceso de recopilación de información con el que tal vez no esté familiarizado llamado Inteligencia de Fuentes Abiertas (OSINT, por sus siglas en inglés). OSINT consiste en la recopilación, el análisis y la utilización sistemática de datos de dominio público con el fin de descubrir posibles amenazas y puntos débiles en la infraestructura digital de una organización. 

La premisa de OSINT es sencilla. Cuanto más sepa sobre su objetivo, mayor será la probabilidad de que consiga penetrar en sus defensas. Esto es cierto tanto si se trata de una amenaza cibernética real, de un miembro del equipo rojo que simula ataques o de un experto en penetración que trabaja para mejorar la seguridad. OSINT es una forma de reconocimiento digital que se puede llevar a cabo pasivamente para adquirir información sin alertar al objetivo, a diferencia de otras formas de obtención de información que requieren acceder a fuentes confidenciales o clasificadas o interactuar directamente con el objetivo.  

Fuentes de información OSINT

A menudo se subestima la huella digital que se deja al navegar por Internet o participar en las redes sociales. En realidad, existe una gran cantidad de información de acceso público sobre las organizaciones y sus principales actores. Esto incluye datos de redes sociales, artículos de noticias, comunicados de prensa, actas de reuniones públicas, debates en foros online, repositorios de código público, publicaciones gubernamentales e incluso resultados de motores de búsqueda. 

Sin embargo, OSINT no se limita a la información textual. También incluye abundante contenido multimedia, como vídeos, seminarios web y grabaciones de discursos públicos de representantes de organizaciones en conferencias y otros actos. Pensemos en el abundante contenido de plataformas como YouTube y TikTok producido por diversas entidades cada mes. 

Aunque la agregación de toda esta información pública es una tarea compleja, no es necesariamente laboriosa. Las modernas tecnologías de extracción de datos y las herramientas de IA están equipadas para analizar de forma eficiente estos amplios repositorios de datos, lo que hace que el proceso de recopilación y análisis de OSINT sea rápido y eficiente para quienes cuentan con las herramientas y los conocimientos adecuados. 

Cómo utilizan los atacantes la información pública

Subestimar la vulnerabilidad que representa el contenido digital de su organización podría ser un descuido muy grave. En el panorama digital actual, incluso elementos aparentemente inofensivos, como los archivos GIF, son aprovechados por los actores de amenazas para infiltrarse en los sistemas mediante tácticas de phishing o smishing. Por ejemplo, la información compartida por los empleados en las redes sociales, por inofensiva que parezca, puede revelar inadvertidamente respuestas a preguntas de seguridad o pistas sobre sus contraseñas. Las conversaciones grabadas digitalmente entre ejecutivos de una empresa pueden manipularse para campañas de spear-phishing. Estas pistas digitales son fácilmente accesibles, y los actores de amenazas suelen recopilar información de dominio público sobre sus objetivos con la misma facilidad con la que se toman libros prestados de una biblioteca.

Usar OSINT para mejorar la ciberdefensa 

Si toda esta información accesible sobre su organización le parece sobrecogedora, aún hay un resquicio de esperanza. La misma información pública que aprovechan los actores de amenazas también es accesible y está legalmente disponible para los equipos de ciberdefensa. Estos equipos pueden cotejar estas pistas digitales no sólo para entender qué información sobre su organización es abiertamente accesible y potencialmente aprovechable, sino también para descubrir datos sensibles que podrían haber aterrizado inadvertidamente en la web oscura debido a brechas de datos o ataques de relleno de credenciales. 

En la actualidad, las empresas de ciberseguridad utilizan OSINT de forma rutinaria para buscar en miles de sitios web, foros y mercados de la Dark Web. Además de buscar información disponible sobre una organización específica, la OSINT desempeña un papel fundamental en otras facetas de la ciberseguridad: 

• Recopilación de inteligencia sobre amenazas: La inteligencia sobre amenazas es la piedra angular de la ciberseguridad y OSINT se utiliza para recopilar información sobre el panorama actual de amenazas, como el nuevo malware o las campañas de phishing que se están utilizando. 
• Evaluación de vulnerabilidades: Las herramientas OSINT pueden ayudar a identificar vulnerabilidades conocidas en el software y hardware de la empresa que podrían ser explotadas por un actor de amenazas. Esta información se obtiene de bases de datos públicas como la Base Nacional de Datos de Vulnerabilidades y otras fuentes.  
• Defensa contra el phishing: Una defensa proactiva siempre es mejor. Al supervisar activamente los sitios web de phishing, catalogar los nuevos registros de dominios y analizar los patrones de correo electrónico, las empresas de ciberseguridad pueden adelantarse a los acontecimientos y reducir la probabilidad de que un ataque de phishing tenga éxito en su organización.  
• Defensa frente a la ingeniería social: Los ataques de ingeniería social son eficaces debido a la naturaleza convincente de los atacantes que los llevan a cabo. Mediante el seguimiento de la información disponible públicamente que estos actores pueden utilizar en un ataque, las organizaciones pueden fomentar la sensibilización en todas sus organizaciones y proporcionar orientación formativa para reducir la eficacia de dichos ataques.  

OSINT no es sino un componente más que debe utilizarse para una estrategia global de defensa exhaustiva. Permite a las organizaciones adelantarse a las amenazas aprovechando una gran cantidad de información disponible públicamente. 

Los entresijos de OSINT 

Aunque la idea de recopilar datos de fuentes públicas parece sencilla, OSINT exige una sofisticada combinación de conocimientos y herramientas especializadas para hacerlo con eficacia. Los profesionales de OSINT son expertos en el manejo de grandes volúmenes de datos y en su complejidad, y poseen una capacidad analítica avanzada para descifrar y contextualizar la información con precisión. Dominan el uso de herramientas y técnicas especializadas que resultan esenciales para el análisis y la gestión de los datos de forma exhaustiva.    

Igual de importante es la exploración ética y legal en las prácticas OSINT. Dado que estos datos pueden utilizarse indebidamente, los profesionales deben cumplir las estrictas leyes de privacidad y respetar las normas éticas, una habilidad que se adquiere con formación especializada y experiencia. Esta experiencia también les permite evitar los errores comunes y las interpretaciones erróneas que a menudo aquejan a los menos experimentados en los entresijos del manejo de datos en OSINT. En esencia, la complejidad de OSINT radica no sólo en la recopilación de los datos, sino también en la interpretación cuidadosa y cualificada de esa información y en su uso legal y ético. 

Conclusión

La recopilación de información sobre ciberseguridad suele asociarse a un SIEM o al marco MITRE ATT&CK. Y, si bien es cierto que estos sistemas proporcionan piezas clave del rompecabezas, no ofrecen una visión completa del panorama actual de las amenazas. En el mundo actual, donde abunda la información, su aplicación puede conducir a resultados muy diferentes. La práctica de ensamblar fragmentos discretos de información para formar un relato coherente lleva practicándose desde tiempos inmemoriales. OSINT no es más que un enfoque contemporáneo de esta tarea, que proporciona una ventaja crucial en la prevención de posibles ciberataques que, de otro modo, podrían causar graves daños a su negocio.