La ciberinteligencia es una disciplina que, aún siendo cada vez más necesaria en los procesos de seguridad, sigue sin tener los métodos y procesos estructurados para la correcta implementación en una organización. Actualmente, la comprensión de cuál debe ser la función de un equipo de ciberinteligencia y qué tipo de inteligencia debe proporcionar a las audiencias representa un conjunto muy complejo y diverso, especialmente por las diferencias que representa el dominio del ciberespacio respecto el dominio físico. Un ejemplo es su propia definición, la cual no existe un consenso unificado, respondiéndose en términos no alineados o incluso contrapuestos.
La siguiente serie de artículos pretende conformar una visión unificada con respecto a la teoría establecida hasta la fecha, abordando la planificación de los procesos de threat intelligence de manera operativa para su implantación en los sistemas de seguridad de una organización.
En este artículo se establecerá el conjunto de definiciones sobre las que se fundamentará la definición de los procesos y alcances del proceso de inteligencia de amenazas.
Ciberinteligencia
La ciberinteligencia no puede definirse como una disciplina de adquisición, es decir, un equivalente a OSINT o SIGINT, sino que se trata de una disciplina analítica, es decir, la inteligencia relativa al ciberespacio.[1] Por ello, los enfoques para su definición parte de conceptos previamente integrados en los procesos de inteligencia convencional.
El documento de la OTAN AJP-2 define la inteligencia como el producto resultante de la recopilación y el procesamiento dirigidos de información sobre el entorno, las capacidades y las intenciones de los actores, con el fin de identificar amenazas y ofrecer oportunidades para su explotación por parte de los responsables de la toma de decisiones.[2]
Tal y como se puede observar, el documento habla sobre el entorno donde ocurren las hostilidades, así como la información relativa a la amenaza. También ocurre así en el Joint Publication 2-0, donde caracteriza la inteligencia bajo dos perspectivas, la inteligencia del territorio de operaciones y la inteligencia sobre el adversario.[3]
Inteligencia del territorio de operaciones
Tomando como referencia el alcance definido en el apartado anterior, resulta especialmente característica la integración de la inteligencia del territorio de operaciones en un conflicto en el ciberespacio. Si una operación tiene como objetivo un activo en el ciberespacio o su impacto se realiza desde el ciberespacio, se establecen una serie de elementos que no pueden identificarse como un territorio de operaciones neutral, como sí pudiera ser en el dominio físico.
El conflicto en el ciberespacio dispone de la peculiaridad de que se trata de un conflicto asimétrico, es decir, el receptor del ataque es el dueño de un territorio de operaciones donde el atacante quiere realizar un impacto, no existiendo un territorio neutral per se. En consecuencia, la inteligencia sobre el territorio de operaciones es la inteligencia sobre los activos de la organización y sus relaciones, identificando así los potenciales riesgos asociados.
Un ejemplo de inteligencia del territorio de operaciones sería, por ejemplo, la monitorización de filtraciones de credenciales. El territorio de operaciones dentro del ciberespacio está definido bajo doctrina como ciberterreno.[4] Su definición integra el plano de ciberpersona, un plano vinculado a la integración del usuario dentro del dominio del ciberespacio. Por ello, toda información relacionada con un usuario también formaría parte del territorio de operaciones del ciberespacio, siendo un punto de riesgo para los activos.
También es de destacar que la infraestructura del adversario no forma parte del territorio de operaciones, pues no es un lugar donde ocurran hostilidades, sino que quedan conformadas como una capacidad del adversario. Al tratarse de un tipo de conflicto asimétrico, al realizarse una acción contra dicho territorio, quedaría enmarcado bajo otra secuencia de Course of Action, no enfrentada a la primera del adversario de la que forma parte, conformando dos acciones diferenciadas entre sí.
Inteligencia del adversario
El otro ámbito de alcance de la ciberinteligencia es la inteligencia del adversario, definida como aquella relacionada con las amenazas que realicen un impacto contra o a través del ciberespacio. Este concepto sería el relacionado con el Threat Intelligence. Una de las definiciones aceptadas es la siguiente:
CTI (Cyber Threat Intelligence) se focaliza en la inteligencia generada por cualquier tipo de fuente respecto al adversario: programas, intenciones, capacidades, investigación y desarrollo, tácticas, objetivos, actividades operacionales e indicadores, potenciales impactos, infraestructura e información, caracterización y estructura. [5]
Partiendo de la definición anterior, el Threat Intelligence sería aquella inteligencia dedicada a identificar todos los niveles de inteligencia sobre un posible adversario. Desde una intención, motivación y caracterización geopolítica, hasta las Course of Action, capacidades, artefactos o infraestructura.
Ciclo de Inteligencia
Desde que en la década de los 40 se conceptualizó el concepto del ciclo de inteligencia,[6] éste se ha sido la piedra angular de la estructuración de los procesos inherentes, no siendo diferente para la ciberinteligencia donde las tareas de Planificación, Adquisición, Procesamiento, Análisis, Producción y Diseminación son definidas como etapas. Por lo tanto, la ciberinteligencia no se define como un producto o una investigación, sino el proceso completo que permite facilitar las necesidades de las audiencias para la toma de decisiones con un alto grado de adecuación.
El ciclo de inteligencia es un marco procedimental para el desarrollo de un apoyo de inteligencia orientado a la misión. No es un fin en sí mismo, ni debe considerarse como un conjunto rígido de pasos que deban ejecutarse siempre de la misma forma. El comandante y el oficial de inteligencia deben analizar cada Requisito de Inteligencia (IR) de manera individual y aplicar el ciclo de inteligencia de forma que se obtenga la inteligencia requerida de la manera más eficaz posible.
Sin embargo, a pesar de que el valor de la inteligencia se genere en el resto de las etapas, para que todas ellas tengan una coherencia entre sí (y para con la audiencia), es en la fase de planificación donde se define la estructura y funcionamiento de un equipo de Threat Intelligence. Una definición de la etapa de planificación es la siguiente:
La planificación es la fase inicial del ciclo de inteligencia en la que se identifican las necesidades de información, se formulan requisitos de inteligencia, y se diseñan los métodos, procesos, prioridades y recursos necesarios para guiar la recolección, procesamiento y análisis de datos. Esta etapa implica una interacción constante con los decisores para asegurar que la producción de inteligencia esté alineada con las necesidades de las audiencias.[7]
Tal y como se puede observar, esta etapa es sobre la que se construye el resto de los procesos de inteligencia para proporcionar a las audiencias una ventaja para la correcta toma de decisiones, en este caso, en el dominio de la información.
En los siguientes artículos se especificarán las metodologías, capacidades y procesos necesarios para la definición del proceso de planificación en Threat Intelligence.
[1] Villalón–Huerta, A. (2025, mayo). CYBER GRU: Russian military intelligence in cyberspace.
[2] NATO. (2016). AJP-2: Allied Joint Doctrine for Intelligence Procedures. NATO Standardization Office.
[3] Joint Chiefs of Staff. (2013, 22 de octubre). JP 2‑0: Joint Intelligence (Joint Publication 2‑0). Departamento de Defensa de EE.UU.
[4] Raymond, D., Cross, T., Conti, G., & Nowatkowski, M. (2018). Key terrain in cyberspace: Seeking the high ground. NATO Cooperative Cyber Defence Centre of Excellence. Recuperado de https://ccdcoe.org/uploads/2018/10/d2r1s8_raymondcross.pdf
[5] Daniel R. Coats. National intelligence strategy of the united states of
america 2019. Office of the Director of National Intelligence, Washington,
DC, 2019.
[6] Kent, S. (1949). Strategic Intelligence for American World Policy. Princeton University Press.
[7] Joint Chiefs of Staff. (2013, 22 de octubre). JP 2‑0: Joint Intelligence (Joint Publication 2‑0). U.S. Department of Defense. https://irp.fas.org/doddir/dod/jp2_0.pdf
Speak Your Mind