Planificación en Threat Intelligence: Plan de Adquisición

1 de agosto de 2025 Por Leave a Comment

Una vez definidos los requisitos de inteligencia por parte de las audiencias, debe planificarse el resto de las tareas involucradas en el Ciclo de Inteligencia. Entre las más relevantes está la identificación de las fuentes de información y la disponibilidad de los recursos y capacidades para su adquisición en tiempo y forma. Estas tareas se ejecutan en la fase de adquisición.

La adquisición es la fase del proceso de inteligencia donde el dato de interés es obtenido desde distintas fuentes, tanto abiertas como cerradas, o técnicas o humanas.

En el siguiente artículo se especificará una aproximación para la estructuración de las tareas de adquisición, estableciendo los alcances identificados en artículos anteriores mediante los PIR.

Alcance de las tareas de adquisición

La identificación de los Priority Intelligence Requirements como paso previo permite la selección de los objetivos de la tarea de adquisición a través de los EEI.

Es precisamente parte de la planificación de esta etapa la identificación de qué fuentes de información permiten la adquisición de dichos EEI.

Sin embargo, el objetivo de la fase de adquisición, como disparador de todo el proceso de inteligencia, se ve muy alineado con un concepto comentado en el artículo anterior, que es el tiempo de oportunidad. Esto impacta en que el producto de inteligencia sea de utilidad con suficiente antelación como para que el trabajo del equipo de inteligencia sea diferencial para la audiencia.

Por ello la rapidez con la que se realizan las labores de adquisición sea una parte fundamental en conseguir que el producto de inteligencia esté dentro del tiempo de oportunidad, consiguiendo una utilidad real del proceso. A continuación, se definirán una serie de elementos que permitirán una correcta planificación, alcance y automatización de dicha fase, cuestión no sólo son fundamental para la calidad del producto, sino especialmente para su utilidad.

[Read more…]

Planificación en Threat Intelligence: Requisitos

30 de julio de 2025 Por Leave a Comment

Dado que la inteligencia de amenazas tiene el objetivo de proporcionar una inteligencia del adversario en el ciberespacio para la toma de decisiones de la audiencia, qué tipo de análisis o productos deben realizarse dentro de un equipo de Threat Intelligence debe estar adaptado a las necesidades de su audiencia buscando así maximizar su utilidad. De esto modo, se toma el conjunto de necesidades presentadas por cada una de ellas y, a través de los recursos disponibles, se definen los tipos de procesos, flujos y productos que permiten darles respuesta. Son dichas necesidades las que la doctrina define bajo el término de Priority Intelligence Requirements (PIR).

Los Priority Intelligence Requirements son el marco de trabajo para el equipo de inteligencia por lo que, debido a su importancia, éstos deben ser correctamente definidos a través de ciertas características que se comentarán a lo largo del artículo.

Priority Intelligence Requirements

Los PIR son aquellas directrices facilitadas por la audiencia y que determinan el alcance de la inteligencia que necesitan para su toma de decisiones. El objetivo de los PIR es proporcionar información de calidad para la toma de decisiones que sea oportuna, integrada, analizada, predictiva y que responda al “¿y eso qué?” para orientar la planificación y apoyar las operaciones.[1] En consecuencia, la definición de los PIR permite al equipo de inteligencia estructurar el equipo de inteligencia de manera que adecuen cada una de las etapas para maximizar la eficiencia del producto entregado.

Si un PIR no está correctamente definido puede derivar en una situación donde el tiempo y los recursos necesarios para todo el proceso de inteligencia no han ido dedicados a un producto útil para la audiencia. Por ello, el primer paso para el correcto desempeño de un equipo de inteligencia es establecer el fin de cada uno de los procesos de inteligencia.

Un ejemplo de Priority Intelligence Requirement en Threat Intelligence pueden ser Capacidades para la detección de Tácticas, Técnicas y Procedimientos empleados por actores de ciberespionaje contra Europa o Tendencias de actores de ransomware.

[Read more…]

Planificación en Threat Intelligence: Definiciones

28 de julio de 2025 Por Leave a Comment

La ciberinteligencia es una disciplina que, aún siendo cada vez más necesaria en los procesos de seguridad, sigue sin tener los métodos y procesos estructurados para la correcta implementación en una organización. Actualmente, la comprensión de cuál debe ser la función de un equipo de ciberinteligencia y qué tipo de inteligencia debe proporcionar a las audiencias representa un conjunto muy complejo y diverso, especialmente por las diferencias que representa el dominio del ciberespacio respecto el dominio físico. Un ejemplo es su propia definición, la cual no existe un consenso unificado, respondiéndose en términos no alineados o incluso contrapuestos.

La siguiente serie de artículos pretende conformar una visión unificada con respecto a la teoría establecida hasta la fecha, abordando la planificación de los procesos de threat intelligence de manera operativa para su implantación en los sistemas de seguridad de una organización.

En este artículo se establecerá el conjunto de definiciones sobre las que se fundamentará la definición de los procesos y alcances del proceso de inteligencia de amenazas.

Ciberinteligencia

La ciberinteligencia no puede definirse como una disciplina de adquisición, es decir, un equivalente a OSINT o SIGINT, sino que se trata de una disciplina analítica, es decir, la inteligencia relativa al ciberespacio.[1] Por ello, los enfoques para su definición parte de conceptos previamente integrados en los procesos de inteligencia convencional.

El documento de la OTAN AJP-2 define la inteligencia como el producto resultante de la recopilación y el procesamiento dirigidos de información sobre el entorno, las capacidades y las intenciones de los actores, con el fin de identificar amenazas y ofrecer oportunidades para su explotación por parte de los responsables de la toma de decisiones.[2]

Tal y como se puede observar, el documento habla sobre el entorno donde ocurren las hostilidades, así como la información relativa a la amenaza. También ocurre así en el Joint Publication 2-0, donde caracteriza la inteligencia bajo dos perspectivas, la inteligencia del territorio de operaciones y la inteligencia sobre el adversario.[3]

[Read more…]

Cyber Threat Intelligence Report – Tendencias Q4 2022

6 de febrero de 2023 Por

Durante el último trimestre de 2022 el equipo de Lab52 ha llevado a cabo un análisis en profundidad de las amenazas que han actuado durante el periodo, tanto de información de fuentes públicas como de fuentes privadas, y respaldándose en el estudio del contexto geopolítico de cara a la anticipación de posibles campañas.

A continuación, se presenta el informe del trimestre, el cual incluye las principales tendencias del periodo, junto el análisis de las amenazas de más alta sofisticación y los eventos geopolíticos de mayor importancia.

Toda la información obtenida y analizada por el equipo de ciberinteligencia Lab52 ha permitido generar inteligencia implementada en los servicios de seguridad de S2 Grupo.

Accede aquí

Threat Hunting: Probability based model for TTP covering (Parte III)

13 de diciembre de 2022 Por

En los anteriores artículos (parte I, parte II) se ha descrito teóricamente un modelo de cobertura basado en la caracterización de una Unidad de Inteligencia de Threat Hunting, así como la interpretación de las tácticas de MITRE ATT&CK como escenarios estadísticamente independientes para la detección de una amenaza. El presente artículo se expondrá una aplicación práctica del modelo para la detección de APTX.

El documento completo de la investigación puede leerse en el siguiente enlace: https://www.academia.edu/89640446/Threat_Hunting_Probability_based_model_for_TTP_coverage

Modelo de cobertura de Threat Hunting

En primer lugar, se tomará el resultado facilitado por el equipo de Threat Intelligence. Dicho resultado debe ser una priorización de técnicas y una valoración sobre 1 del peso de cada una de las técnicas respecto la táctica. En este caso, para la táctica de Initial Access, ha priorizado un total de 8 técnicas/subtécnicas, asignándole los siguientes valores:

[Read more…]

Threat Hunting: Probability based model for TTP covering (Parte II)

9 de diciembre de 2022 Por

En el artículo anterior se ha establecido el objetivo de una Unidad de Inteligencia de Threat Hunting, así como realizado un estudio sobre la medición de su valor en función de su cobertura y eficiencia. En el presente se pretende utilizar dichos cálculos para establecer una cobertura a nivel de táctica y poder dibujar el modelo probabilístico de una organización respecto a un grupo APT. Puede leerse la investigación completa aquí.

Cobertura a nivel de Táctica

Si para la medición de la cobertura a nivel de Táctica se llevará a cabo el mismo ejercicio, el resultado sería una priorización de Técnicas en función del número de grupos que han utilizado cada una.  Este tipo de aproximación ofrece una perspectiva general sobre cualquier tipo de amenaza.

[Read more…]

Threat Hunting: Probability based model for TTP covering (Parte I)

11 de noviembre de 2022 Por

Las tareas de Threat Hunting como búsqueda de lo desconocido ha abierto la puerta a un sinfín de interpretaciones y metodologías de análisis proactivo, además de formular múltiples preguntas sobre cómo organizar la búsqueda y poder medir el tipo de servicio que se ofrece.

La investigación, que se presentará en tres partes, tiene como objetivo analizar las tareas de la revisión proactiva con el fin de establecer un modelo de desarrollo de Unidades de Inteligencia en función de la cobertura de las técnicas descritas en la matriz de MITRE ATT&CK, así como un modelo matemático para la planificación de las tareas de Threat Hunting basado en la probabilidad de detección para la eficiencia de las horas de analista. Puede leerse el estudio al completo aquí.

La Unidad de Inteligencia en Threat Hunting

En la seguridad gestionada convencional el objetivo es la detección de amenazas de manera automática. Es decir, la detección del mayor número de amenazas con la menor tasa de falsos positivos. En este caso, idealmente, el valor de la inteligencia es siempre incremental, es decir; existe una relación directamente proporcional entre el número de reglas (correctamente calibradas) y la calidad del servicio, pues cuanto mayor número de reglas se dispongan, mayor número de amenazas será posible detectar. Es decir, la regla tiene que identificar de manera inequívoca un patrón malicioso. No es así para el Threat Hunting.

[Read more…]

Correlación no estática de eventos de seguridad basada en el contexto geopolítico. Un análisis teórico

12 de julio de 2022 Por

Tal y como se está percibiendo los últimos meses, el nivel de riesgo en la seguridad de las organizaciones va aumentando, especialmente en función del riesgo derivado de los acontecimientos políticos. Del mismo modo que en el contexto de la seguridad de un país tenemos diferentes niveles de seguridad en función de la probabilidad de amenaza, muchas veces nos encontramos en la misma tesitura dentro del ámbito TI de una organización.

Bien sea debido a una vulnerabilidad publicada que afecta a los sistemas de la organización, a la exposición en los medios de la organización o por el aumento de la beligerancia por parte de actores de los cuales se es objetivo, en muchos casos la organización se encuentra con la necesidad de reforzar la dedicación a la monitorización de la seguridad.

Sin embargo, la correlación de los eventos de seguridad se encuentra fijada en unos valores predefinidos durante la fase de calibración y que, este refuerzo en los momentos necesarios se lleva a cabo a través de un análisis proactivo, es decir, a través de las acciones de Threat Hunting.

Dado que se conoce en qué casos se requiere dicho refuerzo, ¿no sería posible establecer unos parámetros sobre qué cómo y cuándo aumentar la criticidad de ciertos eventos?

Para dar respuesta a este planteamiento, se va a realizar un estudio para la ponderación de detección en red basado en la situación política contextual, que tendrá como resultado un modelo de correlador no estático, basado en la incorporación y procesado de entradas, tanto de inteligencia geopolítica como técnica.

La arquitectura que se va a describir es la siguiente:

[Read more…]

Omnium contra Omnes (II): Hacia el realismo político

8 de octubre de 2021 Por

En el anterior artículo comentábamos el impacto que ha tenido la posibilidad de anonimato en el ciberespacio. En este post vamos a indagar en esta cuestión y exponer los detalles que explican la existencia del anonimato, así como las consecuencias en el contexto geopolítico.

Anonimato

Los cinco factores imposibilitan la atribución directa de una acción de ciberguerra a una nación son los siguientes:

1. Que el medio virtual esté conformado por información permite a todo tipo de usuarios disponer de la posibilidad de la creación y modificación de artefactos, únicamente limitado por los permisos. Esto conduce a que no exista una traslación completa del elemento físico al virtual y, por tanto, no se dispone del control total del mismo. En consecuencia, no es posible garantizar la inmutabilidad de los elementos del entorno, es decir, qué acciones se han realizado o quién las realiza.

2. Existe la imposibilidad fáctica de la asignación de un perfil virtual de una nación. Los problemas vinculados a la atribución, fundamentados en el punto anterior, imposibilitan la relación de dos campañas separadas en el tiempo solo a partir de sus tácticas, técnicas y procedimientos. Incluso a pesar de contar con un indicador como el hash, no existe garantía al 100% de que se trata exactamente del mismo actor, pues el código podría haber sido robado o manipulado con anterioridad.

[Read more…]

Omnium contra omnes (I): Foucault en la ciberguerra

17 de septiembre de 2021 Por

No cabe duda de que, durante los últimos años, el número de operaciones en el ciberespacio con una motivación política ha ido en aumento. Bajo el análisis del contexto geopolítico, podemos encontrar una de las causas del auge de este nuevo modelo de guerra.

Desde la II Guerra Mundial no ha habido un conflicto bélico entre dos naciones del primer mundo. Esto evidencia cómo las grandes naciones han trasladado el choque de intereses a metodologías menos clásicas, como puede ser la utilización de guerras subsidiarias, la guerra comercial y, desde hace algunos años, la ciberguerra.

Sin embargo, es la utilización de la ciberguerra lo que permite interpretar el contexto geopolítico actual, pues ofrece una serie de particularidades como conflicto que permiten adecuarse de manera acorde a las relaciones internaciones contemporáneas.

[Read more…]