OSINT es una abreviatura de "inteligencia de open source" y se refiere a un método de recopilación, evaluación y análisis de información disponible públicamente para generar información para la toma de decisiones. Originalmente parte de actividades de inteligencia militar, se utilizó en paralelo con SIGINT (Inteligencia de señales: inteligencia a través de la intercepción de comunicaciones) y HUMINT (Inteligencia humana: inteligencia a través de información humana) y se utilizó para la formulación de estrategias militares y de seguridad nacional. Actualmente, OSINT se ha extendido al sector privado y es utilizado diariamente por muchas empresas y organizaciones sin ánimo de lucro.
La información pública recopilada por OSINT es diversa. Incluye información publicada por el gobierno, información ampliamente accesible desde Internet, libros y artículos de noticias, etc.
Para utilizar OSINT, primero es necesario comprender el proceso. Recopilar y analizar información pública es solo un paso del proceso y no es un proceso completo. La serie de pasos en OSINT, que implica planificar cuidadosamente y convertir la información recopilada en inteligencia significativa, se denomina ciclo de inteligencia.
En términos del ciclo de inteligencia, estos son los procesos mediante los cuales se llevan a cabo las actividades de OSINT para combatir las ciberamenazas como parte de las medidas de ciberseguridad de una empresa.
En esta fase, evalúa las amenazas y riesgos de seguridad a los que se enfrenta su empresa, identifica qué información necesita y establece objetivos y prioridades para recopilar esa información.
A continuación, en función de las necesidades de información especificadas, se recopilan datos de fuentes públicas, que podrían incluir la web de Daewoo, las redes sociales, blogs de seguridad especializados y sitios de noticias, bases de datos de vulnerabilidades públicas (CVE), etc. Este proceso también puede implicar el uso de herramientas OSINT dedicadas y técnicas de raspado web.
La información recopilada es muy voluminosa y no está estructurada, por lo que debe procesarse y convertirse en una forma adecuada para el análisis, donde los datos se filtran, estandarizan y se elimina la información no importante. El procesamiento eficaz de los datos en esta fase determina en gran medida la calidad del análisis posterior.
A continuación, los datos se someten a un análisis de amenazas, que incluye la identificación de vulnerabilidades que los ciberataques, la identificación de patrones de ataque y la predicción de la intención y las capacidades de los atacantes. A partir del análisis, las empresas pueden comprender las amenazas específicas y sus contramedidas, priorizarlas y desarrollar un plan de respuesta.
Por último, la información sobre amenazas generada se comparte con los responsables de la toma de decisiones pertinentes (departamentos de TI, gestión y, a veces, compañeros en otros sectores o agencias gubernamentales). El ciclo de inteligencia puede continuar en función de los comentarios de los responsables de la toma de decisiones. Es importante tener en cuenta que el papel de la inteligencia no es solo recopilar información, sino utilizar esa información de forma efectiva y contribuir a lograr los objetivos de la organización. Para ello, la comunicación con los responsables de la toma de decisiones es esencial, desde la planificación hasta el intercambio. También es importante ser siempre consciente de lo que quieren los responsables de la toma de decisiones.
Recientemente, las herramientas OSINT para ciberamenazas se han vuelto cada vez más sofisticadas, lo que permite recopilar la información necesaria de forma eficiente. Estas son algunas de las herramientas OSINT que se utilizan ampliamente.
Un motor de búsqueda que puede buscar dispositivos conectados a Internet que no se encontrarían en una búsqueda web general (como una búsqueda con Google). Recopila números de puerto, direcciones IP e información de ubicación de servidores y dispositivos IoT disponibles públicamente. Se puede utilizar para comprobar la información de vulnerabilidad y el control de acceso.
Una herramienta de análisis visual y correlación de datos que le permite asignar visualmente relaciones entre personas, grupos, organizaciones, sitios web, infraestructura de Internet, redes sociales, etc. Le ayuda a comprender el panorama general que conecta la información visualizando relaciones complejas.
Al combinar comandos avanzados, la función de búsqueda proporcionada por Google puede extraer de forma eficiente información detallada y datos específicos que no se pueden obtener mediante búsquedas normales. Dicho uso de la función de búsqueda se denomina "Google Dorks" y la información indexada se muestra en los resultados de búsqueda. Al utilizar esta función, puede comprobar si su organización ha publicado accidentalmente información que no debería hacerse pública.
Ejemplos de consultas de búsqueda utilizadas por Google Dorks
Hasta ahora, hemos introducido el significado de OSINT y las herramientas que utiliza, pero cuando utiliza OSINT, debe tener en cuenta lo siguiente:
Utilizamos información pública como nuestra principal fuente de datos, pero siempre debe verificar la fiabilidad y precisión de esa información. El hecho de que una fuente sea pública no significa que el contenido sea preciso, por lo que es especialmente importante estar atento a la desinformación y la desinformación.
La información obtenida a través de OSINT puede quedar obsoleta con el tiempo, por lo que debe actualizarse periódicamente y su validez debe evaluarse continuamente. Además, debido al volumen de datos recopilados, es importante contar con un sistema de gestión de datos eficaz para mantenerlo organizado y accesible.
Teniendo en cuenta estas precauciones, se deben establecer políticas claras con antelación al promover el uso de OSINT en una organización. Además, se requiere conocimiento para recopilar y seleccionar información OSINT. Compartir información como las prácticas recomendadas dentro de una organización puede ayudar a las organizaciones a promover el uso de OSINT de forma más eficiente.
En Trend Micro, utilizando la inteligencia de open source (OSINT) de Trend Micro, creamos informes de investigación con tendencias clave en el panorama de amenazas de ransomware.
Utilizamos los datos de OSINT junto con los datos de los sitios de fuga de RaaS y grupos de extorsión, y de Trend Micro to Smart Protection Network
En investigaciones recientes creadas gracias a la inteligencia de open source (OSINT) de Trend Micro, analizamos en profundidad nuestra supervisión del panorama del ransomware durante la segunda mitad de 2023, centrándonos en las familias responsables de atraer el mayor número de ataques: LockBit, BlackCat y Clop.
Trend Micro Cloud Security permite a los equipos visualizar y priorizar el riesgo, así como automatizar la detección y respuesta en entornos locales, híbridos y multinube.
Vaya más allá de la CNAPP para obtener una visibilidad completa, priorizar el riesgo y automatizar la respuesta en entornos híbridos y multinube.