1_9788411691017

Ciberinteligencia y gobernanza: el arma secreta de las organizaciones en la economía digital

inteligencia y seguridad

CIBERINTELIGENCIA Y GOBERNANZA: EL ARMA SECRETA DE LAS

ORGANIZACIONES EN LA ECONONÍA DIGITAL

COMITÉ CIENTÍFICO DE LA EDITORIAL TIRANT LO BLANCH

María José añón roig Catedrática de Filosofía del Derecho de la Universidad de Valencia ana Cañizares Laso Catedrática de Derecho Civil de la Universidad de Málaga

Jorge a. Cerdio Herrán

Catedrático de Teoría y Filosofía de Derecho. Instituto Tecnológico Autónomo de México

José raMón Cossío díaz

Ministro en retiro de la Suprema Corte de Justicia de la Nación y miembro de El Colegio Nacional

María Luisa Cuerda arnau

Catedrática de Derecho Penal de la Universidad Jaume I de Castellón CarMen doMínguez HidaLgo

Catedrática de Derecho Civil de la Pontificia Universidad Católica de Chile eduardo Ferrer MaC-gregor Poisot Juez de la Corte Interamericana de Derechos Humanos. Investigador del Instituto de Investigaciones Jurídicas de la UNAM

owen Fiss

Catedrático emérito de Teoría del Derecho de la Universidad de Yale (EEUU)

José antonio garCía-CruCes gonzáLez Catedrático de Derecho Mercantil de la UNED

José Luis gonzáLez CussaC Catedrático de Derecho Penal de la Universidad de Valencia

Luis LóPez guerra Catedrático de Derecho Constitucional de la Universidad Carlos III de Madrid

ángeL M. LóPez y LóPez Catedrático de Derecho Civil de la Universidad de Sevilla

Marta Lorente sariñena

Catedrática de Historia del Derecho de la Universidad Autónoma de Madrid

Javier de LuCas Martín

Catedrático de Filosofía del Derecho y Filosofía Política de la Universidad de Valencia

víCtor Moreno Catena

Catedrático de Derecho Procesal de la Universidad Carlos III de Madrid

FranCisCo Muñoz Conde

Catedrático de Derecho Penal de la Universidad Pablo de Olavide de Sevilla

angeLika nussberger

Catedrática de Derecho Constitucional e Internacional en la Universidad de Colonia (Alemania)

Miembro de la Comisión de Venecia

HéCtor oLasoLo aLonso

Catedrático de Derecho Internacional de la Universidad del Rosario (Colombia) y Presidente del Instituto Ibero-Americano de La Haya (Holanda)

LuCiano PareJo aLFonso

Catedrático de Derecho Administrativo de la Universidad Carlos III de Madrid

ConsueLo raMón CHornet

Catedrática de Derecho Internacional Público y Relaciones Internacionales de la Universidad de Valencia

toMás saLa FranCo

Catedrático de Derecho del Trabajo y de la Seguridad Social de la Universidad de Valencia

ignaCio sanCHo gargaLLo

Magistrado de la Sala Primera (Civil) del Tribunal Supremo de España

eLisa sPeCkMann guerra

Directora del Instituto de Investigaciones Históricas de la UNAM

rutH ziMMerLing

Catedrática de Ciencia Política de la Universidad de Mainz (Alemania)

Fueron miembros de este Comité:

eMiLio beLtrán sánCHez, rosario vaLPuesta Fernández y toMás s. vives antón

Procedimiento de selección de originales, ver página web:

www.tirant.net/index.php/editorial/procedimiento-de-seleccion-de-originales

CIBERINTELIGENCIA Y GOBERNANZA: EL ARMA SECRETA DE LAS

ORGANIZACIONES EN LA ECONOMÍA DIGITAL

JOSÉ LOMINCHAR

tirant lo blanch

Valencia, 2023

Copyright ® 2023

Todos los derechos reservados. Ni la totalidad ni parte de este libro puede reproducirse otransmitirse por ningún procedimiento electrónico o mecánico, incluyendo fotocopia, grabación magnética, o cualquier almacenamiento de información y sistema de recuperación sin permiso escrito del autor y del editor.

En caso de erratas y actualizaciones, la Editorial Tirant lo Blanch publicará la pertinente corrección en la página web www.tirant.com.

Director de la colección:

JOSÉ LUIS GONZÁLEZ CUSSAC

Universidad de Valencia

© José Lominchar

© TIRANT LO BLANCH

EDITA: TIRANT LO BLANCH

C/ Artes Gráficas, 14 - 46010 - Valencia

TELFS.: 96/361 00 48 - 50

FAX: 96/369 41 51

Email:tlb@tirant.com

www.tirant.com

Librería virtual: www.tirant.es

ISBN: 978-84-1169-101-7

MAQUETA: Tink Factoría de Color

Si tiene alguna queja o sugerencia, envíenos un mail a: atencioncliente@tirant.com. En caso de no ser atendida su sugerencia, por favor, lea en www.tirant.net/index.php/empresa/politicas-de-empresa nuestro procedimiento de quejas.

Responsabilidad Social Corporativa: http://www.tirant.net/Docs/RSCTirant.pdf

INTRODUCCIÓN A LA CIBERINTELIGENCIA

La Ciberinteligencia es un tipo de inteligencia. Siendo ésta una deriva de la Inteligencia Militar aplicada al mundo empresarial y de las organizaciones (fruto del tránsito de la Guerra fría a la globalización, Valero y Sánchez-Bayón, 2018), como muchas otras disciplinas empresariales llámense logística, estrategia, reclutamiento, planes operativos, etc. (Lominchar y Zunzarren, 2022). Es el arte de encontrar, recolectar, almacenar las informaciones y las señales pertinentes (fuertes o débiles) que van a irrigar la empresa en todos sus niveles de decisión, permitiendo orientar el futuro y proteger el presente de los ataques de la competencia. En resumen, consiste en: dar la información analizada correcta a la persona correcta en el momento correcto, con el fin de tomar la decisión correcta (Lominchar y Zunzarren, 2022). La empresa se considera desde un plano global, con competidores globales y se analizan los impactos de forma directa, indirecta e hiperconectada.

La información constituye un eje sobre el cual inspirar la estrategia general de la empresa así como la manera de manera continua para inervar los diferentes niveles de ejecución, con el fin de crear una gestión defensiva, ofensiva y colectiva de la información. Es decir, permite anticiparse a amenazas y ataques, lo cual es la vertiente primordial de la ciberinteligencia, aunque no solo. La diferencia principal de la ciberinteligencia con otras modalidades de inteligencia es el tipo de fuente y la tecnología aplicada siendo el proceso posterior muy similar en todas ellas.

Concepto, definiciones y origen

La Ciberinteligencia es una disciplina metodológica que, sirviéndose de información proveniente de fuentes abiertas (v.g. OSINT, Deep-Web), cerradas (v.g. Dark Web) y humanas (v.g. expertos y/o confidentes), obtiene información que debidamente tratada y analizada, se convierte en

informes especializados que ofrecen conocimiento útil para mejorar y facilitar la toma de decisiones estratégicas a los decisores de una empresa o institución.

Inteligencia vs. Investigación

La inteligencia y la investigación son componentes clave de la criminología. Aunque parezcan engañosamente similares, entre inteligencia e investigación existen diferencias fundamentales en varias áreas de sus componentes, tales como: el propósito del producto final, la orientación temporal, las técnicas analíticas y de recopilación de datos, los requisitos del conjunto de habilidades, la naturaleza de la conclusión y la difusión de la información. La inteligencia es un producto creado a través del proceso de recopilación, y análisis de datos, para su difusión como información utilizable para informar futuras intervenciones. La inteligencia normalmente evalúa eventos, ubicaciones o adversarios (Metscher y Gilbride, 2005).

Investigación: esto abarca “la recopilación de información y evidencia para identificar, detener y condenar a los presuntos delincuentes” (Osteoburg & Ward, 2013).

Diferencias

1. Finalidad del producto final: los informes de investigación a menudo se presentan en los procesos legales para determinar los hechos. Por lo tanto, los investigadores tienen un vínculo directo con los fiscales. Las investigaciones se enfocan claramente en los hechos para proporcionar apoyo al sistema de justicia. Si bien los informes de inteligencia se proporcionan a los encargados de tomar decisiones para ayudar a guiar la actividad futura, carecen de un vínculo directo con los poderes de enjuiciamiento. Los informes de inteligencia a menudo son muy borrosos y son solo probabilidades que carecen de un enfoque nítido.

2. Orientación del Tiempo: una diferencia importante entre una investigación y la inteligencia es el aspecto de la orientación temporal. Las investigaciones tienden a centrarse en determinar los factores

Ciberinteligencia y gobernanza: El arma secreta de las organizaciones en la economía digital

causales que explican eventos pasados. El énfasis suele estar en un análisis de la historia, en busca de una única respuesta correcta. Mientras que la inteligencia, por otro lado, se enfoca en la extrapolación de eventos actuales para proporcionar representaciones plausibles del futuro. Si bien la historia y los eventos pasados a menudo se consideran en los ejercicios de inteligencia, a menudo solo se usan para respaldar las proyecciones de lo que puede suceder. Dado que la inteligencia se ocupa del futuro, a menudo produce múltiples respuestas aceptables.

a) Por lo tanto, una investigación se enfoca en eventos pasados, mientras que la inteligencia se enfoca en eventos futuros. Todos difieren tanto en que las investigaciones arrojan una sola respuesta, mientras que la inteligencia produce múltiples resultados.

3. Técnicas analíticas y de recopilación de datos: las investigaciones y la inteligencia utilizan técnicas de recopilación de datos muy similares, como entrevistas a personas informadas, observaciones físicas de sitios y revisiones de documentación. A pesar de esto, hay ciertas actividades de recopilación de datos que están más asociadas con una actividad que con la otra. Las investigaciones, con sus fuertes raíces policiales, a veces se basarán en lo que comúnmente se conoce como “búsqueda de basura”. La inteligencia, por otro lado, puede centrarse en revisiones detalladas de patentes como una forma de discernir cómo Los procesos de fabricación operan. Independientemente de las fuentes de datos, un factor diferenciador clave entre las investigaciones y la inteligencia estratégica es cómo se analizan los datos.

a) Las técnicas analíticas en las investigaciones se enfocan en obtener la respuesta correcta. Normalmente son deductivos, empleando un alto nivel de pensamiento dirigido. El proceso de eliminación generalmente se usa para identificar respuestas que no encajan en la investigación. Este proceso conduce entonces a la identificación de la respuesta correcta. Los datos recopilados se organizan como evidencia en apoyo de la respuesta elegida.

b) Las técnicas analíticas en inteligencia se enfocan en determinar cursos de acción apropiados basados en eventos futuros anticipados. Prácticamente todos se derivan de la consultoría de gestión general tradicional e incluyen elementos como el análisis de escenarios, el análisis DAFO, la evaluación del posicionamiento competitivo y varios métodos de evaluación microeconómica. Dado que tales enfoques generalmente producen una variedad de respuestas, existe una gran dependencia del pensamiento lateral por parte de quienes realizan el análisis. El resultado ideal es una serie de iniciativas viables que respalden una estrategia sólida para lograr objetivos a largo plazo frente a un futuro incierto.

4. Requisitos del conjunto de habilidades: no es sorprendente que la inteligencia y las investigaciones utilicen muchas de las mismas habilidades, pero las personas que realizan las mejores investigaciones tienden a tener experiencia y antecedentes en la aplicación de la ley y campos relacionados. Con el tiempo, internalizan el tipo de pensamiento deductivo y dirigido que los lleva a identificar los factores causantes de eventos pasados. Los profesionales de la inteligencia estratégica, por otro lado, deben tener una base sólida en los diferentes tipos de técnicas de análisis. La mayoría obtiene esto a través de la experiencia en consultoría de gestión o como parte de una función de planificación estratégica corporativa. Por lo tanto, los investigadores requieren un buen pensamiento deductivo y directo, mientras que los oficiales de inteligencia requieren muy buenas técnicas analíticas.

5. Naturaleza de las Conclusiones: las investigaciones deben presentar los hechos tal como se reciben y descubren, evitando hacer suposiciones definitivas. La conclusión se basará principalmente en la evidencia adquirida y, por lo tanto, se basa principalmente en el trabajo de un investigador. La inteligencia, por otro lado, proporcionará su información final basada en sus conclusiones. Esto se debe al hecho de que las proyecciones futuras pueden carecer de evidencia directamente relacionada con ellas.

6. Difusión: la investigación produce información que está abierta al escrutinio público y, a menudo, se prueba para garantizar que haya

Ciberinteligencia y gobernanza: El arma secreta de las organizaciones en la economía digital

credibilidad. La inteligencia, por otro lado, a menudo arroja información confidencial que se proporciona a personas específicas. Hay privacidad al compartir la información y, a menudo, no está disponible para el escrutinio público.

Conclusión: Entonces, aunque las investigaciones y la inteligencia están estrechamente vinculadas y la investigación puede ser un componente de la inteligencia, existen diferencias fundamentales entre ellas que las diferencian, como se ha demostrado anteriormente.

Finalidad de la Ciberinteligencia

La finalidad es evitar la materialización de las ciberamenazas y que se conviertan en ciberriesgos, para ello es necesario obtener información y analizarla para proporcionar un producto de inteligencia sobre las capacidades e intenciones de cada una de las ciberamenazas detectadas.

¿Qué

es el concepto “Cyberwatch, o “cibervigilancia”?

Por cibervigilancia, nos referimos a todos los datos recopilados, procesados y analizados para comprender las motivaciones, los objetivos y el comportamiento de ataque de los ciberdelincuentes. La ciberinteligencia nos permite tomar decisiones de seguridad basadas en datos más informadas y más rápidas, así como pasar de un comportamiento reactivo a uno proactivo en la lucha contra el ciberdelito.

La inteligencia cibernética se refiere al conocimiento basado en evidencia (por ejemplo, contexto, mecanismos de ataque, indicadores de compromiso (IOC’s), implicaciones y consejos pragmáticos) sobre amenazas o peligros existentes o emergentes para los activos (Gardner, 1999).

¿Por qué es importante?

En el mundo de la ciberseguridad, las amenazas persistentes avanzadas (APT) y los equipos de seguridad juegan constantemente al gato y al ratón.

Los datos que predicen el próximo movimiento de los ciberdelincuentes son fundamentales para adaptar sus defensas y prevenir futuros ataques.

Las organizaciones son cada vez más conscientes del valor de la ciberinteligencia, tanto que la mayoría de ellas planea aumentar su gasto en ciberinteligencia en el corto plazo. Sin embargo, ser consciente del valor de la ciberinteligencia no es suficiente si no se entiende la seguridad de forma integral, holística e interrelacionada. Hoy en día, la mayoría de las organizaciones centran sus esfuerzos en los casos de uso concretos, como la integración de fuentes de datos de amenazas en redes existentes, sistemas IPS, firewalls y soluciones integradas que inyectan inputs de seguridad a cada SIEM, sin aprovechar al máximo la inteligencia que la cibervigilancia puede proporcionar.

Las organizaciones que se adhieren a este nivel básico de inteligencia (y es lo más habitual) cibernética se están perdiendo beneficios reales que pueden fortalecer significativamente sus posturas de seguridad, porque permite determinar si la inversión en seguridad se adecúa a la probabilidad de materialización del riesgo, sobreestimando o infra evaluando; y por tanto tratando la inversión y la gestión del riesgo de forma no realista.

La ciberinteligencia es fundamental por varias razones:

• Arroja luz sobre elementos desconocidos, lo que permite a los equipos de seguridad tomar decisiones más informadas.

• Brinda a los equipos de ciberseguridad una ventaja adicional al revelar las motivaciones de los adversarios (vía el entendimiento del perfil del atacante; en efecto, la evaluación psicológica es cada vez más necesaria en el ámbito cíber, sin que existan CISOS psicólogos con nociones de informática e inteligencia, por ejemplo, y esto provoca daltonismo analítico), así como sus tácticas, técnicas y procedimientos (TTP).

• Permite a los profesionales de la seguridad comprender mejor el proceso de toma de decisiones de los ciberdelincuentes.

Ciberinteligencia y gobernanza: El arma secreta de las organizaciones en la economía digital

• Empodera a las partes interesadas del negocio, como la junta directiva, el CIO, el CISO y el CTO, para invertir sabiamente, reducir el riesgo, ganar eficiencia y tomar decisiones más rápido.

¿Quién saca partido de la ciberinteligencia?

La ciberinteligencia interesa a todas las empresas, independientemente de su tamaño o modelo. Ayudar a procesar los datos de amenazas, les permite comprender mejor a los atacantes cibernéticos que los atacan, responder más rápidamente a los incidentes y contrarrestar a los ciberdelincuentes de manera proactiva, modelizando los posibles ataques en función de las capacidades y el perfil; y así establecer una “kill Chain” más certera.

• Los datos de ciberinteligencia ayudan a cualquier empresa a alcanzar niveles de protección que normalmente estarían fuera de su alcance porque se basan en protocolos, medios y métodos asimilados a sistemas de seguridad estatales.

• Las organizaciones con equipos de seguridad más grandes pueden reducir los costos y hacer una gestión del riesgo más eficiente al aprovechar la inteligencia cibernética externa para mejorar la eficiencia de sus analistas.

La ciberinteligencia ofrece ventajas únicas a cada responsable de la seguridad (es decir, todo el mundo, debido a las interrelaciones entre riesgos):

• Analista de TI

• SOC

• Equipo de Gestión de Crisis Global

• Departamento de Riesgos y auditoría interna

• Analista de inteligencia de otros tipos

• C-Suite

¿Cómo?

• Al Analista TI vía optimización de funcionalidades de prevención y detección, y endurecimiento de defensas

• A cada miembro del equipo SOC, permitiendo la priorización de incidentes en base a riesgo e impacto en el negocio

• Al equipo de Gestión de Crisis Global, departamentos de riesgos y auditoría interna, acelerando la priorización en el tratamiento, permitiendo la gestión adecuada vía investigación de incidentes y así dando una respuesta idónea al impacto posible en función de la aversión al riesgo.

• Analistas de inteligencia, vía identificación y seguimiento de otros impactos/oportunidades con impacto positivo o negativo a la empresa

• C-Suite, vía la comprensión del paradigma global del negocio y las opciones que tiene para hacer frente a las consecuencias de cada acción en función de respuesta probables de otros actores.

Ciclo de la Ciberinteligencia

El ciclo de ciberinteligencia es un proceso para transformar datos sin procesar en información procesable para la toma de decisiones y la acción. A medida que investiga, encontrará muchas versiones ligeramente diferentes del ciclo de inteligencia de amenazas, pero el objetivo es siempre el mismo: guiar a un equipo de ciberseguridad a través del desarrollo y la ejecución de un programa exitoso de inteligencia de amenazas.

La inteligencia cibernética es un verdadero desafío porque las amenazas evolucionan constantemente, lo que obliga a las organizaciones a adaptarse rápidamente y tomar medidas agresivas. El ciclo de inteligencia de amenazas proporciona un marco para que los equipos optimicen sus recursos y respondan de manera efectiva al panorama de amenazas fluctuantes en todo momento.

Ciberinteligencia y gobernanza: El arma secreta de las organizaciones en la economía digital

Este ciclo consta de seis pasos que forman un circuito de retroalimentación para fomentar la mejora continua, y su fundamento es el ciclo de inteligencia militar:

Pero, en la práctica, con saber que es un proceso iterativo es suficiente.

1. Definición de objetivos

El paso de establecimiento de objetivos es crucial para el ciclo de ciberinteligencia, ya que establece la hoja de ruta para una operación de ciberinteligencia específica. Durante esta etapa de planificación, el equipo acuerda los objetivos y la metodología de su programa de ciberinteligencia en función de las necesidades de las partes interesadas relevantes. El equipo puede tratar de identificar:

• Los ciberatacantes activos en un instante T (y cuyos factores se determina mediante la “Inteligencia de Amenazas” que comentaremos más adelante) y sus motivaciones.

• La superficie de ataque.

• Las medidas específicas necesarias para fortalecer las defensas contra un ataque futuro.

2. Obtención

Una vez definidos los objetivos, el equipo se dispone a recopilar la información necesaria, de fuentes evaluadas y cotejadas, para satisfacerlos. Dependiendo de los objetivos, el equipo generalmente consultará registros de tráfico, fuentes de datos disponibles públicamente, foros relevantes, redes sociales y expertos de la industria o del dominio.

3. Procesamiento

Una vez que se han recopilado los datos sin procesar, se deben tratar en un formato adecuado para el análisis. La mayoría de las veces, implica organizar datos en hojas de cálculo, descifrar archivos, traducir información de fuentes extranjeras y evaluar la relevancia y confiabilidad de los datos.

4. Análisis

Una vez que se ha procesado el conjunto de datos, el equipo debe realizar un análisis exhaustivo para encontrar respuestas a las preguntas planteadas durante la fase de establecimiento de objetivos. Durante la fase de análisis, el equipo también se esfuerza por traducir el conjunto de datos en acciones a tomar y recomendaciones útiles para las partes interesadas.

5. Difusión

La fase de difusión requiere que el equipo de ciberinteligencia traduzca su análisis a un formato digerible y presente los resultados a las partes interesadas. La forma en que se presenta el análisis depende de la audiencia prevista. En la mayoría de los casos, las recomendaciones deben presentarse de manera concisa, sin jerga técnica oscura, ya sea en forma de un informe de una página o una breve presentación de diapositivas. Para que esta labor sea exitosa, el sistema debe tratar de forma eficiente lo que se denomina “flujo de información”, concepto que se verá en un próximo capítulo.

Ciberinteligencia y gobernanza: El arma secreta de las organizaciones en la economía digital

6. Feedback

El último paso en el ciclo de ciberinteligencia es obtener retroalimentación sobre el informe proporcionado para determinar si es necesario realizar algún ajuste en futuras operaciones de ciberinteligencia. Las prioridades de las partes interesadas pueden cambiar o pueden querer cambiar la frecuencia con la que reciben informes de inteligencia cibernética, o la forma en que se difunden o presentan los datos. La realidad y las fuentes propias de los stakeholders del proceso de inteligencia también debe permitir orientar este sistema iterativo.

Ejemplos:

• Analista de Threat Intelligence (a partir de aquí “TI”). Objetivo la integración de flujos de ciberinteligencia con otros productos de seguridad (p.e. SIEM del tipo que sea).

• Bloqueo de direcciones IP, URL, dominios o archivos maliciosos. Gestión de IOC’s

• Equipo SOC. Objetivo el uso de ciberinteligencia para enriquecer alertas.

• Correlación de alertas en forma de incidencias.

• Optimización de los controles de seguridad implementados recientemente.

• Examen exhaustivo en busca de evidencia de intrusión.

Equipo de Gestión de Crisis Global, auditoría de riesgos: objetivo encontrar información sobre preguntas críticas (quién, qué, por qué, cuándo, cómo) con respecto a un incidente para dar respuestas adecuadas a cada gestión de crisis.

• Análisis de causa raíz para determinar la magnitud del incidente y el impacto más duro posible.

• Entender los impactos cruzados y correlar medidas de mitigación, compartimentación y control de daños.

• Retroalimentar el mapa de riesgos.

Analistas de inteligencia: objetivo reorientar los factores claves de inteligencia para determinar otros impactos posibles.

• Entender otros informes sobre casos similares para detectarlos y gestionarlos mejor.

C-Suite: objetivo evaluación general a nivel holístico y activación de procesos adicionales.

• Desarrollo de una hoja de ruta de seguridad.

• Reevaluar los Planes de Continuidad de Negocio y resiliencia.

Tipos de Ciberinteligencia

• La inteligencia estratégica, quien precisa de amplios márgenes de tiempo y, tras el análisis e integración de multitud de factores, pretende determinar el futuro considerando riesgos potenciales. Es de naturaleza predictiva.

• La inteligencia operacional, que permite emitir un juicio sobre la importancia, intensidad o magnitud de una amenaza real o potencial basándose en hechos, analizándolos e integrándolos. Es de naturaleza estimativa.

• La inteligencia básica, utilizada principalmente para establecer el escenario al comienzo de las operaciones y cubrir las necesidades de inteligencia relativas a elementos que tienen permanencia en el tiempo, como lo es el terreno, y otros que puedan surgir durante el planeamiento o la conducción de las operaciones.

• Inteligencia actual, la caula se define como “la inteligencia que refleja la situación actual tanto a nivel estratégico, operacional y táctico. Se refiere a la situación actual y a los acontecimientos en curso.”

• Inteligencia de alertas, definida como aquella que valida escenarios (hipótesis) que intentan predecir posibles acontecimientos futuros. Proporciona alertas a la Dirección de nivel estratégico.

o Se basa en Indicadores Críticos, que son evidencias que confirman o niegan una hipótesis.