OSINT - Inteligencia de fuentes abiertas

Lectura de 2 min aprox.

OSINT (Open Source Intelligence) es una metodología para recopilar y analizar de forma sistemática información proveniente de fuentes de acceso público con el fin de obtener inteligencia útil. Su alcance abarca toda la información a la que se puede acceder legalmente, como las publicaciones en redes sociales, la base de datos WHOIS, los registros DNS, la información pública de las empresas y los datos abiertos de los gobiernos. En el ámbito de la ciberseguridad desempeña un papel importante en ambos frentes: el reconocimiento de los atacantes y la inteligencia de amenazas del lado defensor.

Antecedentes históricos - De la inteligencia militar a la seguridad del sector privado

Los orígenes del OSINT se encuentran en los Estados Unidos durante la Segunda Guerra Mundial. En 1941, EE. UU. creó el Foreign Broadcast Monitoring Service para analizar de forma sistemática las emisiones de radio y los periódicos de las naciones enemigas. Durante la Guerra Fría, la CIA y la NSA desarrollaron el OSINT hasta convertirlo en uno de los pilares de sus actividades de inteligencia. Con la expansión de internet, a partir de la década de 2000 los métodos del OSINT se difundieron también entre las empresas de seguridad privadas, los periodistas y los investigadores. En el conflicto de Ucrania de 2014, el grupo de investigación ciudadana Bellingcat identificó operaciones militares mediante el análisis de fotos de redes sociales e imágenes satelitales, demostrando al mundo el poder del OSINT.

Clasificación de las fuentes

Uso indebido en la fase de reconocimiento del atacante

El primer paso de un ciberataque es el reconocimiento. Los atacantes usan OSINT para recopilar información sobre sus objetivos. Consultan los cargos y las habilidades de los empleados en LinkedIn para seleccionar objetivos de spear phishing. Buscan en los repositorios públicos de GitHub claves de API y credenciales que se hayan subido por error en un commit. Utilizan Shodan para identificar vulnerabilidades en servidores y dispositivos expuestos. Deducen la pila tecnológica en uso a partir de las ofertas de empleo de una empresa y apuntan a vulnerabilidades conocidas. La tasa de éxito de la ingeniería social depende en gran medida de la calidad de la información recopilada mediante OSINT previo.

El proceso de reconocimiento OSINT

Aprovechamiento en el lado defensor

OSINT también es una herramienta poderosa para los defensores. Para comprender la superficie de ataque de tu propia organización, investigas la información pública de tu empresa con los mismos métodos que los atacantes. Compruebas periódicamente con Have I Been Pwned si las direcciones de correo de los empleados aparecen en datos filtrados y, si es así, los animas a cambiar sus contraseñas. Mediante la monitorización de la dark web, vigilas si las credenciales o los datos confidenciales de tu empresa se están comprando y vendiendo. El artículo sobre la protección de la identidad digital también explica medidas a nivel individual.

Casos de uso reales

«Cuando realizamos OSINT durante la investigación previa de una prueba de penetración, pudimos identificar la pila tecnológica de los sistemas internos a partir del perfil de LinkedIn de un exempleado, y encontramos credenciales de prueba en un repositorio público de GitHub. Esta es información que los atacantes reales también podrían descubrir.»

Contramedidas OSINT a nivel individual

Comprender cuánta información estás exponiendo es el primer paso de la defensa. Revisa la configuración de privacidad de tus redes sociales y limita la divulgación de información personal innecesaria. Adquiere el hábito de eliminar los datos EXIF (información de ubicación) de las fotos antes de subirlas. Consulta también los artículos sobre la guía de configuración de privacidad y la defensa contra la ingeniería social. Para quienes desean aprender de forma sistemática las técnicas y contramedidas de OSINT, libros sobre OSINT y seguridad (Amazon) son una referencia útil.