El documento presenta una introducción a la ciberinteligencia, describiendo su importancia para los gobiernos y la necesidad de investigar y analizar la actividad en el ciberespacio para conocer amenazas potenciales. Explica que la ciberinteligencia es una disciplina analítica que incluye la recolección y análisis de datos sobre la actividad en el ciberespacio para proveer información útil para la toma de decisiones y estrategias ante amenazas cibernéticas. Luego, describe las categorías y disciplinas de la ciberinteligencia,

1. Piedra Angular de la Ciberseguridad
Secpro – David Pereira

2. David Pereira
CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI,
QGSS, ECIH, EDRP, NFS, OPSEC.
• 18+ Años de experiencia en Seguridad
Informática y DFIR
• Hacker Ético – Pentester en diversas
Entidades en el mundo, de ámbitos como el
Financiero, Energético, Militar, Inteligencia,
Diplomático, Minero, entre otros.
• Instructor / Consultor de Fuerzas de
Ciberdefensa, Fuerzas Militares y Policía, en
varios Países.
• CEO de SecPro

3. • Introducción
• Importancia de la ciberinteligencia
• Categorías / Disciplinas
• Estrategias de Ciberinteligencia
•Niveles operacionales de ciberinteligencia
•Orígenes de datos / Fuentes
• Recomendaciones de Ciberinteligencia
orientada a hacia la Ciberseguridad de un país
• Casos de Éxito de la Ciberinteligencia
• Escenarios
• Retos Actuales y Futuro de la Ciberinteligencia
• Próximo enemigo mundial
Agenda

4. Introducción
A medida que evolucionaron las
telecomunicaciones a nivel mundial
surgieron mejoras de conectividad e
interacción con el ciberespacio pero
surgió una nueva amenaza : los
ataques cibernéticos que cada día
van en ascenso. (Quinto Dominio)
Norse
Arbor

5. Introducción
Surge la necesidad por parte de los
gobiernos de:
● Investigar y analizar la actividad
realizada en el ciberespacio
● Conocer las amenazas potenciales
/activas
● Prepararse para realizar un plan de
acción ante esas amenazas
● Saber qué medidas deberían
tomarse ante un evento o amenaza

6. Introducción
De todos estos Factores nace la
Ciberinteligencia

7. Ciberinteligencia
Ciberinteligencia es una disciplina
analítica, la cual incluye la toma y
captura de datos y análisis sobre la
actividad que ocurre en el
ciberespacio, con el fin de presentar
información oportuna para toma de
decisiones y estrategias a realizar con
respecto a las actividades de las
amenazas cibernéticas.

8. Importancia de la Ciberinteligencia
La Ciberinteligencia se volvió un factor
vital para la toma de decisiones a
nivel gubernamental debido a que
permite:
● Identificar Vulnerabilidades
Potenciales de la Nación en el
Ciberespacio.
● Identificar enemigos potenciales de la
Nación en el Ciberespacio
● Identificar e Interceptar canales de
comunicación enemigos.
● Rastrear y detectar planes de ataques
dirigidos al Ciberespacio de la Nación

9. Importancia de la Ciberinteligencia
● Implementar mecanismos de
Detección, Monitoreo y Alerta
Temprana.
● Identificar Posibles Aliados y
compartir datos de Ciberdefensa.
● Mitigación de Amenazas
● Identificar y Contactar posibles
informantes
● Infiltrar al Enemigo por medio de
mecanismos tecnológicos

10. Categorías / Disciplinas
Categorías de Ciberinteligencia :
SIGINT: (Signal intelligence) es la
obtención de inteligencia mediante la
interceptación de señales sin
importar la forma de transmisión y
comprende una combinación de:
• Inteligencia de Comunicaciones
(COMINT)
• Inteligencia Electromagnética
(ELINT)
• Inteligencia Telemétrica (TELINT)

11. Categorías / Disciplinas
Categorías de Ciberinteligencia :
OSINT: (Open Source Intelligence)
inteligencia obtenida del producto de
la información a disposición en
fuentes públicas “open” tales como :
• Reportes de gobierno, debates
legislativos, entre otros .
• Periódicos
• Radio y Televisión
• Internet
• Deep WEB (Capas Iniciales)

12. Niveles operacionales de
ciberinteligencia
“Todas las operaciones en el
Ciberespacio, comienzan con un
Ser Humano”

13. Estrategias operacionales de
ciberinteligencia
Generalmente a la hora de buscar
vulnerabilidades , falencias o mitigar un posible
ataque nos enfocamos en investigar la red de
trabajo y los elementos visibles de la misma .
La ciberinteligencia nos invita a investigar más
allá de las redes; conocer cómo los
Ciberataques o acciones realmente ocurren ,
no solo es detener una posible amenaza;
Buscar los factores que pueden generar esa
amenaza con base en el análisis y mitigarlos o
neutralizarlos.
Investigar más allá de las redes

14. Estrategias operacionales de
ciberinteligencia
Siempre existe una cadena de
destrucción o ruta discernible la cual
es una secuencia de actividades que
una amenaza debe cumplir para
lograr su objetivo (explotar o
vulnerar un Sistema).
Esta cadena se asocia con la
actividad maliciosa que ocurre en el
ciberespacio
Cadena de Destrucción

15. Estrategias operacionales de
ciberinteligencia
Mediante el uso de la ciberinteligencia y las
técnicas avanzadas de protección de redes se
juntan esfuerzos para reducir la línea de
tiempo (cadena de destrucción) entre un
adversario o atacante y la red que está siendo
defendida.
Se aplica el conocimiento de las posibles
acciones que realizaría un atacante antes de
su ingreso a la red, los prerrequisitos para
ingresar a la red y la posible información a ser
vulnerada por el atacante.
Cadena de Destrucción

16. Cadena de Destrucción
Estrategias operacionales de
ciberinteligencia
Existe una guía creada por Erik Hutchins ,Michael
Cloppert y Rohan Amin llamada Intelligence-Driven
Computer Network Defense Informed by Analysis of
Adversary Campaigns and Intrusion Kill Chains;
Esta explica de forma más detallada este proceso y
Brinda una serie de métodos para vulnerar la cadena
de destrucción . A continuación mostramos unos
ejemplos de esta guía .
Fuente://www.lockheedmartin.com/content/dam/lo
ckheed/data/corporate/documents/LM-White-Paper-
Intel-Driven-Defense.pdf

17. Proceso de decisión y ejecución
¿Reintentar?
Evaluar las Acciones
Implementar Acciones
Desarrollar Acceso
Adquirir capacidad
Seleccionar la vía de enfoque
Determinar el Objetivo
Motivación y decisión para actuar
Grafico del proceso de decisión y ejecución de un ataque cibernético
• Ganancia Financiera
• Políticas
• Acosar o avergonzar
• Terrorismo
• Robar Información
• Destruir Datos
• Manipular o Alterar Datos
• Red de trabajo : WEB o Email
• Insider
• Supply chain
• Construir , compilar
• Contratar
• Usar Capacidad Existente
• Insider
• Spear Phishing
• Inyección de SQL
• Establecer presencia en el objetivo
• Desplazarse en la Red
• Robar, alterar, manipular Datos
• Cubrir Huellas
• ¿Las Acciones fueron Exitosas?
• ¿Las Acciones son suficientes?
• ¿Los Objetivos fueron Cumplidos?
• Si
• No

18. Matriz para detectar esfuerzos de un atacante
*Ejemplo de Matriz del curso de acción para considerar el esfuerzo de un atacante haciendo
detección de la red a ser perpetrada
Fase Detección Denegado Interrumpido Degradado Engaño Destruido
Reconocimiento Análisis de la
WEB
Firewall ACL
Alerta Crawl
Militarización NIDS NIPS
Entrega Usuario Vigía Filtrado Proxy AV en línea Sandbox
Explotación HIDS Parchado DEP
Instalación HIDS Jaula chroot AV
C2 HIDS Firewall ACL NIPS Tarpit Redirección
DNS
Acciones de
Objetivos
Auditar Log´s QoS Honeypot

19. Matriz del alcance de acciones realizadas
*Ejemplo de Matriz de acción ampliando el alcance de las acciones de los defensores para habilitar
medidas más proactivas
Fase Detección Denegado Interrumpido Degradado Engaño Destruido
Motivación Técnicas OSINT Disuasión Desinforma.
Ofuscación
Objetivos Análisis WEB ,
OSINT
OPSEC Disuasión
Vía de
Aproximación
Web / Análisis de
la Red
Defensa Dinámica Defensa
Dinámica ,
OPSEC
Direccionar hacia
una defensa más
fuerte
Capacidad Técnicas OSINT Programa de
amenazas insider
Defensa
Dinámica
Direccionar hacia
una defensa más
fuerte
Acceso OSINT , Web /
Análisis de la Red
Programa de
amenazas insider
Defensa
Dinámica ,
OPSEC
Acciones Programa de
amenazas Insider
Acceso basado en
Roles
QoS Honey Pot
Evaluación Análisis WEB ,
Medios Sociales Honeypot
Reintentos OSINT, Análisis
de la Red
Defensa Dinámica Honeypot

20. Niveles de ciberactividades
✓Estratégico
✓Operacional
✓Táctico
Niveles operacionales de ciberinteligencia

21. Niveles de ciberactividades
Estratégico : Es el nivel donde se determinan
los objetivos y la orientación de los mismos por
parte de la organización. Se consideran factores
como:
✓ ¿Que tenemos que los demás puedan
querer?
✓¿Que tan importante es?
✓¿Como vamos a protegerlo?
Después se realiza la caracterización de riesgos
y se finaliza con una revisión de las posibles
amenazas
Niveles operacionales de ciberinteligencia

22. Niveles de ciberactividades
Operacional : En este nivel se planifican y
ejecutan la mayoría de acciones principales
para lograr el objetivo estratégico a cumplir
por área o red:
✓Revelar las tácticas, técnicas y
procedimientos del adversario
✓Comprender el ciclo operacional del
adversario
✓Listado de vulnerabilidades de tipo técnico,
social, legal y financiero que pueda llegar a
tener el adversario
Niveles operacionales de ciberinteligencia

23. Niveles operacionales de ciberinteligencia
Niveles de ciberactividades
Táctico: En el nivel táctico se llevan a cabo
todas las acciones en la red;
Se enfrenta el atacante con la información
recabada con el fin de cumplir el objetivo de
vulnerar la red y el defensor en
Ciberseguridad basado en el análisis que
realiza al momento de detectar un evento
malicioso emplea las mecanismos para
proteger la red y mitigar los posibles efectos
del ataque.

24. Orígenes de datos / Fuentes
ECHELON : Es considerada la mayor red de análisis y
ciberinteligencia conformada principalmente con
dispositivos SIGINT y administrada por la unión UKUSA
( Estados unidos, Canadá , Reino Unido , Nueva
Zelanda y Australia ) . Captura comunicaciones por
radio y satélite y se calcula que captura un estimado
de 3 mil millones de comunicaciones diariamente.
Esta red se creó en la década de los 70 pero inició como
parte del proyecto llamado FROSTING en 1966 . en el 2012
se filtró información de una presentación realizada por la
NSA donde hablan sobre la red ECHELON y sus instalaciones
a nivel mundial.
El 3 de Agosto de 2015 se confirma la existencia de la red
ECHELON por una publicación realizada por el diario the
intercept donde exponen un documento que suministro
Edward Snowden .
Sistemas / Programas de monitoreo y control:

25. ECHELON
*Imagen filtrada en el 2013 donde se muestra los equipos pertenecientes a la red ECHELON
, La Instalación más grande se encuentra ubicada en la base Menwith Hill en Yorkshire UK

26. Orígenes de datos / Fuentes
ECHELON a su vez contiene una serie de sistemas descritos a
continuación:
● PRISM
● Carnivore
● XKeystorm
● Dishfire
● Stoneghost
● Tempora
● Frenchelon
● Fairview
● Mystic
● Boundless Informant
● Bullrun
● Pinwale
● Stingray
ECHELON:

27. Orígenes de Datos / Fuentes
PRISM : Es un programa de vigilancia electrónica
confidencial del gobierno de los Estados Unidos
iniciado en el 2007 por medio del cual la NSA
(National Security Agency ) recaba información sobre
las comunicaciones realizadas a empresas privadas
como Google bajo la sección 702 de la ley de
enmiendas de la FISA (Foreign Intelligence
Surveillance Act of 1978 Amendments Act of 2008)
Se estima que PRISM puede obtener información
sobre : correos electrónicos, vídeos, chat de voz, fotos,
direcciones IP, notificaciones de inicio de sesión,
transferencia de archivos y detalles sobre perfiles en
redes sociales y su enfoque principal son las
comunicaciones externas “foráneas” realizada hacia
USA
ECHELON

28. Orígenes de Datos / Fuentes
Variantes de PRISM : En Canadá desde el año 2005 se
planteó un proyecto para realizar un programa similar
a PRISM pero el proyecto se llevó a cabo en el 2011
En el 2013 se filtró la noticia sobre la existencia de un
proyecto administrado por la CSEC similar a la NSA de
USA el cual recaba información sobre los metadatos
de llamadas telefónicas y conexiones de internet
Al igual que en los estados unidos manifiestan que
estas actividades se realizan principalmente a las
comunicaciones foráneas.

29. Orígenes de Datos / Fuentes
Variantes de PRISM :
● En Italia se creó una ley en el 2013 con una
serie de normas para la protección de la
ciberseguridad nacional la cual da carta blanca
para recolectar información del trafico con el
fin de proteger la ciberseguridad nacional
● En India el gobierno local está desarrollando
un sistema para “espiar” todas las conexiones
entrantes y dará acceso a algunas agencias
para verificar todo el monitoreo de tráfico . el
sistema estará a cargo de la NCCC (Centro de
Ciber Coordinación de la India)

30. Carnivore: Es un sistema Implementado por el FBI en
1997 cuya función es monitorear el envio y recepción de
correo junto con las comunicaciones . Posteriormente fue
renombrado a DCS1000
El sistema se basó para operar bajo la plataforma
Windows con un sniffer de paquetes y un disco duro JAZ
extraíble
Se estima que el sistema funcionó hasta el 2001 periodo
en el cual fue reemplazado por NarusInsight
Orígenes de Datos / Fuentes
ECHELON

31. XKeyscore: Es un sistema utilizado por la NSA para
buscar y analizar información datos globales de internet .
este programa es compartido con las agencias de
ciberseguridad incluyendo Australia ,Nueva Zelanda y
Alemania.
Actualmente no se tiene un conocimiento claro sobre el
funcionamiento del sistema, la NSA manifiesta que el uso
del programa es limitado y restringido. Por otra parte
Edward Snowden y Glenn Greenwald dicen que el
programa tiene cobertura total y se puede “espiar”
información de cualquiera en el mundo.
Orígenes de Datos / Fuentes
ECHELON

32. Orígenes de Datos / Fuentes
DISHFIRE: Sistema utilizado por NSA y GCHQ (agencia de
seguridad británica ) cuya función es el almacenamiento y
procesamiento (Base de Datos) de información como :
datos de geolocación, Business Cards, Transacciones
Financieras, Mensajes de texto, entre otros.
En 2014 se hizo público el conocimiento de este sistema
debido a documentos filtrados por Edward Snowden
ECHELON

33. DISHFIRE
*Imagen filtrada en el 2014 donde se explica el almacenamiento del sistema DISHFIRE

34. Orígenes de Datos / Fuentes
STONEGHOST: Nombre código de un sistema operado
por la agencia de inteligencia de defensa de los
estados unidos para realizar intercambios y compartir
información entre las agencias pertenecientes a la
UKUSA
Se trata de una red de alta seguridad con estrictos
requisitos de seguridad físicas y digitales. La red recibe
información sobre temas militares, SIGINT, inteligencia
exterior y seguridad nacional
ECHELON

35. Orígenes de Datos / Fuentes
TEMPORA: Nombre clave de un sistema secreto
administrado por la agencia de seguridad británica
desarrollado en 2008 e implementado en 2011
La función de este sistema es ser un Buffer de las
comunicaciones establecidas mediante fibra óptica
para interceptar el tráfico en los nodos principales
que forman la columna vertebral de Internet con el fin
de acceder a grandes cantidades de datos personales
de los usuarios sin levantar sospecha alguna . Este
proceso se realiza con el conocimiento de las
sociedades propietarias de los cables que se
intercepten. Una vez sea procesado el tráfico ; este
puede ser analizado posteriormente
ECHELON

36. Orígenes de Datos / Fuentes
Frenchelon: Es el sobrenombre empleado para las
señales de inteligencias francesas como contraparte
de ECHELON.
El Gobierno Francés niega la existencia oficial de este
programa pero por información filtrada se conoce que
el programa es administrado por la DGSE (Direccion
general de la seguridad exterior) o mejor conocida
como la agencia de ciberinteligencia francesa .
Por medio de algoritmos de descifrado obtienen
acceso a información clasificada del gobierno y
también interceptan telecomunicaciones. Se presume
que tienen un sistema similar al TEMPORA para
interceptar tráfico de los nodos de fibra óptica
submarina.
ECHELON

37. Orígenes de Datos / Fuentes
Fairview: Programa clasificado iniciado en 1985 en el
cual la NSA y AT&T realizan una colaboración con el fin
de obtener información sobre los usuarios de telefonía
foráneos; entre la información recabada se encuentran
datos de la línea, uso de internet y correos .
La NSA tiene acceso a los siguientes elementos de
AT&T:
● 8 puntos de conexión a internet
● 26 instalaciones de routers VoIP
● 1 instalación de router VoIP HUB
● 9 Nodos de fibra óptica submarina
● 16 estaciones de circuitos
ECHELON

38. FAIRVIEW
*Imagen filtrada del sistema FAIRVIEW
La información que
se conoce sobre este
sistema fue filtrada
por Edward Snowden
en el 2013

39. Orígenes de Datos / Fuentes
MYSTIC: Programa administrado por la NSA desde el
2009 el cual opera bajo la orden ejecutiva 12333 y
tiene como fin recolectar los metadatos de las
llamadas telefónicas .
Bajo un subprograma de nombre clave SOMALGET
MYSTIC puede almacenar los metadatos de cada
llamada telefónica por un periodo no mayor a 30 días
MYSTIC logro capturar información sobre llamadas
realizadas en los países de México , Filipinas , Bahamas
, Kenya y Afganistán en 2014
ECHELON

40. Orígenes de Datos / Fuentes
Novedades: El 9 de septiembre de 2015 el director de
inteligencia nacional de los estados unidos manifestó
que por la información divulgada y el concepto que los
medios creen que es el Programa MYSTIC y SOMALGET
el gobierno Afgano había clausurado un programa de
inteligencia el cual era la fuente más importante de
protección de la fuerza y advertencia para los
estadounidenses
MYSTIC

41. Orígenes de Datos / Fuentes
Boundless Informant: Es una Herramienta para analizar y
visualizar altos niveles de datos utilizada por la NSA.
Con el uso de esta herramienta se presume que logran
visualizar todos los datos que recaban
La primera información que se obtuvo sobre esta
herramienta fueron unas estadísticas sobre la
información obtenida por la NSA de países europeos en
el 2013 gracias a la información filtrada por the intercept
ECHELON

42. Boundless Informant
*Primeras imágenes filtradas sobre la herramienta en la cual se muestra la información
obtenida por la NSA en países europeos (Alemania)

43. Orígenes de Datos / Fuentes
BULLRUN: Programa para descifrar información
utilizado por la NSA y las agencias de ciberinteligencia
pertenecientes a la UKUSA .El programa utiliza
fuentes de búsqueda entre los cuales está la
interdicción, la explotación, colaboración entre
entidades y técnicas matemáticas avanzadas.
El programa opera con el bloqueo de cifrado Skipjack
, un backdoor y se rige bajo leyes como la CALEA y
CESA
Con base en la información filtrada sobre el programa
, BULLRUN se ha logrado infiltrar en SSL 2.0 / 3.0 y en
las Conexiones VPN
Otro factor de BULLRUN es la capacidad de poder
insertar vulnerabilidades en sistemas de cifrado como
el DUAL_EC_DRBG
ECHELON

44. Orígenes de Datos / Fuentes
PINWALE: Es el nombre clave de un sistema de la NSA
que se especializa en recolectar información sobre
correos el cual puede ser monitoreado por analistas de
la NSA en tiempo real
Según la información filtrada por Edward Snowden
pinwale hace parte de un sistema de varios niveles o
multinivel en el cual almacenan en pinwale datos
“interesantes “ encontrados por los analistas de la NSA
y pueden llegar a tener una duración de 5 años
almacenados.
ECHELON

45. Orígenes de Datos / Fuentes
Tsubame : Es una red tipo “sifón” creada por
APCERT en el 2007 la cual comunidad de equipos de
respuesta ante incidentes (CSIRT) en la región
asiática.
Fue creada con el fin de monitorear y capturar datos
sobre las actividades maliciosas detectadas en el
ciberespacio por medio de sensores instalados en
las CSIRT de la región
Los resultados obtenidos son compartidos entre las
distintas CSIRT con el fin de crear una plataforma de
análisis y realizar planes de acción más efectivos
contra las amenazas presentadas .
Sistemas / Programas de monitoreo y
control:

46. Orígenes de Datos / Fuentes
Tomado de :
http://www.apcert.org/about/structure/tsuba
me-wg/

47. Recomendaciones de uso de la
Ciberinteligencia para
Seguridad Nacional

48. Recomendaciones de ciberinteligencia orientada hacia la
ciberseguridad del país
Actualmente las entidades gubernamentales tienen sus servicios de internet
dispersos en diferentes servicios de hosting a nivel mundial. Esto dificulta la
mitigación de ataques, análisis de seguridad, endurecimiento y protección de
la información.
¿En qué podemos mejorar?
Datacenters Propios con
administración centralizada

49. ¿En qué podemos mejorar?
Datacenters Propios con administración
centralizada
Un Datacenter (o grupo de datacenters) exclusivos para servicios
gubernamentales, administrado y asegurado por personal de ciberseguridad
nacional, permitiría controlar eficientemente potenciales amenazas, así como
centralizar auditorías de seguridad, análisis de ataques, seguimiento de
amenazas, una única red de protección, entre otros.

50. ¿En qué podemos mejorar?
● No hay datos estadísticos o un estudio interno que nos
permita responder esta pregunta.
● Muchas entidades gubernamentales no cuentan con una
infraestructura de respaldo o de protección para sus
portales o servicios en línea.
● Nadie cuantifica el costo de un ataque, aún después de que
este ocurre.
¿Qué tan preparado está el país para responder
ante potenciales amenazas?

51. ¿En qué podemos mejorar?
● Alternativa:
INTELIGENCIA DE AMENAZA
Debemos entender cuales son nuestras amenazas, como
actúan en nuestra contra y cómo evolucionan.
-Recordar a Sun Tzu.
¿Qué tan preparado está el país para responder
ante potenciales amenazas?

52. ¿En qué podemos mejorar?
¿Qué tan preparados estamos para responder
ante incidencias de seguridad?

53. ¿Qué tan preparado está el país para responder
ante potenciales amenazas?
La capacidad de respuesta depende de la
implementación de diferentes mecanismos
para:
● Protección y aseguramiento de las
plataformas informáticas.
● Manejo de respaldo tanto para la
información como para el servicio que
la plataforma presta.
● Detección prevención y monitoreo de
intrusiones.
● Capacidad de Mitigación
Todas ellas ausentes o incompletas en la
mayoría de servicios informáticos estatales.

54. ¿Qué tan preparados estamos para responder ante incidencias
de seguridad?
NUEVAMENTE:
Un datacenter para todos
los servicios
gubernamentales
permitiría aumentar el
readiness global,
optimizando recursos,
costos e impacto.

55. ¿En qué podemos mejorar?
¿Y a Nivel Interno?
¿Para qué ser reactivos si podemos ser
proactivos?
Plantillas de Endurecimiento
(“Hardenización”) que sean aplicables a la
infraestructura Interna de los Entes
gubernamentales;
● Sistemas Operativos de Servidor y
Estaciones
● Redes Internas y Perimetrales
● Dispositivos Móviles
● Aplicaciones
● Bases de Datos
● Auditoria de Código Fuente

56. ¿En qué podemos mejorar?
● Un ranking de potenciales fuentes de amenaza
permite identificar un ataque con un alto nivel de
probabilidad.
● A partir de un consolidado del histórico de ataques
recibidos a las entidades gubernamentales se puede
inferir quienes son nuestros mayores enemigos
cibernéticos.
● Colombia no cuenta con estos servicios.
Base de datos de reputación propia

57. ¿En qué podemos mejorar?
Listado de blancos potenciales de ataques
Crear un ranking de los portales y servicios
informáticos más críticos ante un eventual ataque, en
el que se tenga en cuenta:
● Nivel de vulnerabilidad.
● Nivel de criticidad de la información almacenada.
● Impacto de la caída del servicio que proporciona.
● Entre otros
A partir de allí identificar los targets con mayor interés
para los atacantes, y enfocar esfuerzos para su
protección.

58. ¿En qué podemos mejorar?
Mapeo geográfico de puntos de conexión
inalámbrica
Existen herramientas que permiten la geolocalización
de diferentes puntos de conexión Wireless en el país.
Un mapeo de este estilo, además de dar una idea de
qué zonas tienen mayor demanda de servicios
informáticos, también permite identificar desde qué
lugares se podría conectar un potencial atacante.

59. Carecemos de la infraestructura necesaria para detectar
un ataque y monitorizarlo. En ese sentido, sería de
bastante utilidad contar con todo un sistema de
honeypots especialmente orientados para los servicios
informáticos del gobierno.
Con ellos se podría identificar un potencial ataque en el
momento mismo en el que sucede, ubicar su origen,
hacer traza de sus actividad y obtener información de él.
Es, de por sí, un mecanismo de seguridad de detección de
ataques muy eficiente que, nuevamente, se encuentra
ausente en la gran mayoría de nuestros servicios
informáticos.
¿En qué podemos mejorar?
Red de honeypots y “sifones” para detección de
ataques

60. ¿En qué podemos mejorar?
Si tuviéramos una herramienta instalada en
cada computador de cada empleado público
a fin de utilizar su ancho de banda en caso de
necesitar repeler un ataque, tendríamos una
red de defensa de magnitudes gigantescas.
Usaríamos la técnica del enemigo en su
contra.
Red Nacional de Defensa DDoS

61. Vincular a los ISP y tener canales fluidos de
comunicación a fin de contener o eliminar
ataques mediante técnicas como Black Hole
Filtering reverso.
¿En qué podemos mejorar?
Red Nacional de Defensa DDoS

62. Implementar mecanismos de captura de
información de los usuarios que navegan los
sitios de IC del país;
En el momento de detectar un ataque, cruzar
información y hacer hack back;
Rastreo de puertos, detección de
vulnerabilidades, DDoS, Filtro de ISP, etc. de
forma automatizada.
¿En qué podemos mejorar?
Tracking al atacante

63. Casos de Éxito de Ciberinteligencia
NSA
En el 2013 la NSA afirmo que logro frustrar 50
ciberataques del 11s gracias a las labores de
ciberinteligencia realizadas . uno de los
ataques iba dirigido a la bolsa de Nueva York
Fuente: http://www.ibtimes.com/four-times-
nsa-surveillance-programs-stopped-attack-
1312309

64. NSA
En el 2009 por medio de un programa de
vigilancia (herramienta 702) lograron detectar
un atentado en el tren de Nueva York
Con el uso de esa herramienta también lograron
frustrar un ataque terrorista de un extremista
de Yemen hacia la bolsa de Nueva York
Fuente: http://www.ibtimes.com/four-times-
nsa-surveillance-programs-stopped-attack-
1312309
Casos de Éxito de Ciberinteligencia

65. GCHQ
El 12 de septiembre de 2015 la agencia de
seguridad británica logro frustrar un ataque
hacia los correos electrónicos de ministros del
reino unido , el objetivo principal era la ministra
Theresa May; se presume que los hackers
lograron obtener información sobre el plan de
gobierno.
Fuente:
https://actualidad.rt.com/actualidad/185694-
piratas-informaticos-ei-hackean-correo
Casos de Éxito de Ciberinteligencia

66. En los últimos años el estado islámico
aumento el numero de ataques
informáticos junto con el nivel de
elaboración de los ataques .
Sus Objetivos principales son Estados
Unidos y Europa
Las agencias de ciberseguridad
incrementaron los esfuerzos para detectar
y mitigar futuros ataques
Próximo enemigo mundial : Estado
Islámico

67. A continuación se presenta un breve
reporte sobre hackers del estado islámico
y sus ataques recientes :
• OpIsrael Reb0rn: Fue un ataque
realizado en 2013 por el grupo
AnonGhost el cual realizada DDoS
hacia dominios israelíes el cual no
tuvo el éxito esperado debido al
alto número de objetivos (1300)
Próximo enemigo mundial : Estado
Islámico

68. • Qods freedom :Es un grupo que se
autoproclaman basados en gaza los cuales
han atacado numerosos dominios israelíes
haciendo ataques de DDoS y defacement . el
mayor ataque realizaron fue en 2013 donde
se atribuyen ataques a corporaciones
bancarias y dominios de Israel; se cree que
el grupo tiene orígenes iraníes
Próximo enemigo mundial : Estado
Islámico

69. Qods freedom
*Muestra de un Defacement realizado a una página Israelí
Próximo enemigo mundial : Estado
Islámico

70. • Operación ABABIL: Fueron una serie
de ataques realizados entre el año
2012 y 2013 por un grupo
denominado Izz ad-din Al-Qassam
Cyber Fighters . los ataques fueron
realizados con la técnica de DDoS
utilizando servidores con gran ancho
de banda y sus objetivos fueron
entidades bancarias pertenecientes a
los Estados Unidos
Próximo enemigo mundial : Estado
Islámico

71. Cutting sword of justice : fue uno de los grupos
que realizó los ataques a la compañía de
petróleo saudí Aramco en el año 2012 y fueron
desconocidos hasta ese momento.
Utilizaron un malware denominado Shamoon el
cual buscaba información específica y al enviaba
al atacante a través de un backdoor y lograba
replicarse por la red . al fina borraba la MBR
para que no pudiera iniciarse el equipo
infectado; se estima que afectó 2000 servidores
y 30.000 estaciones de trabajo que utilizaban
sistemas Windows.
Próximo enemigo mundial : Estado
Islámico

72. Ataque a correo británico :El 12 de septiembre
del presente año Hackers del grupo takfirí EIIL
(Estado Islámico) intentaron realizar un ataque
a los correos electrónicos de ministros
británicos ; El objetivo principal era la ministra
Theresa May.
Aunque el objetivo no fue logrado se presume
que lograron obtener información sobre los
planes de gobierno
Fuente:
http://www.telegraph.co.uk/news/politics/1185
9005/Cabinet-ministers-email-hacked-by-Isil-
spies.html
Próximo enemigo mundial : Estado
Islámico

73. Referencias / Enlaces de interés
1.https://es.wikipedia.org/wiki/ECHELON
2.http://qz.com/92648/think-us-snooping-is-
bad-try-italy-india-or-canada/
3.https://en.wikipedia.org/wiki/PRISM_(surve
illance_program)#Related_NSA_programs
4.http://resources.infosecinstitute.com/china
-vs-us-cyber-superpowers-compared/

74. Referencias / Enlaces de interés
5.https://www.youtube.com/watch?v=2bYVjJ
jh-PY
6.https://theintercept.com/2015/08/03/17-
years-reporter-exposed-echelon-finds-
vindication-snowden-archive/
7.https://www.rt.com/usa/311489-snowden-
files-confirm-echelon/

75. ¿Preguntas?
David F. Pereira Q.
david.pereira@secpro.org
@d4v1dp3r31r4