existencia de incentivos para que otros actores (empresas de ciberseguridad, medios de comunicación, organismos públicos que compiten en la asignación presupuestaria, etc.) magnifiquen o minimicen las amenazas procedentes del ciberespacio. El valor de las empresas dedicadas a la ciberseguridad, en demasiadas ocasiones guarda más relación con la alarma existente entre sus potenciales clientes y su habilidad para elaborar informes vistosos, que sobre la calidad de sus productos y su capacidad de aportar soluciones a problemas específicos. En los últimos años, hemos asistido a una evidente competencia entre estas empresas por desvelar nuevos casos de APT’s (Advanced Persistent Threat). La presión competitiva les puede llevar a precipitar sus conclusiones basándose únicamente en indicios circunstanciales. En la industria se bromea con la expresión: Advanced Persistent Marketing. Dichas empresas muestran sus principales fortalezas en el análisis forense del malware. Sin embargo, basar la identificación de una ciberoperación compleja recurriendo exclusivamente a este tipo de información constituye una notable limitación, ya que dichos indicios pueden ser ambiguos o deliberadamente engañosos. La forma adecuada de abordar dicho sesgo es confrontar y complementar dichas conclusiones con los datos procedentes de otras fuentes de inteligencia, que en ocasiones sólo están al alcance de los actores estatales. Es en esta otra dimensión del análisis donde dichas empresas muestran sus principales carencias10, no sólo por la falta de recursos de obtención, sino también por la ausencia de procesos centralizados y estandarizados de validación de sus conclusiones. Buena parte de estos informes buscan un amplio impacto mediático utilizando títulos que beben de la imaginería popular sobre el funcionamiento de un servicio de inteligencia. Para ello imitan supuestos códigos en clave para designar las nuevas APT’s que creen haber descubierto. Sin embargo, no es descartable que varios de estos productos estén aludiendo a los mismos responsables pero con diferentes nombres, que estos actores no existan como organización con identidad propia, o que sus componentes hayan fluctuado de grupo en grupo sin que conozcamos esa información. EL CICLO DE INTELIGENCIA EN EL CIBERESPACIO Algunas de las metodologías y procesos de la generación más asentados fueron desarrollados en una era donde el trabajo de análisis estaba enfocado de manera mayoritaria en la detección y recuento de capacidades militares por parte de estados hostiles, así como la predicción sobre las intenciones y potenciales usos de esos instrumentos por parte de sus líderes. La utilización de los procesos tradicionales de recolección, validación y elaboración de la inteligencia aplicados al ámbito ciber, en ocasiones plantea problemas de adaptación, pero también de relevancia de sus productos, como consecuencia del frenético ritmo con el que suceden los acontecimientos en esta dimensión, lo que provoca que muchos de sus productos hayan “caducado” antes de llegar a la fase de distribución. El ciclo de inteligencia tradicional describe un proceso lineal que no tiene en suficiente consideración las interrelaciones que se producen en sus diferentes fases11, y su relevancia para otros objetivos relacionados como la mejora de la ciberseguridad. Algunos autores 12 plantean solventar este problema dividiendo el análisis de ciberinteligencia en dos misiones distintas, las cuales requerirían procedimientos y mecanismos de difusión distintos: – Análisis técnico: donde los analistas usan los datos obtenidos para llevar a cabo análisis de carácter técnico con una orientación hacia la mejora de la ciberseguridad. Este ámbito de trabajo respondería a las preguntas de “qué” y “cómo”. 318 REVISTA DE AERONÁUTICA Y ASTRONÁUTICA / Abril 2017
REVISTA DE AERONAUTICA Y ASTRONAUTICA 862
To see the actual publication please follow the link above