Analytics

jueves, 9 de junio de 2016

Reflexiones sobre OSINT en 140 caracteres

De un tiempo a esta parte, OSINT (“Open-Source Intelligence”) se ha convertido en un término habitual para quienes estamos vinculados a la seguridad. No hablaría de una moda, ya que hace años que está con nosotros, pero sí que es cierto que cada vez cobra mayor relevancia. El uso creciente de las redes sociales como altavoz de ciertas actividades ilícitas, la situación de amenaza terrorista global en la que nos encontramos, la necesidad de explotar de forma eficiente el “big data” público y la necesidad de los gobiernos y las Fuerzas y Cuerpos de Seguridad del Estado en mejorar sus procesos de detección, ha acrecentado la difusión y conocimiento de este término por parte de los actores involucrados.

Este artículo no pretende definir o presentar el concepto clásico de OSINT (para eso, pueden consultarse presentaciones como la de las II Jornadas de Seguridad y Ciberdefensa “Técnicas #OSINT” [1], o el debate “OSINT y hacking con buscadores” del canal “Palabra de hacker” [2]) ni ser un repositorio de herramientas, manuales de uso o referencias, sino ir más allá en lo que este concepto oculta dentro del propio término, para que sea el propio lector quien pueda llegar a comprenderlo y, en última instancia, definirlo.

Tras iniciar la publicación de los #OSINTquoteoftheday, que publico diariamente en Twitter, algunas personas se han interesado en lo que hay más allá de estos conceptos o reflexiones y este artículo ahonda en ellas a fin de aportar algo de luz a conceptos que quizás no se tienen en consideración al hablar de OSINT.

 “If we want to hear the society, regardless of our goal, we have to analyze his voice, which is nothing more than the data provided through multiple sources.”

Nuestra sociedad quiere ser oída y nosotros necesitamos oírla. Se expresa diariamente a través de los medios que tiene a su alcance pero, su voz, casi siempre se pierde en el océano de la información.

Independientemente del motivo que nos lleve a querer conocer qué dicen y, más importante aún, quién lo dice y porqué lo dice, necesitamos acceder y analizar los datos que nos proveen las fuentes de información utilizadas por la Sociedad.

Lógicamente, las redes sociales son la primera fuente que nos viene a la mente. Pero también nos expresamos a través de otros múltiples medios, que deben ser igualmente analizados y que, además, nos ayudarán a ampliar y permitir contrastar la información que podamos obtener. Estos medios pueden proporcionar información de manera directa (una publicación en una red social, un comentario en un foro, una entrevista en un medio de comunicación, un testigo de un hecho, etc.) o de manera indirecta (reducción en las ventas de un producto, incremento de desplazamientos, descenso en el número de votantes, etc.).

Cualquier fuente de información facilita datos que pueden ser analizados para extraer conclusiones sobre un individuo, un sector o la sociedad en su conjunto. Conocer las fuentes y saber cómo explotarlas, es donde reside su complejidad.

 “As any process of generating intelligence, the OSINT ultimate goal is to assist in decision-making.

Cuando oímos que la información es poder, cosa en la que coincido plenamente, en realidad lo que pretenden decirnos es que el hecho de conocer determinada información facilita que se puedan tomar decisiones que conlleven un beneficio para el poseedor de dicha información. Cuanta más información se disponga, mayor número de decisiones se pueden tomar, y con un mayor nivel de éxito. Ahí está su poder.

Es decir, es importante analizar la información porque ello nos permitirá generar inteligencia. Y dicha inteligencia está encaminada a ayudarnos en la toma de decisiones, generalmente buscando un beneficio para la sociedad, aunque el objetivo dependerá de quien tenga la responsabilidad de tomar las decisiones.

 “OSINT reveals more details about a person that a psychological analysis.

En la actualidad, nuestra vida está en Internet. De forma pública y accesible para cualquier observador interesado en nosotros. Un análisis psicológico depende de la interpretación de un especialista en base a la información facilitada por el individuo objeto del análisis, como resultado de una o varias sesiones. Pero, puestos a analizar a un individuo, ¿qué mejor que analizar su entorno, sus acciones, sus relaciones, sus éxitos, sus fracasos, a lo largo de toda su vida? ¿Y si, a través de diferentes fuentes, podemos contrastar la información obtenida en base a aquella no facilitada directamente por el individuo, o facilitada por su entorno o un tercero?

Aplicando técnicas OSINT, la información obtenida sobre una persona puede revelarnos más detalles y un mejor conocimiento de la misma que un análisis psicológico. Todo depende de los objetivos que nos hayamos marcado sobre la decisión a tomar.

 “Our digital fingerprint is indelible. The problem is that not only allows to identify our actions and our identity, but also allows to reveal the essence of ourselves.

Internet no olvida o, por lo menos, siempre recuerda algunos aspectos. Borrar por completo nuestra identidad digital es una utopía. Este hecho, facilita que podamos ser identificados, que nos pongan cara y que conozcan nuestras acciones. Esto, de por sí, ya debería preocuparnos en gran medida. Pero el problema es aún mayor. El hecho de revelar intimidades o aspectos privados de nuestra vida, nuestros movimientos, nuestros gustos y nuestras aspiraciones es todavía más preocupante.

No sólo acabamos revelando nuestra identidad, revelamos aquello que nos hace ser únicos, en definitiva, ser quienes somos. Las agencias de publicidad y marketing, lo aprovechan para realizar campañas personalizadas observando los resultados a tiempo real, las empresas analizan los perfiles de sus candidatos, los candidatos a su vez, a sus posibles responsables y compañeros de trabajo, el acosador es capaz de predecir los movimientos de su víctima, etc. y esto no es más que el principio.

 “In an OSINT process, the fact of selecting an information source is like choosing your ideal partner: difficult, impossible sometimes, and better not to take a wrong decision.

Cuando hablamos de obtener información, el hecho de seleccionar las fuentes más adecuadas y fiables, se convierte en una tarea vital dentro del proceso de generación de inteligencia. Las fuentes utilizadas van a determinar el grado y la calidad de la inteligencia que podamos generar. Es una parte compleja dentro del proceso, y su selección dependerá de los objetivos perseguidos, del tiempo disponible y de la capacidad del analista.

El hecho de seleccionar una fuente de información inadecuada va a generarnos ruido y desinformación. En este escenario, pierde el sentido la expresión “la información es poder”, ya que la decisión que tomemos en base a dicha información va a tener el efecto contrario al esperado, y se volverá en nuestra contra. No hay nada peor que tomar una decisión de manera desinformada. Las consecuencias son imprevisibles.

 “Sometimes is not necessary to have the resources of a spy agency. The information being sought is accessible through open sources.

Hoy en día, cualquier usuario dispone de los medios y herramientas necesarias para poder generar la inteligencia necesaria sobre ámbitos concretos. Más allá de las capacidades de una agencia de inteligencia (o espionaje) como NSA [4], GCHQ [5] o nuestro mismo CNI [6] (curiosamente, CNI es el único que integra la palabra inteligencia entre sus siglas), que no voy a poner en duda y que, lógicamente, no pueden ser comparadas con las de un usuario particular, existen contextos específicos que sí pueden ser analizados, por el hecho de que la información asociada se encuentra accesible públicamente y puede dar respuesta al objetivo perseguido.

En estos casos, existen múltiples fuentes de información que pueden ser aprovechadas por usuarios anónimos, o grupos, para generar inteligencia que les permita tomar decisiones en su beneficio o, simplemente, saciar su curiosidad. La ética también juega un papel importante. Si la información está disponible para cualquiera, el uso que se pueda hacer de la misma también tendrá finalidades positivas y negativas.

 “The information is available to anyone, but intelligence only for the most sagacious people.

Cada segundo, generamos un volumen de información impensable hace tan sólo unos años [7]. La mayor parte de esta información se encuentra accesible para cualquiera, de forma pública. Con estas premisas, parece que generar inteligencia sea un juego de niños. Nada más lejos de la realidad. Información e inteligencia no son sinónimos, y la segunda está basada en las características de la primera, y en la capacidad de análisis de la que se dispone.

Además de los aspectos que he comentado previamente en relación con la selección de las fuentes de información, cabe destacar el hecho de que si hoy existe algo en exceso en nuestra sociedad es, precisamente, información. Tanto es así, que se ha acuñado el término infoxicación [8] para hacer referencia a esta sobrecarga de datos. Por tanto, el hecho de que esté disponible la información no está asociado directamente al hecho de generar inteligencia o, cuando menos, inteligencia con la calidad deseada. Tan complicado y deseado es generarla, que los estados incrementan sus partidas presupuestarias para conseguir superar la capacidad de sus “adversarios” o la de sus propios “compañeros” de alianza.
 “Those who undervalue OSINT, undervalue his privacy and security.

Si pensamos que nuestra vida, y la de nuestro entorno más próximo, está expuesta no sólo para las agencias gubernamentales sino para cualquier usuario (imaginemos nuestro vecino, la persona con la que coincidimos diariamente en los desplazamientos en metro a nuestro lugar de trabajo, la persona que nos observa en una cafetería, el dependiente que nos atiende en un comercio, etc.), comprenderemos la importancia de la privacidad y seguridad, no sólo la nuestra sino también la de aquellos que nos rodean.

En ocasiones, somos conscientes de que nuestra información puede ser utilizada por un tercero, posiblemente buscando un objetivo económico. Pero cometemos, bajo mi punto de vista, dos errores importantes. Primero, ese tercero que hace uso de la información privada que ha obtenido a través de una fuente pública, no tiene porqué ser un gobierno o una organización, o alguien que se encuentra a miles de kilómetros de distancia. Puede ser alguien que forma parte de nuestra vida, de nuestro entorno, y eso nos afecta de forma mucho más directa. Por otro lado, el segundo gran error es pensar en el uso de la información personal exclusivamente por agencias de marketing, gobiernos u otros que puedan hacer usos estadísticos. La finalidad es conocernos, en su sentido más amplio. Y el uso de la información puede ir desde el chantaje o la extorsión, hasta el secuestro o el atentado. Hasta que no seamos conscientes de ello, no pensaremos seriamente en garantizar nuestra privacidad y seguridad.
On Champions League final, many people bet on the winner. But prediction from an OSINT analyst is not based on desires or preferences, and considers all the parameters that may directly or indirectly affect the result.

La toma de decisiones es, en muchas ocasiones, un aspecto crítico. En el caso de los gobiernos, sus decisiones causan un impacto directo en toda la sociedad. De esta forma, cuando hemos de tomar una decisión, no podemos basarnos en suposiciones o informaciones no contrastadas o que puedan verse afectadas por aspectos sentimentales, entre otros aspectos.

La información debe ser objetiva, imparcial, fiable, verificada y de calidad, para que la inteligencia que generemos nos ayude a tomar la decisión más adecuada en cada momento, produciendo el resultado deseado.

Intelligence generated through OSINT techniques is like an orange juice. There is always something more to squeeze.

Hacía referencia anteriormente al término infoxicación. Es tal la cantidad de datos, fuentes de información disponibles, objetivos y detalles a analizar, que el analista siempre tiene la sensación de que, por muchas horas dedicadas, siempre podría exprimir más alguna fuente para conseguir identificar un nuevo dato revelador o un aspecto que le permita verificar la fiabilidad de alguno de los datos obtenidos durante su proceso de investigación.

La paciencia es una de las características de todo buen analista, pero quien tiene la responsabilidad de la toma de decisiones, requerirá disponer de los resultados en un tiempo siempre menor que el deseado.
 “Make visible what our eyes cannot see, deduce things that we do not know, that’s the magic of OSINT.

En este punto me gustaría aclarar la diferencia entre información e inteligencia. La misma información, analizada por distintos analistas, puede generar inteligencia de mayor o menor calidad. Es decir, es necesario interpretar los datos, identificar patrones, conectar puntos y, en definitiva, ver más allá de la información que tenemos sobre la mesa.

Por ejemplo, podemos ubicar a una persona en distintos lugares en base a las coordenadas que nos facilitan sus dispositivos de geolocalización. Eso sería información que podemos obtener. La inteligencia nos permitiría deducir que dicha persona utilizó un coche como medio de transporte para desplazarse entre dos ubicaciones, que era un coche alquilado y que no viajó sólo, por ejemplo. Esta información puede generarse a partir del análisis de los datos iniciales de una investigación. Sólo es necesario interpretar correctamente los datos y utilizar las fuentes de información adecuadas, profundizando en los detalles y haciendo uso de herramientas pero, sobre todo, de la capacidad del analista para ver aquello que no es visible. En resumen, ser los magos de la información.
 “An OSINT analyst is the Sherlock Holmes of the 21st Century.
En múltiples ocasiones se hace referencia al personaje creado por el escritor Arthur Conan Doyle, Sherlock Holmes, cuando se habla de inteligencia. Este detective poseía un especial razonamiento deductivo, un don que sabía aprovechar para resolver los casos más complejos. El personaje fue creado en 1887 y, por aquel entonces, los medios que utilizaba eran tremendamente limitados. Su capacidad de deducción era lo que le permitía interpretar los datos que recopilaba.

Esta labor de investigación y razonamiento deductivo es lo que comparte, entre otros aspectos, Sherlock Holmes con los analistas de información que han de generar inteligencia. A pesar de que actualmente contemos con medios altamente sofisticados para la explotación de fuentes abiertas, seguimos requiriendo estas características en la capacidad del analista.

 “An OSINT process should not be limited to identifying a needle in a haystack, also must be able to know how the needle got there.

Entre las cualidades de un analista, se espera que no sólo conozca las fuentes de información disponibles y sepa sacarles el máximo provecho, sino que se le presupone la capacidad analítica y deductiva necesaria para hacer visible detalles e información que, a priori, no se encuentran disponibles o un tercero ha dificultado su obtención.

El analista no sólo debe deducir acontecimientos (cómo, cuándo  porqué ocurrieron, así como quién o quienes estuvieron involucrados) sino que debe ser capaz de predecirlos (así como sus características) en la medida de lo posible. La inteligencia adquiere su máxima expresión al alcanzar este nivel.

Two possibilities exist: OSINT allows to obtain sensitive and private information with a positive purpose or with a negative purpose. Both are equally terrifying.

Si los detalles de la vida de una persona y de su entorno son accesibles por cualquiera mediante el uso de fuentes abiertas, sólo resta pensar que, dependiendo de quién haya detrás de esta labor de inteligencia, su uso puede ser beneficioso para la sociedad (por ejemplo, desarticular una célula terrorista a punto de atentar) o negativo (por ejemplo, extorsionar a un ciudadano a partir del conocimiento de su lugar de residencia, su nivel económico, su familia y sus movimientos).

Es la misma polémica que el uso de armas. Las Fuerzas y Cuerpos de Seguridad, si no estuvieran armados, ¿tendrían el mismo poder disuasorio y reactivo? OSINT abre la puerta a esta discusión, pero no hay que olvidar que, para protegernos, debemos ser conscientes de los riesgos existentes. Si desconocemos cómo pueden atacarnos, será imposible adoptar las medidas adecuadas para defendernos.


Conclusiones
El potencial de las técnicas OSINT se encuentra, aún, en vías de desarrollo. Conceptos como el Big Data, Machine Learning o Data Mining, están asociados a este desarrollo. El tratamiento de la información masiva está siendo una de las vías de trabajo pero todavía hay muchos caminos tanto de investigación como de explotación de la información.

Aquellos que no conocían el término, espero que puedan crearse su propia definición o, cuando menos, despertar su inquietud respecto cómo puede afectar a su privacidad y seguridad, así como la de su entorno más cercano.

Referencias
[1] Técnicas OSINT
http://www.isecauditors.com/sites/default/isecauditors.com/files/files/CIBERSEG16_Vicente_Aguilera_Diaz_-_Tecnicas_OSINT.pdf

[2] OSINT y hacking con buscadores
https://www.youtube.com/watch?v=bcJ_TEQtORE

[3] #OSINTquoteoftheday
https://twitter.com/hashtag/OSINTquoteoftheday

[4] NSA (National Security Agency)
https://www.nsa.gov/

[5] GCHQ (Government Communications Headquarters)
https://www.gchq.gov.uk/

[6] CNI (Centro Nacional de Inteligencia)
https://www.gchq.gov.uk/

[7] Big Data, for better or worse: 90% of world’s data generated over last two years
https://www.sciencedaily.com/releases/2013/05/130522085217.htm

[8] Infoxicación
https://es.wikipedia.org/wiki/Sobrecarga_informativa


Autor: Vicente Aguilera - CISA,CISSP, CSSLP, ITILF, PCI ASV, CEH, ECSP, OPST/A OWASP Spain Chapter Leader
Director Departamento de Auditoría.