Ir al contenido

Inteligencia de Ciberamenazas

De Wikipedia, la enciclopedia libre

La Inteligencia de Ciberamenazas (en inglés: Cyber Threat Intelligence, CTI), también conocida como Inteligencia de Amenazas Cibernéticas, es la actividad de recopilar información basada en conocimientos, habilidad y experiencias sobre la ocurrencia y evaluación de amenazas cibernéticas y físicas, así como en los actores de amenazas que tienen la intención y el objetivo de ayudar a mitigar los posibles ataques y eventos dañinos que ocurren en el ciberespacio[1][2]​.

Este concepto surgió para combatir la gran variedad de amenazas que se están produciendo así como para ayudar a los profesionales de la seguridad a reconocer los indicadores de los ciberataques, extraer información sobre los métodos de los ataques, y en consecuencia, responder a los mismos de manera idónea y precisa[3][4]​.

La Inteligencia de Ciberamenazas busca generar conocimiento en torno al enemigo con la finalidad de reducir el riesgo que puede ocasionar sobre cualquier institución. Es una estrategia que en todo momento buscará anteponerse a los ataques y contrarrestarlos analizando la amenaza en su conjunto para detectar los datos clave que ayudan a identificar al autor del ataque, al ciberdelincuente[3]​. Su finalidad última es proporcionar la capacidad de percibir, reconocer, razonar, aprender y actuar de manera inteligente y oportuna sobre indicadores de escenarios de ataque y ataques cibernéticos avanzados, dicho de otra forma, tomar las acciones defensivas inteligentes correspondientes[4][5]​.

Para ello, se basa en multiplicidad de fuentes y técnicas como la inteligencia artificial; la inteligencia de fuentes abiertas; la inteligencia de redes sociales; la inteligencia humana; la inteligencia técnica; datos adquiridos forensemente; inteligencia del tráfico de Internet; archivos de registro de dispositivos; e incluso la inteligencia que proviene del análisis de la Deep web y Dark web[1][4]​.

Proceso - Ciclo de inteligencia

[editar]

El proceso de desarrollo de la Inteligencia de Ciberamenazas es un proceso circular y continuo, conocido como el ciclo de inteligencia, el cual se comprende en cinco fases[3][6][7][8]​, realizadas por equipos de inteligencia para proporcionar al liderazgo la inteligencia relevante y conveniente para disminuir el peligro y la incertidumbre[7]​.

Las 5 fases son: 1) planificación y dirección, 2) recogida; 3) procesamiento; 4) análisis; 5) diseminación[3][6][7][8]​.

En la planificación y dirección, el consumidor/cliente del producto de inteligencia solicita inteligencia sobre un tema u objetivo específico. Después, una vez dirigido por el cliente, comienza la segunda fase, la recogida, que implica el acceso a la información sin procesar, la cual se requerirá para producir el producto de inteligencia finalizado. Puesto que la información no es inteligencia, debe ser transformada y por ello debe pasar por las fases de procesamiento y análisis: en el procesamiento (o fase preanalítica) la información sin procesar se filtra y prepara para el análisis a través de una serie de técnicas (descifrado, traducción de idiomas, reducción de datos, etc.); en la fase de análisis la información organizada se transforma en inteligencia. Finalmente, la fase de diseminación, en la cual la inteligencia de amenazas recién seleccionada se envía a los distintos usuarios para su uso[6][8]​.

Tipos

[editar]

La Inteligencia de Ciberamenazas se ha desarrollado en tres niveles generales: 1) táctico; 2) operacional; 3) estratégico[2][3][8][9][10]​. Estas clases son fundamentales para construir una evaluación integral de amenazas[3]​:

  • Táctico: se suele utilizar para ayudar a identificar los actores de amenazas. Se utilizan indicadores de compromiso (como direcciones IP, dominios de internet o hashes) y se comienza a profundizar en los análisis de tácticas, técnicas y procedimientos (TTP) que emplean los ciberdelincuentes. Los conocimientos generados a nivel táctico ayudarán a los equipos de seguridad a predecir los próximos ataques e identificarlos en las etapas más tempranas posibles[2][3][7][8][10]​.
  • Operacional: este es el nivel de inteligencia de amenazas más técnico. En este se comparten detalles concretos y específicos sobre ataques, motivación, capacidad de los actores de amenazas y campañas individuales. Los conocimientos proporcionados por expertos en inteligencia de amenazas en este nivel incluyen la naturaleza, la intención y el momento de las amenazas emergentes. Este tipo de información es más complicada de obtener y la mayoría de veces se recopila a través de foros web profundos y oscuros a los que los equipos internos no pueden acceder. Los equipos de seguridad y respuesta a ataques son los que utilizan este tipo de inteligencia operativa[2][3][8][10]​.
  • Estratégico: suele adaptarse a audiencias no técnicas, es inteligencia sobre riesgos generales que se asocian con las ciberamenazas. El objetivo es entregar, en forma de documentos técnicos e informes, un análisis detallado de los riesgos actuales y futuros proyectados para el negocio, así como las posibles consecuencias de las amenazas para ayudar a los líderes a priorizar sus respuestas[2][3][8][10]​.

Beneficios de la inteligencia de ciberamenazas

[editar]

La Inteligencia de Amenazas Cibernéticas proporciona una serie de beneficios en los que se encuentran los siguientes:

  • Proporciona contexto y conclusiones sobre los ataques activos y amenazas potenciales para facilitar la toma de decisiones[3]​.
  • Reduce los riesgos ya que para la toma de decisiones se tienen datos útiles[1]​.
  • Evita que las filtraciones de datos liberen información confidencial, por lo que evita la pérdida de datos[10]​.
  • Reduce los costes. Como las filtraciones de datos son costas, al reducir el riesgo de violaciones de datos ayuda a ahorrar dinero[10]​.
  • Detecta patrones que usan los hackers[10]​.
  • Ayuda y proporciona instrucciones a las instituciones sobre cómo implementar medidas de seguridad para protegerse contra futuros ataques[10]​.
  • Ayuda a las instituciones a comprender los riesgos cibernéticos y qué pasos se necesitan para mitigarlos[10]​.
  • Informa a los demás a través de los expertos en este campo puesto que estos comparten las tácticas que han visto con otros en su comunidad para crear una base de conocimiento colectiva para combatir los delitos cibernéticos[10]​.
  • Proporciona valor añadido a la información, lo que reduce la incertidumbre del consumidor y el tiempo que se tarda en identificar las amenazas y oportunidades[3]​.
  • Ayuda a identificar más fácilmente los mecanismos de entrega, los indicadores de compromiso en toda la infraestructura y los posibles actores y motivadores específicos[5]​.
  • Ayuda en la detección de ataques durante y antes de estas etapas[5]​.
  • Proporciona indicadores de las acciones realizadas durante cada etapa del ataque[5]​.

Elementos clave

[editar]

Hay tres elementos clave que deben estar presentes para que la información o los datos se consideren inteligencia de amenazas[8]​:

  • Basado en la evidencia: para que cualquier producto de inteligencia sea útil, primero debe obtenerse a través de métodos adecuados de recogida de evidencia. Se debe tener en cuenta que a través de otros procesos (como el análisis de malware) se puede producir inteligencia de amenazas.
  • Utilidad: para que la inteligencia de amenazas tenga un impacto positivo en el resultado de un acontecimiento de seguridad, debe tener alguna utilidad. La inteligencia debe proporcionar claridad, en términos de contexto y datos, sobre comportamientos y métodos específicos.
  • Accionable: la acción es el elemento clave que separa la información o los datos de la inteligencia de amenazas. La inteligencia debe impulsar la acción.

Situación actual

[editar]

Los ciberataques han aumentado notoriamente tanto en frecuencia como sofisticación, presentando grandes retos para las instituciones que deben defender sus sistemas y datos de estos actores. Los actores de amenazas pueden ser persistentes, motivados y ágiles, y utilizan una variedad de TTPs para conseguir sus objetivos. Dados los riesgos que presentan estas amenazas, cada vez es más importante que las instituciones compartan información sobre las amenazas cibernéticas y la utilicen para mejorar su postura de seguridad[11]​.

Por ello, en los últimos años, la inteligencia de amenazas se ha convertido en elemento crucial en las estrategias de ciberseguridad de las empresas puesto que permite a las compañías ser más proactivas en su enfoque y determinar qué amenazas representan los mayores riesgos para el negocio. Esto lleva a que las empresas sean más activas en la detección de vulnerabilidades y prevención de ataques[12]​.

Debido a la pandemia de COVID-19 y al teletrabajo que produjo, las vulnerabilidades frente a las ciberamenazas han aumentado considerablemente, hecho que ha dejado expuestos los datos de las personas físicas y jurídicas sin seguridad[13]​. Por ello, y debido al aumento de las amenazas cibernéticas y las necesidades de sofisticación de la inteligencia de amenazas, las empresas han optado por subcontratar sus actividades de inteligencia de amenazas a un proveedor de servicios de seguridad administrada (MSSP)[14]​.

Véase también

[editar]

Referencias

[editar]
  1. a b c Oudot, Laurent (1 de junio de 2022). «¿Qué significa CTI (Cyber Threat Intelligence)?». TEHTRIS. Consultado el 13 de abril de 2023. 
  2. a b c d e Bank of England. (2016). CBEST Intelligence-Led Testing: Understanding Cyber Threat Intelligence Operations. https://www.bankofengland.co.uk/-/media/boe/files/financial-stability/financial-sector-continuity/understanding-cyber-threat-intelligence-operations.pdf
  3. a b c d e f g h i j k «¿Para qué sirve y cómo se usa la Cyber Threat Intelligence?». blog.softtek.com. Consultado el 13 de abril de 2023. 
  4. a b c Conti, M.; Dehghantanha, A. (2018). «Cyber Threat Intelligence: Challenges and Opportunities.». En A. Dehghantanha, M. Conti y T. Dargahi., ed. Cyber threat intelligence. Springer Cham. pp. 1-6. 
  5. a b c d Shackleford, D. (2015). «Who’s Using Cyberthreat Intelligence and How?». SANS Institute. 
  6. a b c Phythian, M. (2013). «Beyond the Intelligence Cycle?». En M. Phythian, ed. Understanding the Intelligence Cycle. (en inglés) (1ª edición). Routledge. pp. 17-23. 
  7. a b c d Kime, B. (2016). «Threat Intelligence: Planning and Direction.». SANS Institute. 
  8. a b c d e f g h Johansen, G. (2020). Digital Forensics and Incident Response: Incident response techniques and procedures to respond to modern cyber threats (en inglés) (2ª edición). Packt Publishing Ltd. 
  9. Trifonov, R.; Nakov, O.; Mladenov, V. (2018). «Artificial Intelligence in Cyber Threats Intelligence.». IEEE (en inglés): 1-4. 
  10. a b c d e f g h i j «What is threat intelligence? Definition and explanation». www.kaspersky.com (en inglés). 18 de abril de 2022. Consultado el 13 de abril de 2023. 
  11. Johnson, C.; Badger, M.; Waltermire, D.; Snyder, J.; Skorupka, C. (2016). «Guide to Cyber Threat Information Sharing (NIST SP - 800-150).». National Institute of Standards and Technology. 
  12. «Managed threat intelligence». CyberProof (en inglés estadounidense). Consultado el 13 de abril de 2023. 
  13. INTERPOL. (4 de agosto de 2020). «Un informe de INTERPOL muestra un aumento alarmante de los ciberataques durante la epidemia de COVID-19.». Interpol. 
  14. Check Point Company. «What is a Managed Security Service Provider (MSSP)?». Check Point.