El bastionado de equipos y redes, crucial en la ciberseguridad corporativa

La protección de los sistemas y datos existentes en las organizaciones debe de ser la prioridad número uno. Existen multitud de estrategias, modus operandi, mecanismos, servicios y herramientas para conseguirlo. Una de ellas es el bastionado de equipos, dispositivos y redes corporativas.

El bastionado consiste en una estrategia de ciberseguridad especialmente orientada a fortalecer la defensa de los sistemas informáticos/digitales de las empresas con el objetivo final de protegerlos contra riesgos y amenazas, ya sean estos internos y externos. De este modo se pueden prevenir gran cantidad de incidentes y ciberincidentes provocados por vulnerabilidades, brechas de seguridad, etc.

Las tareas de bastionado deben ser definidas e implementadas por profesionales expertos, que, de forma personalizada, aplicarán lo justo y necesario para cada estructura, arquitectura, dispositivos, red de cada empresa en concreto.

Entre las tareas que podrán realizarán estos técnicos, podemos identificar las siguientes:

• Diseño y definición de maquetas seguras. Antes de implementar cualquier sistema o red, es fundamental diseñar una maqueta segura. Esto implica planificar la arquitectura de la red, identificar puntos de entrada posibles para intrusos y determinar cómo se deben configurar los dispositivos y sistemas para minimizar riesgos.

• Configuraciones seguras. Los servicios de bastionado requieren configurar cada componente del sistema (de forma independiente, pero pensando en la totalidad) de manera segura. Esto significa que se deberá tener en cuenta la definición y revisión de políticas de contraseñas sólidas, la desactivación de los servicios que ya sean innecesarios, las actualizaciones periódicas de software, así como las configuraciones generales, las de los firewalls y demás componentes que controlen el tráfico en la red.

• Selección de aplicaciones. Saber elegir aplicaciones más adecuadas para cada caso, es de vital importancia. Las empresas deben de emplear software confiable y aplicaciones confiables que, en la medida de lo posible, carezcan de bugs o vulnerabilidades. Además, los responsables de ellas en las empresas, deben mantenerlas continuamente actualizadas a la última versión.

• Gestión de identidad y acceso. Existen diferentes mecanismos, el principio de menor privilegio, etc. Pero es necesario identificar, definir, gestionar y controlar quién tiene acceso a qué. Esta es una tarea esencial del bastionado. Para conseguirlo, se deben implementar sistemas de autenticación sólidos y asegurarse de que tanto empleados, como socios, proveedores y colaboradores solo tengan acceso a lo estrictamente necesario.

• Supervisión y detección de amenazas. Por supuesto, el contar con una monitorización continua y servicios/sistemas de detección de amenazas, es crítico, pues permite a las empresas una respuesta rápida en te incidentes o situaciones indeseadas.

Pero, ¿Cómo se realiza la labor de bastionado dentro de una empresa?:

1. Evaluación de riesgos. Antes de ponerse manos a la obra, es necesario realizar una evaluación de riesgos, con el objetivo de identificar las posibles amenazas y riesgos a los que está expuesta la empresa y sus entornos.
2. Planificación de la estrategia. Una vez conocidos los potenciales riesgos y amenazas, con esta información de contexto se puede definir una estrategia de bastionado. En ella se deben determinar los alcances, objetivos específicos, políticas de seguridad y, en concreto, elaborar un detallado plan de implementación del bastionado.
3. Implementación gradual. Comencemos con la ejecución. Ésta debe realizarse de forma concienzuda y progresiva, prestando especial atención y priorizando las actividades de los sistemas considerados más críticos. A posteriori, el bastionado deberá irse ocupando del resto de sistemas, dispositivos y redes.
4. Mantenimiento continuo. Esta actividad no debería ser un hito que se realiza en una ocasión y se considera como finalizada. El bastionado requiere una revisión, gestión y mantenimiento constante que pasa por la ejecución repetitiva y periódica del plan, que incluirá la aplicación de parches de seguridad, actualización de políticas y revisiones periódicas de la estrategia, del plan ejecutado y del estado actual.
5. Educación y concienciación. Por último, la concienciación, capacitación, formación y entrenamiento de la plantilla es clave, pues ésta será quien maneje las aplicaciones y sistemas corporativos. No se trata solo de que conozcan y manejen aspectos clave de ciberseguridad, sino que, además, deben estar informados y actualizados sobre las políticas establecidas y conocer perfectamente las recomendaciones y buenas prácticas a aplicar en todo momento.

Pero, las empresas no cuentan con un equipo experto dedicado a esta actividad, por lo que subcontratan este tipo de servicios especializados de ciberseguridad, ciberdefensa y ciberinteligencia, como los que ofrecemos en Zerolynx: Bastionado de Equipos y Redes.

¿Quieres que te ayudemos en el bastionado de los equipos y redes de tu empresa?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx.

Si lo prefieres, contáctanos y hablamos.

Así se hizo desde Zerolynx el programa de Equipo de Investigación de la Sexta "Las Estafas de los Famosos"

El pasado viernes 17 de noviembre, el programa Equipo de Investigación de La Sexta dedicó un programa a las estafas de criptomonedas, más concretamente, a las Estafas de los Famosos, un lucroso engaño en el que los ciberdelincuentes utilizan falsas plataformas de trading de criptomonedas para que las víctimas inviertan en ellas su dinero. 

Durante la investigación, el equipo de La Sexta contactó con Zerolynx para solicitar apoyo técnico y poder dar respuesta a algunas incógnitas. En este trabajo colaboraron nuestros compañer@s Noelia y Sergio, de nuestro equipo de ciberinteligencia y, parte de los resultados, fueron presentados por nuestro CEO, Juan Antonio Calles, en diferentes intervenciones durante el transcurso del programa.

Nuestra intervención comenzó con el análisis de una serie de enlaces a supuestas páginas webs donde se presentaban imágenes de famosos relacionados, principalmente, con el programa El Hormiguero de Antena 3. Estos personajes públicos, según dichos sitios webs, se habrían hecho millonarios a través de plataformas de trading de criptomonedas, un gancho simple y atractivo para atraer a potenciales víctimas, menos familiarizadas con el uso de Internet.

El estudio de las páginas webs llevó a la conclusión obvia y esperada, se trataba de artículos creados para propiciar el clic hacia las falsas plataformas de trading. Estas webs iban creándose y eliminándose cada pocos días, aunque algunas de ellas alojadas sobre la plataforma Medium continuaron activas muchas semanas, y algunas, como la siguiente, continúan activas a la fecha de publicación de este artículo:

https://medium.com/@josuegarciavillavazquez/informe-especial-la-%C3%BAltima-inversi%C3%B3n-de-boris-izaguirre-asombra-a-los-expertos-y-aterroriza-a-los-b10406538bd9

¿Pero a dónde dirigían estas páginas webs trampa? Bien, todos los sitios estaban inundados de enlaces que apuntaban a las mismas plataformas, supuestas páginas desde donde los internautas podrían invertir en criptomonedas. Concretamente, los anuncios que nos pidió investigar el equipo de La Sexta dirigían a diferentes variantes de la plataforma "Immediate Edge". Los enlaces aún siguen vivos e indexados en Google:  https://www.google.com/search?q=immediate+edge.

Con otra búsqueda en Google se puede ver que sobre esta supuesta empresa pesa una advertencia de la CNMV alertando de que dicha entidad no puede operar de acuerdo a la Ley del Mercado de Valores.

Majo Sellens y el resto del equipo que coordinó la investigación decidió registrarse en varias de estas plataformas con un teléfono real, y pudieron comprobar como al poco tiempo empezaron a ser acosados por supuestos gestores financieros que querían asesorarles para invertir. Al inicio del programa, en la escena que os compartimos a continuación, pudo verse una de estas llamadas.

Dos de las comunicaciones que recibieron fueron a través de la plataforma WhatsApp, y nos facilitaron las imágenes y los números de los supuestos asesores financieros (Juan y Natalia) para poder investigar quién había detrás.

No tardamos mucho en darnos cuenta de que Juan, no era Juan, era un perfil falso con una imagen extraída de uno de tantos bancos de imágenes donde la fotografía se encontraba disponible: 

Y de que Natalia, tampoco era Natalia, sino que era la influencer @brittanyxavier, a la que le habían robado una de sus fotografías: https://www.instagram.com/p/BLg3weshZ4X/.

Tras diversas conversaciones, Majo recibe diferentes wallets de Bitcoin donde poder comenzar a invertir sus primeros 250 €, y nos facilita algunas de ellas para verificar si las carteras virtuales existían, y si tenían movimiento.

El primero de los wallets que nos facilitan había movido unos 4.000 dólares, y el dinero que recibía rápidamente era movido a otros wallets:

Pudimos seguir hasta 4 saltos de dinero entre wallets.

La cantidad de dinero del último wallet llamó mucho la atención a los periodistas, y no es para menos, porque la suma movida superaba al PIB de muchos países, pero esa es la realidad de las criptomonedas, ya no son un submundo al contrario de lo que mucha gente pueda seguir pensando:

Tanto los saltos que habría dado la transferencia inicial por los diferentes wallets que pudimos monitorizar, como los movimientos que se pueden ver en este último wallet (perteneciente a una gran plataforma de intercambio, Binance), complican trazar e identificar quienes estarían detrás de las estafas. 

No obstante, el modus operandi de este tipo de delincuencia suele caracterizarse por mover el dinero por plataformas con alta discreción como los mixers. Por ello, en el programa, ya en su parte final, estuvimos hablando de sitios web como Sinbad, un mixer a través del cual es posible (más o menos) frustrar los esfuerzos de rastreo de dinero, tomándolo y mezclándolo con las criptomonedas de otros usuarios. Este servicio se sufraga a través de las comisiones que cobra en función de lo rápido que desee lavarse el dinero:

El equipo de la Sexta fue más allá de nuestra breve investigación tecnológica y llegaron hasta Albania, localizaron a antiguos empleados de estos grupos de estafadores y a muchas víctimas engañadas, por lo que no dejéis de ver el programa. Estamos seguros de que gracias a este trabajo miles de personas evitarán ser estafas, y podremos seguir haciendo de Internet un lugar más seguro para todos.

¡Un saludo!

La seguridad del dato como eje estratégico e integral de la ciberseguridad corporativa

La seguridad del dato, continuidad de negocio y la resiliencia, son aspectos fundamentales que deben de ser considerados transversales y ejes vertebrales de la estrategia de ciberseguridad corporativa de las empresas.

Garantizar la seguridad de la información en (y de) las empresas, es crítico. La cada vez más amplia cantidad de datos que se manejan y la dependencia sobre ellos de las tecnologías de la información, hacen que la protección de los datos deba ser prioritaria.

Para lograr una seguridad efectiva, es esencial comprender y aplicar los cinco pilares de la seguridad de la información:

1. Confidencialidad.
2. Integridad.
3. Disponibilidad.
4. Autenticidad.
5. Legalidad.

Estos pilares son fundamentales para garantizar que los datos estén protegidos contra fallos y ciberamenazas, tanto internas como externas.

Veamos en detalle cada uno de los pilares de la seguridad de la información.

La confidencialidad garantiza que los datos o información (de cualquier tipo, pero especialmente aquella que es sensible y privada) se mantengan protegidos y a salvo de quienes no deban tener acceso a ella.

Por otro lado, dicha información, además de no estar accesible a usuarios sin permisos, debe estar oculta para ellos, protegiendo así la confidencialidad, previniendo fugas de información y/o violaciones de privacidad.

Existen multitud de mecanismos para garantizar la confidencialidad de los datos y su protección, pero veamos alguno de ellos con el objetivo de poder tomar medidas al respecto:

• Establecimiento de controles de acceso en varias capas que, mediante un robusto sistema de autenticación de los usuarios y autorización segmentada a determinados niveles de información, permitan determinar y aplicar los permisos que tienen los usuarios autorizados sobre la información disponible y denegar al mismo tiempo el acceso a quienes no los deben de tener.

• Cifrando o encriptando la información, para que esta no sea legible o comprensible por quien no debe y pueda interceptarla en alguno de sus estadios (en reposo o en tránsito), garantizando así que, aunque un usuario pudiese “acceder” a ella, le sea imposible entenderla o descifrarla.

• Aplicando políticas de privacidad que todos los empleados de la empresa deben entender y aplicar de forma escrupulosa, garantizando así la confidencialidad de la información.

Poniendo en marcha mecanismos como estos (y otros), incrementaremos en nivel de protección de la información sensible en nuestra organización, evitando o minimizando al máximo posible su grado de exposición a riesgos y amenazas.

Esto, a su vez, redundará en una mejor imagen corporativa, reputación de la empresa, mejorando sus objetivos de negocio, favoreciendo el cumplimiento normativo, evitando sanciones e incrementando la confianza entre clientes, socios, colaboradores, partners, proveedores, etc.

La integridad de la información hace referencia a que los datos no han sido modificados ni alterados, de forma no autorizada (intencionada o no) por un usuario o sistema, garantizando de este modo que ésta sea precisa y fiable.

Entre muchos otros, algunas acciones o mecanismos para proteger la integridad de los datos, pueden ser los siguientes:

• Usando firmas digitales mediante las cuales se pueda corroborar que la información firmada es la original, no ha sido alterada y, por tanto, no tiene cambios ni cualquier tipo de modificación desde su creación y/o almacenamiento y firma.

• Estableciendo un sistema de control de versiones que permita hacer un férreo seguimiento de todos y cada uno de los cambios que sufre la información en su ciclo de vida, pudiendo analizar cada una de las versiones que han tenido lugar y los cambios asociados a cada una de ellas (realizados en ese momento), e incluso (como en el caso del software), poder volver a versiones anteriores de la información (estadios anteriores al actual) y sus correspondientes cambios.

• Realizando auditorías de datos para abalizar la información existente, detectar posibles cambios no autorizados en los datos y mantener un registro de las modificaciones realizadas.

Aplicando este tipo de mecanismos, conseguiremos un elevado nivel de confiabilidad en la información (datos fiables y confiables), que aportarán precisión y fiabilidad a la hora de su análisis y toma de decisiones.

Por otro lado, esto aportará un aceptable nivel de protección sobre la información, evitando ataques, o incluso evitando que los ataques fructíferos puedan aprovechar la información accedida o robada (modificándola o alterándola para lograr otros objetivos).

La disponibilidad consiste en garantizar que los datos estén siembre disponibles y accesibles, cuando sea necesario.

Existen muchos mecanismos para garantizar que la información esté disponible. Veamos alguno de ellos:

• Contando con backups o copias de seguridad que mantengan a buen recaudo la información, en copias seguras versionadas, con el objetivo de recuperarlos en ese estado cuando sea necesario (caída de sistemas, daño o corrupción de la información, modificaciones indebidas de la información, robo y borrado de datos, cifrado de la información por un ransomware, etc.).

• Manteniendo un modelo de redundancia de datos que permita tener la información duplicada en dos (o varios) repositorios a fin de evitar perderla y garantizar la continuidad de negocio en caso de interrupciones y/o fallos.

• Realizando una monitorización continua que chequee el estado de los datos, y alerte en caso de posibles problemas sobre ellos.

Como hemos comentado, estas iniciativas redundarán en una garantía de continuidad de negocio, que mantendrá la actividad empresarial en funcionamiento incluso en casos de incidente, ciberincidente o situaciones complicadas.

La autenticidad de la información nos garantiza que ésta proviene de una fuente confiable, de quien dicen ser o provenir y no han sido falsificada por el camino, evitando así la suplantación de identidad.

Veamos algunos de los posibles mecanismos para fortalecer la autenticidad de la información:

• Implantando y aplicando métodos robustos de autenticación que nos permitan identificar usuarios, así como sus privilegios, a través de contraseñas seguras, perfilado, configuraciones, roles, sistemas de autenticación de doble factor (2FA), sistemas de autenticación de múltiple factor (MFA), biometría, SMS, etc.

• Utilizando firmas electrónicas que corroboren la autenticidad de documentos, los datos e información que contienen, y de las transacciones realizadas con dicha información.

• Mantener un registro de eventos que almacene y contemple toda la actividad relacionada con todos y cada uno de los diferentes conjuntos de datos y sus “movimientos”, pudiendo conocer en todo momento quién ha accedido a ellos y qué cambios ha realizado.

De este modo, nos protegeremos del ciberfraude, evitando atacantes donde se falsifiquen los datos o a través de los cuales los ciberdelincuentes puedan realizar suplantación de identidad con las que se hagan pasar por usuarios legítimos para lograr sus objetivos. Por otro lado, esto también nos ayudará a protegernos frente a la suplantación de la imagen, identidad y marca de nuestra empresa.

La legalidad se refiere al cumplimiento de leyes, normativas y regulaciones existentes que apliquen a la gestión de datos y de todo su ciclo de vida. Estas, en la mayoría de los casos, son de obligado cumplimiento y conllevan sanciones legales y económicas en caso de incumplimiento.

Algunos posibles mecanismos de cumplimiento de la legalidad en materia de privacidad y protección de datos, podrían ser los siguientes:

• Preparación y certificación respecto al cumplimiento y sello de conformidad con leyes y normativas al respecto, como el GDPR / RGPD (Reglamento General de Protección de Datos), la LOPD (Ley Orgánica de Protección de Datos), la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales), la HIPAA (Ley de Portabilidad y Responsabilidad de Seguro de Salud de Estados Unidos) etc., dependiendo de cual nos aplique de forma prioritaria.

• Realización de auditorías frecuentes, tanto internas como externas, que garanticen la conformidad y el cumplimiento con las leyes y regulaciones en materia de protección de datos y privacidad que nos apliquen.

• Gestión de documentación que demuestre el cumplimiento de leyes, normativas y regulaciones al respecto.

Con ello evitaremos, en primer lugar, proteger la información aplicando medidas normalizadas y estandarizadas, pero también evitar sanciones y multas por no conformidades e incumplimientos. Del mismo modo, esto repercutirá en una buena imagen de la empresa y la confianza en la misma.

Como vemos, garantizar la seguridad de la información, de los datos, no es algo que sea especialmente trivial, sino que lleva su complejidad, máxime cuando va ligada al concepto de continuidad de negocio.

Ambos, son elementos estrechamente relacionadas y podríamos decir que hasta indivisibles. Una estrategia de ciberseguridad sólida debe incluir ambas piezas para garantizar que la empresa pueda resistir y recuperarse de ciberincidentes (lo que conocemos como resiliencia o ciberresiliencia).

Por esta razón, deben trabajar conjuntamente, buscando como tándem que son, las mismas capacidades, así como actividades para lograr objetivos finales comunes:

• La protección contra amenazas, evitando ciberincidentes y ciberataques que interrumpan las operaciones.

• El cumplimiento legal de las normativas y regulaciones requeridos a las empresas para la protección de datos y la aplicación de planes de continuidad de negocio.

• El mantenimiento de la operatividad que asegure que la empresa pueda continuar funcionando incluso después de un ciberincidente.

• La inmediata recuperación que reduzca al máximo el tiempo de inactividad y la pérdida de datos en caso de ciberincidente.

• La creación y aplicación de planes de continuidad de negocio que permitan a la empresa seguir funcionando en situaciones de crisis.

• La respuesta a incidentes / ciberincidentes que parta de una definición y establecimiento de procedimientos claros a aplicar en caso de ciberincidente con los que se pueda restaurar la integridad de los datos y minimizar el impacto operativo.

Con todo ello, será posible afrontar los retos para garantizar una resiliencia operativa empresarial aceptable (seguridad de los datos + continuidad de negocio) y un gap mínimo de interrupción de la operativa de negocio en situaciones adversas.

A este panorama y retos de protección de la información se enfrentan las empresas, todas las empresas, ya sean microempresas, pequeñas, medianas, grandes o enormes corporaciones, aunque a cada una les aplique de un modo diferente y las soluciones y regulaciones a aplicar, puedan variar entre ellas.

Las pequeñas empresas pueden optar por soluciones de seguridad más simples, tener aproximaciones quizá algo más laxas en algunos puntos respecto a las regulaciones en este ámbito y externalizar ciertas funciones para las que no tienen capacidad ni recursos.

Las grandes empresas requerirán de infraestructuras y soluciones más complejas, un cumplimiento normativo más férreo y equipos cualificados, especializados y profesionales, tanto internos como externos.

¿Necesita tu empresa ayuda con servicios de protección de la información y cumplimiento normativo, como los que ofrecemos en Zerolynx: Servicios de Ciberseguridad.

Si lo prefieres, contáctanos y hablamos.

Ciberinteligencia y OSINT como parte de la seguridad corporativa

La imperiosa necesidad de un excelente nivel de seguridad / ciberseguridad corporativa en cualquier tipo de empresa es algo que, a día de hoy, es indiscutible.

Todas las organizaciones tratan de implantar las medidas más adecuadas de prevención y protección que están a su alcance por capacidad, recursos, presupuestos, etc., protegiendo así diferentes, infraestructuras, sistemas, aplicaciones, o “secciones” de su enorme (cada vez más) superficie de exposición.

Éstas optarán por soluciones software, hardware, aplicaciones y servicios On-Premise y/o Cloud, de todo tipo, autogestionados y/o gestionados por terceros, para proteger todos los frentes posibles: antivirus / antimalware, EDRs (Endpoint Detection and Response), MDRs (Managed Detection and Response), firewall, IDSs (Intrusion Detection System), IPSs (Intrusion Prevention System), soluciones de protección de accesos, 2FA (Doble Factor de Autenticación) y MFA (Múltiple Factor de Autenticación), CASBs (Cloud Access Security Browker), backups, VPNs (Virtual Personal Network), certificados, protección de correo electrónico, pentesting, awareness, SIEMs (Security Information and Event Management), etc.

Sin embargo, muchas de ellas, aún no tiene aproximaciones a la inteligencia, a la ciberinteligencia, ni a las técnicas OSINT (Open Source Intelligence), las cuales, actualmente, son herramientas esenciales para la investigación y el rastreo de información relevante.

Pero, primero, veamos qué es cada uno de estos conceptos: inteligencia, ciberinteligencia y OSINT.

La inteligencia corporativa consiste en un proceso mediante el cual se recopila determinado tipo de información (la que relativa al objetivo que buscamos) que posteriormente es revisada y analiza para incrementar conocimiento y calidad del mismo. Esta tarea concluye en la generación de un marco, contexto o mejor escenario de conocimiento, gracias al cual (más y mejor información) se podrán tomar mejores y más correctas medidas y decisiones, decisiones informadas.

En el caso de la ciberseguridad, la ciberinteligencia corporativa, el tipo de información recopilada y analizada es la referente a datos relacionados con ciberamenazas, vulnerabilidades, ciberataques, actores maliciosos, etc. La ciberinteligencia, por tanto, es un área específica de la inteligencia que se centra en el ciberespacio y en las ciberamenazas.

Y, esta información, ¿Dónde está y cómo se consigue? La información se encuentra dentro y fuera de la organización y está dispersa en determinados “lugares”, dispositivos, ordenadores, servidores, bases de datos, correo electrónico, servicios de mensajería instantánea, nube de terceros, servicios externalizados, páginas web en Internet, la “Internet profunda” (Deep Web y Dark Web), redes sociales, infraestructuras de operadores, etc., de donde hay que obtenerla de forma explícita y con los mecanismos o herramientas más adecuados para cada caso.

Este proceso y herramientas de recopilación y obtención de información a partir de orígenes de todo tipo y fuentes de acceso público, sin que en el proceso se vulnere ningún derecho ni medida de seguridad, es lo que se denomina OSINT (Open Source Intelligence o Inteligencia de Fuentes Abiertas).

En materia de OSINT y ciberinteligencia, se debe ser escrupuloso y cauteloso, especialmente cuando la información se consigue accediendo a sistemas de terceros, entidades, administraciones, organizaciones y empresas, cuya seguridad no debe de ser violada.

En ese proceso OSINT y de ciberinteligencia, por tanto, existen varios estadios:

• Determinación de objetivos y requisitos.

• Identificación de fuentes de información relevante más apropiadas.

• Recopilación de la información y contraste de la misma.

• Procesamiento de la información recogida (formateo para que se pueda analizar).

• Análisis de la información procesada.

• Inteligencia. Transformación de la información trabajada en contenido útil para la toma de decisiones. Informe y conclusiones.

• Repetición del proceso o iteración, si fuese necesario.7

En todo este proceso se debe de ser muy cuidadoso y asegurarse que la información obtenida es fidedigna y certera, evitando extractar datos de fuentes no reconocidas o poco fiables, así como evitar los casos de infoxicación y el síndrome de Diógenes de datos, relativos al exceso de información que no aporta valor, sino que dificulta el proceso. Del mismo modo, también hay que gestionar correctamente los volúmenes pobres de información y la ausencia de ésta.

Respecto al lugar, medio, mecanismo, o canal donde buscar, pueden ser infinidad, dependiendo de lo que estemos buscando. Entre ellos, los siguientes:

• Motores de Búsqueda (Google, Bing, etc.).

• Dominios e IPs (para conseguir información sobre un determinado dominio, o una determinada dirección IP, por ejemplo, utilizado WHOIS en Internet).

• Redes Sociales (búsqueda de usuarios, cuentas, perfiles y su información en RRSS).

• Imágenes y Videos (análisis de imágenes para identificar lugares o personas).

• Puertos y Servicios (escaneo de puertos disponibles/accesibles).

• IP para geolocalización (averiguar el lugar donde se encuentre una IP, un determinado dispositivo).

• En la Web (contenido de Internet y de los sitios web que aloja).

En lugar donde buscar o el tipo de información a tratar de localizar y analizar puede ser de muchas categorías por lo que, dependiendo del tipo de información a encontrar e incluso el tipo de formato en el que se encuentra, OSINT puede tomar otras denominaciones como las siguientes:

• HUMINT (Inteligencia Humana). Consiste en la localización y recopilación de información a través de interacciones humanas, a través de personas (empleados, exempleados, clientes, usuarios, proveedores, etc.), mediante conversaciones, cuestionarios, etc. También abarca la búsqueda de información sobre personas.

• SOCINT (Inteligencia de Redes o Medios Sociales). Consiste en la localización y recopilación de información a partir de las Redes Sociales y servicios online de todo tipo, en busca de actores maliciosos y actividades ilícitas o ilegales.

• IMINT (Inteligencia de Imágenes). Consiste en la localización y recopilación de información a partir de imágenes y de videos.

• GEOINT (Inteligencia Geoespacial). Consistente en la localización y recopilación de información a partir de datos ubicaciones físicas, como el origen de un ciberataque.

• SIGINT (Inteligencia de Señales). Consistente en la localización y recopilación de información a partir de señales electrónicas (radio, teléfono, monitorización de la red, etc.).

Para realizar este tipo de actividades, se deben tener unos conocimientos técnicos especializados en materia de fuentes abiertas, extracción y herramientas para ello, informática, programación, seguridad, ciberseguridad, privacidad, conocimientos legales. En definitiva, el rol de un analista de ciberseguridad o un analista OSINT, corresponde perfil técnico pero multidisciplinar.

Teniendo esos conocimientos, para poder trabajar en OSINT, además, debemos contar con recursos y herramientas especiales. Algunos pueden ser tan “accesibles” y “sencillos” como los dorks de navegadores como Google Chrome, Microsoft Bing y/o DuckDuckGo, con cada uno de sus comandos, operadores y parámetros de búsqueda.

Además, en lo que a Google Chrome se refiere, contamos con Google Images, que nos permite buscar información, basándose en una determinada imagen de partida que le hayamos indicado.

Además de los operadores en estos buscadores, existen muchas otras herramientas profesionales específicas para este tipo de labores, como:

• Social Links (para buscar, extraer, analizar y visualizar información de Redes Sociales, mensajería y Dark Web).

• Shodan (para encontrar máquinas y dispositivos que están conectados a Internet, tales como ordenadores, móviles, servidores, cámaras y cualquier otro tipo de dispositivo IoT).

• Tinfoleak (para obtener información a través de Twitter -ahora X-).

• Osintgram (para obtener información a través de Instagram y análisis de cuentas de Instagram).

• Maltego (graficar datos e información recopilada).

• NextVision (buscar en la Internet oscura, Deep Web y Dark Web).

• Creepy (para extraer información de redes sociales como Twitter -ahora X-, Flickr, Facebook, etc. y, además, encontrar ubicaciones físicas).

• DNSDumpster (busca toda la información sobre el dominio que le indiquemos).

• Metagoofil (extrae los metadatos de un determinado archivo que le indiquemos).

• FOCA (extrae archivos ofimáticos relacionados, o que se encuentren, en un determinado dominio que le indiquemos).

• IPinfo (devuelve información sobre las direcciones IPs que le indiquemos).

Y, una multitud de ellas que no reflejamos en este listado.

Como decíamos, estas labores requieren de capacitación, experiencia y destrezas especializadas y entrenadas con el tiempo. En definitiva, perfiles que no existen en la mayoría de las empresas, sino que deben ser contratados externamente como servicios profesionales especialistas.

En términos de seguridad y ciberseguridad, estos servicios profesionales y especialistas, pueden ayudar a las empresas a:

• Detectar amenazas que puedan afectar a la empresa.

• Investigar a la competencia y al mercado, obteniendo información de valor a modo de ventaja competitiva.

• Investigar el nivel de reputación e imagen de marca de la empresa para evaluar su posicionamiento y detectar posibles ataques de difamación, etc.

• Evaluar vulnerabilidades, identificando posibles puntos débiles de la empresa (técnicos, comerciales, de marketing, de imagen, etc.).

• Realizar seguimiento de actores maliciosos, rastreando perfiles concretos y extractando información de valor respecto a sus posibles actividades maliciosas o ilícitas.

• Ayudar en el cumplimiento normativo, detectando fallas, no conformidades o incumplimientos, en materia de privacidad, ciberseguridad y legales, que poder corregir.

¿Necesita tu empresa ayuda con 𝘀𝗲𝗿𝘃𝗶𝗰𝗶𝗼𝘀 de 𝗖𝗶𝗯𝗲𝗿𝗶𝗻𝘁𝗲𝗹𝗶𝗴𝗲𝗻𝗰𝗶𝗮 y 𝗢𝗦𝗜𝗡𝗧, como los que ofrecemos en 𝗭𝗲𝗿𝗼𝗹𝘆𝗻𝘅: 𝙎𝙚𝙧𝙫𝙞𝙘𝙞𝙤𝙨 𝙙𝙚 𝘾𝙞𝙗𝙚𝙧𝙞𝙣𝙩𝙚𝙡𝙞𝙜𝙚𝙣𝙘𝙞𝙖 𝙮 𝙊𝙎𝙄𝙉𝙏?

Puedes ampliar detalles sobre nuestros servicios visitando la página de 𝗭𝗲𝗿𝗼𝗹𝘆𝗻𝘅.

Si lo prefieres, contáctanos y hablamos.

OPSEC, estrategia de protección de información crítica y sensible

Que la información (tanto personal como corporativa) es poder, no es ninguna novedad. Que, además, con ella (tanto si se le da buen uso como mal uso) se pueden generar negocios muy rentables, tampoco es noticia.

Lamentablemente, estamos muy acostumbrados a facilitar a diario (con consentimiento, explícito, expreso, informado, tácito, etc., o no) datos de carácter personal, empresarial, corporativo, confidencial, e incluso de carácter crítico, como “moneda de cambio” para la prestación de servicios (generalmente gratuitos, pero no siempre), o por otros motivos.

Ya sabemos que debemos proteger la información. Pero, esto nos lleva a que quizá debamos ir un paso más allá, especialmente en el caso de las empresas y organizaciones que manejan datos, propios o de terceros (clientes, empleados, proveedores, partners, etc.), de carácter sensible y/o confidencial.

Se trata de una pieza más en la gestión de riesgos corporativos, los cuales se deben mitigar mediante mecanismos y acciones de seguridad física, seguridad lógica (ciberseguridad). 

Antes de gestionar los riesgos, debemos conocer cuáles son los activos a proteger que podrían verse afectados por amenazas y ser víctimas potenciales de su acceso, modificación o extracción (exfiltración o fuga de datos). Obviamente será la información, serán los datos. Sin embargo, lo que necesitamos averiguar es ¿Cuáles son exactamente?, ¿Dónde están?, ¿De qué tipo son?, ¿Cómo se almacenan y gestionan?, etc. Es decir, debemos realizar una tarea previa de descubrimiento y clasificación.

Con todo ello, tendremos más claro qué datos vamos a proteger y cómo debemos hacerlo debido a sus características.

Este es el objetivo de los procesos y servicios OPSEC (Operational Security, Seguridad de las Operaciones), que vienen a cubrir dichas necesidades. Con ellos conseguiremos evitar los casos de fuga de información estableciendo metodología y mecanismos de protección de datos y data loss prevention (prevención de pérdida de datos, o DLP).

Con un servicio OPSEC integral se identifica, se clasifica y se protege la información importante de una organización y, al mismo tiempo, se implementan contramedidas de protección para dificultar que los adversarios obtengan información crítica.

El objetivo de un servicio 𝗢𝗣𝗦𝗘𝗖, por tanto, es proteger la información sensible y la información crítica de una organización, identificando amenazas potenciales y estableciendo contramedidas efectivas para mitigar riesgos.

Consiste en un servicio complejo con diferentes actividades que pasan desde un exhaustivo análisis preliminar de la información que gestiona la empresa, con su identificación y clasificación, hasta el establecimiento de todo tipo de medidas de protección:

1. Identificación de la información crítica y sensible. Se debe trabajar para determinar qué información existente es la que realmente debe ser considerada como crítica y/o sensible para la empresa.
2. Clasificación de la información, por tipos y por grados. Cuando ya tenemos identificada la información a proteger, y dado que no todo tipo de información se protegerá del mismo modo, debemos conocer sus características, en base a dos factores: su importancia en la organización y el nivel de sensibilidad.
3. Identificación de amenazas potenciales. Si ya conocemos la información a proteger, de qué tipo es, e incluso el nivel de importancia y sensibilidad, es el momento de averiguar qué amenazas (externas o internas y de toda clase de índole) podrían poner en riesgo la seguridad de esa información en concreto.
4. Análisis de vulnerabilidades. Conociendo los activos y las amenazas que podrían afectarles, además del modo en el que se almacena, trata y gestiona la información, seremos capaces de identifican posibles agujeros de seguridad y debilidades a corregir en la gestión de dicha información.
5. Desarrollo de contramedidas. Abordemos la prevención en detalle desde todo el conocimiento previo adquirido, definiendo, construyendo, desarrollando e implementando medidas (técnicas o no), procedimientos, herramientas, servicios, técnicas, recursos, y capacidades de protección proactiva.
6. Implantación de contramedidas. Despleguemos, apliquemos, pongamos en marcha y configuremos las medidas desarrolladas, asegurándonos de que sean aplicadas correctamente.
7. Revisión y proceso continuo. Por su puesto, un ejercicio o servicio OPSEC no es algo aislado que se realiza en una ocasión para cubrir expediente y listo. Se trata de un proceso continuo que requiere una evaluación constante de activos (datos, información), amenazas potenciales, vulnerabilidades y contramedidas existentes. Sólo esto asegurará que la información crítica y sensible continúa estando protegida.

Aplicando de forma regular este tipo de evaluaciones o servicios OPSEC conseguiremos mejorar la seguridad de nuestra empresa y de sus datos, obteniendo importantes beneficios para la organización:

• Protección contra amenazas, externas y también internas .Ya sabemos que las amenazas pueden ser de carácter externo (ciberdelincuentes, ciberataques, por ejemplo) y también de carácter interno (insiders que actúan de forma intencionada o no). Un servicio OPSEC nos permitirá proteger ambos casos, por lo que aporta una protección de datos integral. 
• Reducción de riesgos. Dado que los riesgos asociados a los activos son descubiertos y mitigados pudiendo establecer medidas con antelación, esto se traduce en la disminución de casos de pérdida de información crítica.
• Cumplimiento normativo (compliance). Muchas empresas están obligadas a cumplir (e incluso estar certificadas) bajo determinados marcos, regulaciones, estándares o normativas de seguridad y de protección de datos (LOPD, LOPDGDD, RGPD/GDPR, ENS, NIS, DORA, entre otras). La realización de ejercicios o servicios OPSEC ayuda a garantizar el cumplimiento normativo de dichas empresas.
• Toma de decisiones informadas. Al proteger la información crítica de la organización, es más fácil poder tomar decisiones con mayor conocimiento y, por tanto, estratégicas más sólidas basadas en datos seguros y confiables.

Sin embargo, no todas las empresas están capacitadas ni preparadas para realizar este tipo de ejercicio de introspección, análisis y establecimiento de medidas, debiendo solicitar la prestación de servicios profesionales por parte de expertos en OPSEC. Es decir, es probable que una empresa adolezca de características como las siguientes como para implementarlo por su cuenta:

• Concienciación. Donde, sino toda, una inmensa parte de la plantilla de la organización conoce la importancia de la seguridad y protección del dato, así como lo que son los servicios de seguridad de las operaciones.
• Conocimientos y capacidades. En este caso, además de tener conciencia, lo que debería tener una empresa son recursos y capacidades (humanas, técnicas y económicas) para ejecutar plantes OPSEC internos por su propia cuenta.
• Recursos limitados. Aun cumpliendo los dos aspectos anteriores, es más que probable que una organización carezca de personal y de presupuesto para implementar medidas de este tipo internamente.
• Estado del arte y evolución continua de las amenazas. Otro factor en contra es que las amenazas, técnicas y tecnologías de ataque para la obtención de datos, cambian constantemente y a un ritmo vertiginoso como para que una empresa que no se dedica a la ciberseguridad, pueda hacer frente a ello.

Por estos motivos, siempre es más recomendable contar con expertos que nos ayuden a ejecutar este tipo de servicios de seguridad en las operaciones (OPSEC), atendiendo tanto a la seguridad física como a la lógica e implantando contramedidas que dificulten que el ciberatacante pueda llegar a conocer información y características de los datos con los que cuenta la organización.

¿Tu empresa tiene la capacidad y destreza necesarias para realizar actividades OPSEC?

¿Necesitas tu empresa ayuda con este tipo de servicios, como los que ofrecemos en Zerolynx: 𝗦𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱 𝗱𝗲 𝗹𝗮𝘀 𝗢𝗽𝗲𝗿𝗮𝗰𝗶𝗼𝗻𝗲𝘀 (𝗢𝗣𝗦𝗘𝗖)?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx.

Si lo prefieres, contáctanos y hablamos.