Golpear al atacante con sus propias armas: esta es la estrategia que persiguen las empresas con las tácticas OSINT. Como parte de los escaneos de vulnerabilidad y las pruebas de penetración, se filtra la información disponible públicamente para reducir la superficie de ataque.
Atención a la frase: los datos son el oro del siglo XXI. Ya está un poco trillado, pero la afirmación sigue siendo cierta. Cuando las empresas recopilan datos, pueden utilizarlos para obtener ventajas competitivas. Les proporciona nuevos conocimientos sobre los intereses y el comportamiento de compra de sus clientes y potenciales clientes. Así, pueden utilizar los datos para generar más ventas.
Pero los ciberatacantes también recogen datos. Y lo hacen sobre las empresas y sus empleados para llevar a cabo ataques dirigidos. Para ello, utilizan las llamadas tácticas OSINT.
El término Open Source Intelligence (OSINT) surgió por primera vez fuera del sector de la seguridad informática. Se refiere a la recopilación de datos a partir de fuentes abiertas y de libre acceso con el fin de obtener información útil mediante el análisis de los datos.
Durante muchos años, los servicios de inteligencia han utilizado fuentes como la televisión, la radio, los medios impresos o Internet para recopilar información. La ventaja es que los costes son muy bajos, ya que las fuentes son numerosas y de acceso público. Además, muchas actividades de investigación pueden automatizarse. Además, obtener información a través de las infraestructuras públicas es menos arriesgado que, por ejemplo, espiar en un país hostil.
El Servicio Federal de Inteligencia alemán (BND) también utiliza OSINT y las herramientas correspondientes para encontrar contenido relevante.
La mayoría de las empresas tienen una masa desestructurada de activos y aplicaciones que se encuentran en varios dispositivos dentro y fuera de la red de la empresa. Rara vez los departamentos de TI conocen todo el contenido, palabra clave de la TI en la sombra. Si los atacantes acceden a las infraestructuras, algunas de las cuales son de acceso público, pueden utilizar la información de los activos para la ingeniería social y el phishing.
La tarea de los responsables de TI es, por tanto, encontrar toda la información que pueda suponer un riesgo para la empresa. De este modo, minimizan la superficie de ataque de los ciberataques. Como parte de la gestión de riesgos cibernéticos, las empresas utilizan cada vez más la OSINT para evitar el uso indebido de datos de libre acceso.
Thomas Uhlemann, especialista en seguridad de Eset
Con la ayuda de las pruebas de penetración, los equipos de seguridad encuentran información sobre recursos internos que son visibles públicamente, así como información relevante fuera de la organización. Como explica el proveedor de seguridad Eset, esto incluye puertos abiertos, dispositivos conectados a la red de forma insegura, software sin parches, información sobre los dispositivos y el software desplegados, como versiones, nombres de dispositivos, redes y direcciones IP. También se puede aprender mucho sobre los empleados a través de las redes sociales y los portales de carrera, lo que ayuda a los atacantes.
Tech Data también utiliza OSINT para la puntuación cibernética. De esta forma, el distribuidor pone a disposición de sus socios un servicio con el que pueden ofrecer a las empresas una visión general de la situación de las amenazas de sus sistemas informáticos a los que se puede acceder desde Internet.
Para los escaneos, el equipo de Tech Data sólo necesita el dominio de la empresa a revisar. Sobre esta base, encuentran el sello y, por tanto, la empresa inscrita en el registro mercantil. Al desglosar el sistema de nombres de dominio, el equipo obtiene más información, como los subdominios, los servidores de correo electrónico y las tiendas online. Tech Data analiza y evalúa las vulnerabilidades de las aplicaciones y prepara los resultados para los clientes en informes comprensibles.
Como la OSINT consiste en encontrar información disponible públicamente, es legal en la mayoría de los países. No obstante, deben respetarse en todo momento los requisitos de protección de datos y derechos de autor. Como añade Eset, puede haber consecuencias legales para los equipos de OSINT si examinan datos protegidos por contraseña o que son privados de alguna otra manera.
Los probadores de bolígrafos suelen definir de antemano los marcos sobre qué actividades están permitidas y prohibidas en sus intentos de ataque.