Inteligencia y Fuentes de Información
Tiempo de lectura estimado: 12 minutos
Esta conferencia magistral pertenece al Módulo 5 “Inteligencia. Fuentes para la investigación” de C1b3rWall Academy 2021/2022. El objetivo de la misma es conocer algunas de las técnicas y herramientas que podemos utilizar a la hora de reunir información.
Antes de entrar, en materia, vamos a repasar algunas definiciones aunque parezcan obvias.
- Información: Conjunto de datos que forman un mensaje, que cambia el estado de conocimiento del sujeto que recibe el mensaje.
- Inteligencia: Capacidad de percibir información, y retenerla como conocimiento para aplicarlo a comportamientos futuros.
- Fuentes abiertas: Son aquellas fuentes de carácter público con independencia si son o no gratuitas o del soporte o del medio de transmisión.
Diferencia entre inteligencias
- Inteligencia biológica: Facultad de la mente que permite aprender, entender, razonar, tomar decisiones y formarse una idea determinada de la realidad. (Oxford Languages)
- Inteligencia estratégica: Obtención de información requerida por la dirección y planificación, obtención de datos, análisis de esos datos y transformación en inteligencia y puesta a disposición de los usuarios.
- Ciberinteligencia: Proceso y producto de la obtención y análisis de datos e información en / sobre el ciberespacio, realizado por especialistas y orientado a la toma de decisiones en forma, tiempo y lugar (Javier Candau (CCN-CERT) y M. Torres (Gesi)).
- Inteligencia policial: Destinada al mantenimiento de la seguridad interior, orden público y la persecución de la inteligencia.
Antiguamente, se convertía la información policial en inteligencia policial con el “Ciclo de la información”. Sigue vigente, pero existe una nueva tendencia en la elaboración de la información. Para que sea eficaz, hay que definir los objetivos que se quieren cumplir (ej. reducir los delitos con violencia en esta zona), qué necesidades de inteligencia para cada tipo de servicio tenemos y elaborar un plan para satisfacer este plan de inteligencia.
La tendencia actual es la “prospectiva”. Es una disciplina que nos permite anticipar y pronosticar el futuro mediante el análisis prospectivo. Vamos a ver las fases en detalle:
- Recopilación. Necesitamos un plan de recogida que nos diga qué datos han de facilitarse, por parte de quién, cuándo, a dónde debe dirigirse la información y cómo debe transmitirse. El plan evita pérdidas de tiempo y energía, aumenta la eficacia y simplifica la coordinación. Algunos ejemplos de recopilación de fuentes abiertas son datos personales, cantidad de datos en redes, temporalidad de los mensajes en redes sociales o salvaguardas.
- Evaluación. Hay que evaluar tanto la información como la fuente; atribuir valor a los datos recogidos, evaluarlos y determinar datos específicos. Hay que tener en cuenta posibles memes, fechas importantes para un colectivo, fake news o trolls.
- Tratamiento. Debemos tener claro la exactitud en el tratamiento de los datos, que sean accesibles y la posibilidad de resumen y concentración del dato. Esto es, por la cantidad ingente de datos, para que sean accesibles con herramientas en bases de datos y desde cualquier sistema (funciones hash).
- Análisis. Lo ideal es formar un todo para darle sentido. Realizar una labor de conversión de información a inteligencia y dar prioridad a cierta información y buscar conexiones. Para ello, se utiliza cada vez más la inteligencia artificial.
- Difusión. Hay que hacer unos informes de inteligencia operativa (a corto plazo) y estratégica (medio-largo plazo). En inteligencia en fuentes abiertas, la operativa debe ser inmediata al tratar con hechos volátiles (un tweet que se puede borrar o un story de Instagram); la estratégica, por ejemplo, sería el seguimiento de un perfil.
La nueva tendencia (Herman Goldstein) apunta a que la policía debe estudiar el delito con una metodología de solución de problemas siguiendo cuatro fases:
- Identificación de patrones en los delitos producidos repetitivamente
- Análisis de estos patrones en relación a posibles causas
- Implementación de soluciones a estas causas enfocadas en la prevención
- Evaluación soluciones tomadas y reinicio del ciclo
El nuevo modelo sería algo así:
El ViCAP del FBI lo utiliza ante la cantidad ingente de fuentes e información que existen. Este nuevo modelo no desbanca al anterior, sino que lo complementa, ya que tiene fases que son necesarias.
Identidades físicas, digitales y de redes sociales
La identidad digital es la imagen que los demás tienen acerca de nosotros. Se define a partir de las fotos que compartimos o en las que salimos, datos personales, gustos, deportes que vemos, etc. Nos identifica como usuarios.
La identificación es la información que puede ser utilizada para identificarnos, contactarnos o saber nuestra ubicación (personally identifiable information) como el nombre completo, la fecha de nacimiento, DNI, domicilio, teléfono móvil, dirección IP…
Herramientas para poder hacer inteligencia
- OSINT Framework: Nos proporciona una “ruta” para saber dónde conseguir información dependiendo de su tipo. Puedes acceder gratuitamente aquí.
- Buscadores web: Se puede filtrar por ciertas palabras, redes sociales, por hashtags, excluir palabras, intervalos… Dependiendo de nuestra intención hay diferentes herramientas:
- Recolectar metadatos: Metagoofil, Permite la extracción de metadatos de documentos públicos y a partir de ella se pueden obtener direcciones de correo otros datos; Librextractor, similar al anterior pero soporta muchos más formatos, aunque la información obtenida no es de tanta utilidad.
- Obtención de información a partir de un dominio: Domaintools, una de las mejores en este ámbito, permite crear alertas a usuarios que registran dominios, monitorizar dominios e IPs, etc; Robtex, muestra, entre otras cosas, la fiabilidad del dominio, el listado de subdominios, los servidores de correo o el ISP que utiliza; MyIPNeighbors, permite obtener listado de dominios que comparten servidor con el dominio indicado.
- APIs de servicios (Facebook, Google…): Mediante los métodos que implementan se pueden consultar de manera automatizada los datos publicados.
- Otras herramientas de interés: GooScan, Permite automatizar búsquedas en Google pudiendo identificar una manera sencilla subdominios de un dominio concreto, fuga de información o posibles vulnerOsintStalkerabilidades; SiteDigger, , Cree.py o Theharvester son otras interesantes.
- Mención especial: Palantir, empresa que tiene como cliente a diferentes servicios del Gobierno de EEUU (CIA, NSA, FBI) desarrolla software contra el terrorismo y fraude. Maltego, permite visualizar de manera gráfica las relaciones entre personas, empresas, páginas web, documentos, etc. a partir de la información pública.
- Bellingcat: usuarios sin ánimo de lucro van colgando técnicas de OSINT.
- IFTTT: permite crear y programar acciones para automatizar tareas.
- Tinfoleak: permite obtener información detallada de un usuario de twitter (aplicación cliente, hashtags, menciones, tweets, metadatos, media y geolocalización.
- Twint: herramienta de scrapping de Twitter que permite recuperar tweets de perfiles sin usar la API de Twitter.
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.
Ponente: Francisco Domínguez Pérez
Subinspector de la Policía Nacional en la Comisaría General de la Información. Es profesor en varios Másters de ciberseguridad e ingeniería y miembro del Interpol Digital Firensic Expert Group, así como del IUICP y del RLFOE.
¿Cuál es tu reacción?