Una vez definidos los requisitos de inteligencia por parte de las audiencias, debe planificarse el resto de las tareas involucradas en el Ciclo de Inteligencia. Entre las más relevantes está la identificación de las fuentes de información y la disponibilidad de los recursos y capacidades para su adquisición en tiempo y forma. Estas tareas se ejecutan en la fase de adquisición.
La adquisición es la fase del proceso de inteligencia donde el dato de interés es obtenido desde distintas fuentes, tanto abiertas como cerradas, o técnicas o humanas.
En el siguiente artículo se especificará una aproximación para la estructuración de las tareas de adquisición, estableciendo los alcances identificados en artículos anteriores mediante los PIR.
Alcance de las tareas de adquisición
La identificación de los Priority Intelligence Requirements como paso previo permite la selección de los objetivos de la tarea de adquisición a través de los EEI.
Es precisamente parte de la planificación de esta etapa la identificación de qué fuentes de información permiten la adquisición de dichos EEI.
Sin embargo, el objetivo de la fase de adquisición, como disparador de todo el proceso de inteligencia, se ve muy alineado con un concepto comentado en el artículo anterior, que es el tiempo de oportunidad. Esto impacta en que el producto de inteligencia sea de utilidad con suficiente antelación como para que el trabajo del equipo de inteligencia sea diferencial para la audiencia.
Por ello la rapidez con la que se realizan las labores de adquisición sea una parte fundamental en conseguir que el producto de inteligencia esté dentro del tiempo de oportunidad, consiguiendo una utilidad real del proceso. A continuación, se definirán una serie de elementos que permitirán una correcta planificación, alcance y automatización de dicha fase, cuestión no sólo son fundamental para la calidad del producto, sino especialmente para su utilidad.
El valor diferencial que proporciona la fase de adquisición reside, fundamentalmente, en dos elementos.
El primer elemento es la disposición de fuentes de alto valor. Disponer de una fuente de información diferencial permite adquirir una serie de datos los cuales no están a disposición general, en consecuencia, la toma de decisiones de la audiencia será de mayor precisión que aquellas que no lo dispongan. Por tanto, el grado de especialización de un técnico dedicado a la fase de adquisición no está en el conocimiento específico de área objeto de análisis, sino de conocer dónde obtener los EEI y como identificarlos. Si tomamos como ejemplo un escenario en la inteligencia tradicional, como puede ser la obtención de comunicaciones de radio de un enemigo, el técnico dedicado a la adquisición de dicha inteligencia no debe ser especialista en la interpretación del contenido del mensaje y su impacto para la audiencia, sino en los métodos técnicos para la obtención de dichas señales.
El segundo elemento fundamental para la fase de adquisición es la rapidez con la que se adquiere dicho elemento.
Considerando estas dos características, debe estructurarse un proceso que permita su cumplimiento.
Planificación de tareas de adquisición
La planificación de tareas de adquisición debe responder a las siguientes preguntas: qué y cuándo debe obtenerse.
Por otra parte, será labor de los especialistas en la fase de adquisición conocer el dónde y el cómo puede adquirirse los EEI, estando aquí el punto diferencial. Será a partir de disponer la correlación entre los EEI y las fuentes de información podrá conformarse el grado de coste y viabilidad
Debe tenerse en cuenta en la planificación que, es muy posible que se disponga de más de un requisito de inteligencia. Por ello, debe buscarse el modo de maximizar la eficiencia de las tareas. Como se ha argumentado antes, la especialización de un técnico dedicado a la adquisición no debe estar vinculado al objeto de análisis sino al conocimiento sobre las fuentes de información y los métodos para la obtención de información de dichas fuentes. En consecuencia, la unificación de tareas en esta fase debe realizarse por tipo de fuente, asignando la obtención de diferentes tipos de EEI al responsable de una fuente de información y no al revés.
Plan de Adquisición
Para la organización de las tareas de adquisición la doctrina de inteligencia propone la idea de Plan de Adquisición. El documento AJP 2.1 indica: “El Plan de Adquisición se desarrolla para gestionar la obtención de información e inteligencia para el soporte de los PIR. El Plan de Adquisición vincula los requisitos de inteligencia con las capacidades de adquisición en tiempo y espacio.[1]
También JP 2-0, que define el Plan de Adquisición como: “Un plan lógico y priorizado para recopilar información de inteligencia en respuesta a requisitos validados. Identifica qué debe obtenerse, cómo, cuándo y por quién, utilizando los medios y capacidades de obtención disponibles.”[2]
Es, por tanto, la estructuración de este plan donde debe converger los requisitos planteados (definido en el artículo anterior) y las capacidades de las que se dispone.
En función de lo descrito en JP 2-0, el plan de Adquisición debe estar formado por los siguientes elementos:
- EEI
- Fuente(s)
- Capacidad
- Periodicidad
- Responsable
- Tiempo de oportunidad
Ejemplo de Plan de Adquisición
Pongamos que desde la audiencia se define el siguiente PIR: Identificación de capacidades de grupos de ransomware. A partir de dicho PIR, se ha definido el siguiente EEI:
- Hashes de herramientas empleadas por ransomware
Además, la audiencia dicta un tiempo de oportunidad de 72 horas.
En este punto, se identifica qué fuentes de información permiten la obtención de dicha información. Algunas de ellas podrían ser las siguientes:
- Artículos publicados en
- Publicaciones de researchers en:
- X
- Mastodon
En este caso, se va a suponer que se dispone de una capacidad automática para la identificación de artículos con hashes asociados a ransomware, pero que no se dispone de la misma capacidad para la extracción de información de redes sociales. Por lo tanto, la acción de la extracción de redes sociales debe realizarse a través de una acción proactiva, disponiendo de un intervalo sin cobertura entre que la publicación se realiza y la adquisición por parte del analista.
Teniendo en cuenta que el procesamiento del artículo es de 1 hora, el análisis para verificar que no se trata de hashes erróneamente identificados como parte del arsenal es de 1 hora y que la producción y diseminación es de 2 horas, se dispone de un total de 68 horas de tiempo máximo para la adquisición. En este caso, se asignará que debe realizarse cada 48 horas, cumpliendo así el requisito del tiempo de oportunidad.
El Plan de Adquisición quedará del siguiente modo:
| EEI | Fuente | Capacidad | Periodicidad | Responsable |
| Hashes de herramientas empleadas por ransomware | https://www.microsoft.com/en-us/security/blog/2025/06/ | Script automático | 1 hora | – |
| https://www.crowdstrike.com/en-us/blog/ | Script automático | 1 hora | – | |
| https://lab52.io/blog/ | Script automático | 1 hora | – | |
| X | Manual | 48 horas | Analista 1 | |
| Mastodon | Manual | 48 horas | Analista 1 |
De este modo, el Plan de Adquisición permite alinear los requisitos de inteligencia en un conjunto de tareas que satisfacen en tiempo y forma dichos requisitos.
El cumplimiento del plan de adquisición vendrá determinado por los requisitos de adquisición, el cual se analizará en el siguiente artículo.
[1] AJP‑2.1 Allied Joint Doctrine for Intelligence Support to Operations, NATO (2016), §2.13.
[2] Joint Publication 2‑0: Joint Intelligence, U.S. Department of Defense (2013), p. III-14.
Speak Your Mind