La Ciberinteligencia y la Ciber-contrainteligencia como Piedra Angular de las Operaciones en el Ciberespacio

Por Raúl J. Pérez Rodríguez -Especial Total News Agency- TNA

La ciberinteligencia y la cibercontrainteligencia son activideades que generan productos de inteligencia orientados a apoyar la toma de decisiones para protegerse y hacer frente a las ciberamenazas. Ambas actúan de forma transversal en las operaciones que se conducen en el ciberespacio, tanto en los sistemas adversarios como en los sistemas propios.-Foto map.ipvikin.com-

www.map.ipviking.com

La seguridad y defensa de los Estados se ha incrementado en sus responsabilidades a fin de cubrir el quinto dominio de la guerra, representado por el ciberespacio, el cual de acuerdo con la OTAN es el dominio global virtual compuesto tanto por las redes interconectadas como por las redes y sistemas aislados o independientes. El ciberespacio complementa los cuatro dominios convencionales: tierra, mar, aire y espacio.

Un dominio de la guerra es el entorno de interés e influencia donde se conducen actividades, funciones y operaciones para cumplir la misión encomendada y ejercer control sobre un oponente con el fin de alcanzar el logro de los objetivos planteados.

El ciberespacio es una idea, una noción, no constituye un espacio físico, material, ni es tangible ni visible; se materializa producto de la interrelación entre la infraestructura de tecnologías de la información y comunicaciones, los protocolos de transporte, el software, la energía eléctrica, la información o contenido y las personas; con características similares a la de un ecosistema vivo.

Desde un punto de vista práctico, se puede decir que el ciberespacio se compone de dos partes principales: internet y los sistemas aislados (sistemas, redes y dispositivos de almacenamiento de datos e información que no están conectados a internet). Desde el punto de vista militar ambas partes son muy importantes, en primer lugar, porque internet proporciona la conectividad global y el acceso a gran cantidad de información, y en segundo orden los sistemas aislados representan el entorno ideal para manejar información clasificada y para hacer actividades que requieren de un alto nivel de confidencialidad y aislamiento.

Internet y los sistemas aislados también son importantes para la ciberdefensa nacional porque gracias a la conectividad global se tiene acceso a cantidades ingentes de información y sirve de canal de cooperación nacional e internacional, mientras que la confidencialidad y el aislamiento son de empleo asiduo en las actividades relativas a las operaciones, la inteligencia, la investigación y el desarrollo.

El ciberespacio en su papel de dominio de la guerra es un entorno donde se conducen operaciones militares específicas (ciberoperaciones) que producen ciberefectos directos y efectos físicos indirectos en los dominios convencionales. Para producir los efectos deseados, las unidades de operaciones en el ciberespacio deben tener un grado relativo de libertad de acción y ejercer un cierto control sobre el oponente (cibercontrol); su fin último es apoyar el cumplimiento de la misión, por lo que las capacidades de ciberdefensa y sus efectos potenciales deben ser parte de la planificación y conducción de las operaciones conjuntas.

La inteligencia de ciberamenazas o ciberinteligencia, de acuerdo con el CERT – UK, es el conocimiento resultante sobre las amenazas basándose en evidencias concretas incluyendo capacidades, infraestructura, motivación, objetivos y recursos del atacante. Por lo tanto, permite detectar indicadores relacionados a ciberamenazas, extraer información referente a métodos de ataque, identificar amenazas de seguridad y tomar decisiones con antelación con el fin de responder a posibles ataques de manera precisa y contundente. Se desarrolla en los sistemas adversarios.

Complementariamente, el Prof. Manuel Torres Soriano de la Universidad Pablo de Olavide incorpora la definición de cibercontrainteligencia: “todos los esfuerzos realizados por una organización de inteligencia para prevenir que adversarios, organizaciones de inteligencia enemigas u organizaciones criminales puedan acceder o recopilar información digital sensible o inteligencia a través de ordenadores, redes y equipamientos asociados”. La cibercontrainteligencia se conduce en los sistemas propios.

Las operaciones en el ciberespacio realizadas por militares pertenecientes al comando de ciberdefensa de un estado, generalmente se clasifican en:

• Operaciones de ciberseguridad: son el conjunto de medidas y acciones enfocadas a la operación segura de las redes y sistemas. Se conducen tres tipos:
  • De prevención: análisis de riesgos, sistemas alternativos, análisis de vulnerabilidades, concienciación de usuarios, control de inventarios, seguridad física, copias de seguridad, parches y actualizaciones, limitación de privilegios, guías, advertencias, actualizaciones de los IoCs de amenazas, dispersión de activos críticos, mantenimiento preventivo, correctivo y evolutivo entre otros…
  • De protección: segmentación de redes, control de accesos, inspecciones, configuraciones de seguridad, política de contraseñas, puesta en seguridad, cifrados, sistemas de prevención de pérdida de datos…
  • De apoyo a la recuperación: restauración de copias de seguridad y medidas de restauración del sistema.

Dentro del marco de las operaciones de ciberseguridad, la cibercontrainteligencia participa activamente identificando, penetrando o neutralizando ciberoperaciones de inteligencia hostiles. Se desarrolla en los sistemas y redes propios.

• Operaciones de ciberdefensa: son el conjunto de operaciones que se conducen en el ciberespacio con la finalidad de asegurar su uso a la vez de negarlo al adversario. Se clasifican en:
  • Operaciones de defensa: son el conjunto de medidas y acciones encaminadas a garantizar la seguridad del área de operaciones de la ciberdefensa. Se clasifican en:
    • Operaciones defensivas (MDI): medidas y acciones dentro de la infraestructura propia orientadas a detectar, identificar, interceptar, rechazar y neutralizar todo tipo de ataques o intentos de penetración en el área de operaciones de la ciberdefensa. Se ejecutan apoyadas en la cibercontrainteligencia.
    • Operaciones de respuesta defensiva (AR): medidas y acciones en la infraestructura del adversario encaminadas a neutralizar todo tipo de ataques o de intentos de penetración del área de operaciones de la ciberdefensa. Cuentan con el apoyo de la ciberinteligencia.
  • Operaciones de vigilancia y reconocimiento: son el conjunto de acciones orientadas a la obtención, análisis y aprovechamiento de información sobre las cibercapacidades del adversario. Cumplen tres objetivos fundamentales basados en actividades de ciberinteligencia:
    • Proporcionar al comandante de la ciberdefensa el conocimiento de la situación externa sobre las capacidades, estado, intenciones, acciones y situación de los medios de ciberdefensa del adversario (CySA).
    • Proporcionar a los equipos de operaciones defensivas la información necesaria sobre las amenazas en el ciberespacio en el área de operaciones de la ciberdefensa, para la generación de indicadores de compromiso (IoC), tácticas, técnicas y procedimientos de defensa.
    • Proporcionar a los equipos de operaciones ofensivas la información necesaria sobre las capacidades defensivas del adversario, vulnerabilidades, sistemas operativos, infraestructuras, identidades, entre otros.
  • Operaciones ofensivas: son las acciones conducidas contra potenciales adversarios y agentes hostiles que afectan la integridad y disponibilidad de los sistemas de información y telecomunicaciones, así como a la información que manejan. Se emplean como vectores para la realización de operaciones de influencia y soportan gran parte de sus actividades en la ciberinteligencia. Se distinguen dos tipos:
    • Acciones de fuerza militar en el ciberespacio de carácter estratégico. Operacional o táctico.
    • Acciones de respuesta oportuna, legítima y proporcionada a las amenazas o agresiones en el ciberespacio que representen una amenaza a la seguridad y defensa nacional.

Las actividades de ciberinteligencia y cibercontrainteligencia constituyen la piedra angular de las operaciones en el ciberespacio, tanto las que se conducen en los sistemas propios (cibercontrainteligencia) como las desarrolladas en los sistemas e infraestructuras del adversario (ciberinteligencia), porque sus productos soportan la toma de decisiones que son el punto de partida de la conducción de las referidas ciberoperaciones; no obstante por ser conceptos de carácter novedoso y emergente, existe muy poca doctrina sobre los mismos, lo que atañe que sea una disciplina abierta a su investigación y estudio.