viernes, 5 de marzo de 2021

Inteligencia de fuentes abiertas OSINT en la lucha contra el COVID-19

Toda información proveniente de fuentes abiertas obtenida en el transcurso de nuestra investigación, o recopilación de datos para un cliente ya sea mediante la utilización de sistemas de recolección propios o de un tercero, resulta totalmente imprescindible que deba ser analizada.

Por tanto, resulta necesario y conveniente aplicar diferentes técnicas de análisis con la finalidad de elaborar un producto de inteligencia que, como resultado de dicha evaluación, integración, análisis e interpretación, pueda ser de utilidad a nuestro cliente.

Como no me he cansado de explicar en las diferentes ponencias realizadas, la inteligencia ha de ser proactiva y ha de tratar de avanzarse a los acontecimientos para facilitar que el cliente pueda aprovechar las oportunidades que dicha inteligencia le proporciona como, por ejemplo, ayudándole a la protección contra las amenazas de la manera más eficiente, ya sea mediante la detección de elementos indiciarios de la preparación de un ataque u obteniendo elementos de quien está detrás de una campaña contra su organización.

Existen múltiples y variadas técnicas de análisis que nos ayudan en la interpretación de dichos datos, donde cada una de ellas juega un papel definido y está enfocada a un ámbito diferente de la ciberinteligencia. Así, por ejemplo, disponemos del análisis de alto impacto, diagramas de influencia, análisis estructural, análisis de actores, creación de escenarios e indicadores, o la descomposición visual, donde situaríamos el análisis de redes.

El análisis de redes es un complemento en las tareas del analista, proporcionando herramientas visuales que le ayudan en el análisis y estudio de cualquier tipología de red. El análisis de redes proporciona al analista los elementos necesarios para realizar una revisión, compilación e interpretación de los datos de los que se disponen, ofreciéndole la posibilidad de observar los datos desde un nuevo punto de vista.

Redes Sociales

A muchos lectores, la primera idea que le vendrá a la mente al leer redes sociales serán plataformas como Facebook, Twitter, o similar. No obstante, antes de dicha acepción en el ámbito ciber, las redes sociales ya existían en el plano físico.



Se entiende por Red Social, en el sentido más básico, una colección de individuos (nodos) en la que algunos de ellos están conectados entre sí (enlaces). Esta definición resulta muy flexible ya que genera que puedan existir muchas tipologías de relaciones entre las que diferentes entidades se puedan conectar. De esta forma, resulta sencillo encontrar redes en muchos campos y dominios.

Las redes sociales de los seres humanos han sufrido cambios importantes motivados por los avances tecnológicos en los ámbitos de tecnologías de la información y las comunicaciones. En especial, asociadas al aumento del consumo del uso de plataformas como Twitter, Facebook, Instagram o TikTok, entra otras, provocando una mayor interconexión y dependencia de dichas redes, con un aumento exponencial del volumen de información compartida mediante dichas plataformas y redes sociales. Todo esto ha provocado un gran interés por parte de corporaciones y organizaciones, siendo la motivación principal de este interés la de conocer y descubrir patrones de interconexión entre el conjunto de individuos.

Vector de Infografía creado por alvaro_cabrera - www.freepik.es

Análisis de redes sociales (ARS)

El ARS está sustentado en una rama de las matemáticas llamada teoría de grafos.

La teoría de grafos nos ayuda a determinar qué posición ocupa cada individuo dentro de una red en función de cómo se relaciona con el resto de los individuos de dicha red.

Basándonos en estas premisas, Vicente y un servidor planteamos una prueba de concepto (PoC), que consistía en la identificación de individuos que habían estado en contacto con alguna persona positiva en COVID-19 los días previos o posteriores a la detección del virus. Dicha identificación la realizamos, exclusivamente, rastreando las redes sociales e Internet.

La PoC la mostramos en la última edición de las Jornadas STIC, que titulamos “ARS como herramienta para el rastreo y seguimiento de la pandemia SARS CoV2” (aquí podéis acceder a visualizarla https://www.youtube.com/watch?v=-OClnUhrt78).

En dicha conferencia mostramos la relevancia de la inteligencia conseguida mediante técnicas de obtención de información en fuentes abiertas (OSINT, Open-Source Intelligence). Cabe destacar que OSINT se ha convertido en una las más importantes disciplinas de la inteligencia por derecho propio y la que más y mejor información proporciona a los analistas. En la actualidad, el 80% de la inteligencia generada procede de fuentes abiertas.

En el actual contexto social, en el que las personas transitan cada vez más por las redes sociales, OSINT es un aliado fundamental de sus hermanas SOCMINT (Social Media Intelligence) y SOCINT (Sociocultural Intelligence), a las que nutre y complementa.

Estas disciplinas son la base del Social Network Análisis (SNA) o Análisis de Redes Sociales (ARS), que se ha convertido en una técnica indispensable en momentos como los actuales, donde la ARS es la principal herramienta que nos permite realizar un seguimiento de los contactos de personas infectadas por SARS-CoV-2, permitiendo ser más eficientes en las intervenciones, redistribuyendo recursos y optimizando de forma radical el tiempo de identificación de personas que han estado en contacto con un positivo de coronavirus.

La conferencia constó de cuatro bloques principales:

1. Contexto actual
Comenzamos explicando el año convulso que nos ha tocado vivir. Un año muy complicado donde la pandemia está haciendo que, por un lado salga lo peor de algunas personas (entiéndase, los ciberdelincuentes) pero, por otro lado, también lo mejor de otras muchas. Es aquí donde, junto a Vicente Aguilera, quisimos poner nuestro granito de arena y pensamos en como podíamos ayudar desde nuestra experiencia en la obtención de información en redes sociales y la ciberinvestigación, acordándonos del libro que publicamos ese mismo año (2020), Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet, y que sería interesante estudiar como colaborar con estas técnicas. De esta forma, pensamos que podríamos crear un sistema, una plataforma que ayudara a los rastreadores en la función de detección y localización de persona que hubieran estado en contacto con un enfermo de COVID-19 para que se pudiera hacer las correspondientes pruebas y parar la expansión del virus, ya que la aplicación Radar COVID no ha obtenido ni la repercusión ni la efectividad deseada.

2. Metodología
El planteamiento expuesto fue utilizar la misma información básica que la que dispone un rastreador. La información disponible por el rastreador es la obtenida de la persona que ha dado positivo en COVID-19 y que se obtiene de formularios como el siguiente, y donde el enfermo debe recordar con que personas coincidió en los últimos días  y con el que haya estado más de 15 minutos, sin mascarilla y a menos de dos metros de distancia. Asimismo, se solicita rellenar datos como nombre y apellidos, número de teléfono, el CIP (este código es el código de la tarjeta sanitaria del contacto y se compone de cuatro letras y 10 números), la fecha de contacto, el centro de atención primaria del contacto y el tipo de relación (familiar, laboral, etc.).



 
Si en el supuesto de que la persona no tenga síntomas o sean leves, muchos de los campos no los podría rellenar (desconocimento, olvido, indisposición, etc.), imaginad una persona con síntomas graves.

3. PoC
Dadas estas circunstancias, pensamos que podríamos utilizar nuestra experiencia en investigación y rastreo en fuentes abiertas para ayudar a los rastreadores en su titánica tarea de conseguir detectar a posibles personas infectadas por COVID-19 y que pudieran estar contagiando a otras personas de su círculo próximo sin saberlo.


 
Por lo que nos planteamos qué hacer a partir de los datos básicos que podríamos conseguir de una persona contagiada por COVID-19.

Pusimos en marcha una prueba de concepto (PoC) para ver hasta donde podríamos llegar a ayudar a los rastreadores, a partir de técnicas de obtención de información en fuentes abiertas, conocidas como OSINT, y del análisis de redes sociales, conocida como ARS o SNA (Social Networt Analisys).

Partiendo de la base que el enfermo no siempre estaría en condiciones de poder proporcionarnos información de las personas con las que había interaccionado, ya fuese por su estado o por no recordarlo, decidimos partir de una información inicial que siempre podría ser conseguida, como es el nombre y apellidos, fecha de nacimiento, el teléfono o correo electrónico de la persona enferma y no de sus contactos.



 
A raíz de esa información base recopilada pero que no tiene por qué estar completa -nombre y apellido, fecha de nacimiento, teléfono o correo electrónico -, la plataforma comienza a realizar una búsqueda tanto en redes sociales como en otros foros para localizar a nuestro objetivo de forma inequívoca. A partir de ese punto, recorremos su timeline con dos objetivos: el primero, en búsqueda de elementos que nos indiquen que han podido estar en contacto con terceras personas, conocidos o no; y el segundo, en búsqueda de lugares (restaurantes, bares, y sitios cerrados en general) donde ha estado nuestro objetivo y donde haya podido coincidir con otras personas. Este último punto lo realizamos a partir de la geolocalización de las propias publicaciones y del reconocimiento mediante técnicas de visión artificial de lugares o establecimientos.



 
Llegados a este punto hemos podido identificar personas que han coincidido en el espacio-tiempo predeterminado con nuestros objetivos, y lugares donde nuestro objetivo estuvo, y sobre los cuales profundizamos la búsqueda para comprobar si durante la estancia en ese lugar nuestro objetivo pudo coincidir con otras personas – cumpliendo los parámetros espacio-tiempo predefinidos-, para así poder notificarlas y/o crear puntos calientes de contacto.



 

4. Conclusiones
Hemos podido comprobar, en este caso con datos reales, pero de personas no enfermas de COVID-19, como es posible rastrear los movimientos de individuos en redes sociales a raíz de sus publicaciones para poder, realizar una trazabilidad de individuos y localizar que personas son con las que ha estado en contacto o para averiguar qué lugares frecuenta y así crear puntos calientes.



 
Pero como muchos lectores habrán imaginado, esta tecnología no únicamente puede ser utilizada en ayuda y colaboración de los rastreadores de COVID-19, sino que puede y se utiliza en multitud de investigaciones de personas, donde los objetivos del cliente, eso sí, deben ser siempre lícitos, y donde se puede abarcar un amplio abanico de posibilidades, tan amplio como nos permita la imaginación.


Autor: Carlos Seisdedos
Responsable depto. Ciberinteligencia