El uso de inteligencia de código abierto (OSINT) es cada vez más importante dentro de los departamentos de seguridad de TI. OSINT incluye la adquisición, recopilación, análisis y consolidación de información que está disponible en fuentes públicas, como Internet.
OSINT brinda una gran oportunidad para que los equipos de seguridad de TI usen fuentes disponibles públicamente para identificar información sobre su empresa, su postura de seguridad de TI y otros datos. Les ayuda a rastrear datos internos que no deberían ser públicos, incluidos, por ejemplo, puertos abiertos y dispositivos en red, y a tomar medidas para remediar la situación.
El problema es que, si bien OSINT es una excelente fuente de datos e información para los administradores de TI y otros profesionales que supervisan la seguridad de TI de la empresa, también ayuda a los ciberdelincuentes, ya que pueden usar esta inteligencia pública de código abierto para obtener información en un intento de atacar a la empresa.
Hoy en día, los grupos de ciberdelincuentes trabajan de forma más sofisticada que nunca, también debido a los enormes recursos financieros y humanos que tienen a su disposición. Aun así, antes de proceder al ataque propiamente dicho, tienen que hacer sus "deberes", tratando de estudiar a sus víctimas y recopilando toda la información posible para poder identificar los puntos débiles del objetivo, etc. ¿La forma más fácil de hacerlo? Recorrer la mayor fuente de información del mundo, la World Wide Web.
Desde los medios de comunicación de masas y los canales de las redes sociales hasta los datos públicos, como los informes gubernamentales, los datos comerciales o la información que se puede buscar fácilmente en los sistemas de búsqueda, existen muchas opciones para que los atacantes obtengan una perspectiva valiosa sobre casi cualquier tema. Internet es una fuente casi infinita que los ciberdelincuentes pueden aprovechar fácilmente. Pero al mismo tiempo, los administradores de IT pueden utilizar las fuentes disponibles públicamente para identificar información sobre su empresa, su postura de seguridad IT y otros datos que están siendo expuestos innecesariamente.
¿Qué herramientas OSINT existen en el mercado y para qué pueden utilizarse?
Con la ayuda de Shodan, por ejemplo, es posible detectar dispositivos IoT, sistemas OT (tecnología operativa) y puertos abiertos.
- Maltego, una herramienta capaz de ayudarte a identificar relaciones ocultas entre personas, dominios, empresas, propietarios de documentos y otras entidades. La información se visualiza a través de una interfaz de usuario intuitiva.
- Metagoofil, una herramienta para extraer los metadatos de los documentos disponibles públicamente, proporcionándole información crucial sobre los sistemas informáticos (nombres de usuario, versiones de software, direcciones MAC, etc.).
- TheHarvester, una de las herramientas OSINT más utilizadas y también fáciles de usar, te permite ver lo que un atacante puede ver sobre tu empresa, incluyendo subdominios, hosts, correos electrónicos y puertos abiertos. TheHarvester no solo analiza Google y Bing, sino también motores de búsqueda menos conocidos como DNSDumpster o el motor de búsqueda de metadatos Exalead.
Lo más importante para los responsables de la defensa es que, independientemente de la herramienta que se utilice para recopilar información y probar tus protecciones, es fundamental seguir siempre la política de pruebas de penetración de tu empresa y de aquellos cuyos servicios puedas contratar.
¿Es legal la OSINT?
Como ya se ha explicado, la OSINT puede identificar información pública y de libre acceso. Desde ese punto de vista, es completamente legal en la mayoría de los países occidentales. Sin embargo, hay que tener cuidado con los requisitos de protección de datos.
Dos ejemplos lo dicen todo: Recoger datos protegidos por contraseña o cualquier otro dato no público es ilegal. El uso de información de las redes sociales viola las condiciones de uso de la mayoría de las plataformas.
¿Cómo utilizan exactamente los atacantes la OSINT en sus ataques?
Los ciberdelincuentes tratan de identificar las fuentes de datos relevantes para desarrollar los métodos de ataque correspondientes, a ser posible sin dejar ningún rastro. No es raro que los ciberdelincuentes aprovechen las modernas tecnologías de la información y la comunicación que automatizan estas tareas.
Ejemplo 1: Spear-Phishing
Los motores de búsqueda como el de Google destacan por utilizar Internet para buscar información personal y profesional sobre las personas. Para ello, las redes sociales orientadas a la carrera profesional, como LinkedIn y XING, se utilizan con frecuencia y facilidad.
Pero otros canales de redes sociales también ofrecen detalles útiles (como los nombres de las mascotas y los familiares); todo esto puede utilizarse para descifrar contraseñas. Los datos obtenidos de este modo también pueden utilizarse indebidamente para identificar objetivos valiosos (sobre todo, personas con amplios derechos para sus propias cuentas de usuario o con acceso a información confidencial).
Ejemplo 2: Vulnerabilidades de seguridad
Con la ayuda de OSINT, los atacantes buscan vulnerabilidades de seguridad, como dispositivos sin parches, puertos abiertos, almacenamiento en la nube mal configurado o incluso información publicada accidentalmente, para identificar posibles objetivos.
¿Y cómo utilizan los informáticos la OSINT para asegurar la empresa?
Al utilizar OSINT, los equipos de seguridad de las empresas tienen como objetivo principal conocer la información de acceso público sobre sus propios sistemas informáticos, con el fin de cerrar las vulnerabilidades de seguridad. Estas incluyen, por ejemplo:
- Puertos abiertos y dispositivos de red inseguros
- Software sin parchear
- Información sobre los dispositivos y el software que utilizan, como versiones de software, nombres de dispositivos, redes y direcciones IP
La OSINT también es útil para los responsables de TI, ya que les ayuda a identificar la información pública fuera de la empresa, como el contenido de los sitios web y de las redes sociales. Además, pueden obtener información de sitios web y archivos no indexados, que también se conocen como la web profunda. Aunque no aparezcan en los resultados de las búsquedas, son técnicamente públicos y, por tanto, accesibles a través de las herramientas OSINT.
Si deseas utilizar OSINT como parte de tu gestión de riesgos cibernéticos, debes definir una estrategia clara de antemano y abordar las siguientes cuestiones:
- ¿Te gustaría identificar las vulnerabilidades de la red y del software?
- ¿Te gustaría identificar los activos disponibles públicamente que pueden ser utilizados por los atacantes para seleccionar los vectores de ataque adecuados?
- ¿Te gustaría averiguar si hay riesgos asociados a las publicaciones que los empleados comparten en las redes sociales?
También hay que tener en cuenta que durante el análisis se genera una gran cantidad de datos. Por lo tanto, es crucial que el proceso esté ampliamente automatizado. Asimismo, las pruebas de penetración periódicas, teniendo en cuenta la OSINT, han demostrado ser útiles. Además de las importantes medidas de protección de los equipos, como el uso de una solución antivirus, un cortafuegos o una sandbox en la nube, así como la formación periódica de todos los empleados de la empresa, las estrategias relacionadas con OSINT también deberían integrarse en tu concepto de seguridad