Presentación realizada en la Universidad de Alcalá de Henares para los alumnos de la misma universidad. La presentación pretende cubrir la introducción a la cibertinteligencia focalizando en OSINT, presentar ejemplos casos reales a resolver mediante técnicas y herramientas de inteligencia. Una vez introducidos los conceptos de la materia para centrar a los alumnos que quieran profundizar en esta materia, hacemos foco en como poder encontrar trabajo ajustando las expectativas salariales. A lo último damos consejos de cómo ser un superhéroe dentro del mundo de la ciberinteligencia y de la tecnología en general.

1. From [Z]ero to OSINT [H]ero
Que es y como hacer carrera en el mundo de la
inteligencia sacando máximo partido de OSINT

2. TLP:GREEN
Que te suena de..

3. TLP:GREEN
• Infographic Style
Quienes
somos
• Especialistas en Ciberinteligencia
• Finalistas en Cyberventures de Incibe con Hackdoor
• Cofundadores de la Comunidad de Inteligencia Ginseg
#OSINT
#ThreatIntel
#Ciberinteligencia
#Innovación
#Investigación
#Emprendimiento
Teacher Teacher
Ivan Portillo Wiktor Nykiel
ivanportillomorales
ivanPorMor
Consultora / Big4
wiktornykiel
wiktornykiel
Banco

4. TLP:GREEN
Definiciones TLP (Traffic Light Protocol )
Se debe utilizar TLP:GREEN cuando la información es útil para todas las organizaciones que participan, así como con terceros de la comunidad o el sector. Los receptores
pueden compartir la información indicada como TLP:GREEN con organizaciones afiliadas o miembros del mismo sector, pero nunca a través de canales públicos.
TLP:RED
TLP:AMBER
Sin divulgación, restringido solo para participantes.
Se debe utilizar TLP:RED cuando la información está limitada a personas concretas, y podría tener impacto en la privacidad, reputación u operaciones si es mal utilizada. Los
receptores no deben compartir información designada como TLP:RED con ningún tercero fuera del ámbito donde fue expuesta originalmente.
Divulgación limitada, restringida a las organizaciones participantes.
Se debe utilizar TLP:AMBER cuando la información requiere ser distribuida de forma limitada, pero supone un riesgo para la privacidad, reputación u operaciones si es
compartida fuera de la organización. Los receptores pueden compartir información indicada como TLP:AMBER únicamente con miembros de su propia organización que
necesitan conocerla, y con clientes, proveedores o asociados que necesitan conocerla para protegerse a sí mismos o evitar daños. El emisor puede especificar restricciones
adicionales para compartir esta
TLP:GREEN Revelación limitada, restringida a la comunidad.
TLP:WHITE
Se debe utilizar TLP:WHITE cuando la información no supone ningún riesgo de mal uso, dentro de las reglas y procedimientos establecidos para su difusión pública. La
información TLP:WHITE puede ser distribuida sin restricciones, sujeta a controles de Copyright.
La divulgación no está limitada.
https://www.us-cert.gov/tlp
Esquema simple e intuitivo para indicar como compartimos información creado por el US-CERT.

5. TLP:GREEN
Grupo de Telegram (Público)
https://telegram.me/ginseg (Grupo de Inteligencia y SEGuridad)
Canal de noticias de Telegram
https://telegram.me/ThreatIntelligence
Comunidad de Inteligencia
https://ginseg.com
W

6. TLP:GREEN
Agenda
Vemos que es la inteligencia y en que parte encaja OSINT. El
ciclo de inteligencia y proceso de análisis de información para
generar inteligencia accionable.
Introducción01
Repasaremos herramientas y soluciones que podamos usar
para introducirnos en el mundo OSINT.
Recursos02
Vemos como podemos sacarle partido en la vida real.
Casos reales03
Introduciendo el campo, estaría bien rentabilizar el tiempo
invertido, vamos a ver como encauzarlo como profesión.
Haciendo carrera04

7. TLP:GREEN
Introducción
¿De que va la inteligencia? ¿OSINT?

8. TLP:GREEN
Inteligencia
Información elaborada y tratada con el fin de
ayudar al proceso de tomas de decisiones.
Collección
Procesoyexplotación
Análisisyproducción
InteligenciaDatos Información
Entornooperativo
Información
Material sin evaluar, obtenida de cualquier fuente, que
una vez tratada, puede generar inteligencia.
Definiciones

9. TLP:GREEN
OSINTHUMINT
INTELIGENCIA
CTI
GEOINT FININT
Económica/Competitiva
SOCMINT Deep Web SIGINT

10. TLP:GREEN
Proceso de generación y comunicación de conocimiento ajustado a las necesidades y los requerimientos de un usuario a partir de la obtención y la
transformación de información apropiada.
Secuencia de actividades mediante las que se obtiene información que se convierte en conocimiento (inteligencia) que se pone a disposición de un
usuario.
CIA CNI
HUMINT
OSINT
CYBINT
SIGINT
Deep Web
Con origen en el ciclo
de inteligencia militar.
Generación de conocimiento
Generaciónyentregade
informedeinteligencia

11. TLP:GREEN
• Monitorizar feeds.
• Investigar amenazas / desarrollos.
• Agregar y consolidar información:
• Correlación de tendencias.
• Evaluar la relevancia de los requisitos.
• Determine la priorización para la
producción.
• Identificar información de valor.
• Intención clave de la amenaza.
• Amenazas clave TTPs.
• Caminos de ataque
vulnerables.
• Evaluar y priorizar el riesgo.
• Productos diseñados para cumplir con los requisitos.
• Información analizada fusionada en productos.
• Modelado de amenazas
• Escenarios de alto riesgo.
• Brechas de control priorizadas.
• Árbol de ataque.
• Perfil de amenaza
• Resumen ejecutivo.
• Objetivos de operaciones de seguridad.
• Definir / refinar requisitos.
• Entregar procesos/ productos para cumplir con los requisitos.
• Integración técnica de la inteligencia de amenazas
derivadas (por ejemplo, STIX / TAXII).
• Información / informes de la audiencia.
• Utilice el desarrollo de casos por analistas de seguridad.
• Implementación del caso.
• Seguimiento de casos.
• Comentarios de proceso / producto.
EXTERNO
• Información de inteligencia
de amenaza
• Casos de uso de
operaciones de seguridad
INTERNO
• Datos de incidentes y
eventos empresariales
• Controlar brechas y
vulnerabilidades
• Datos de activos críticos
Analizar
Recoger
Integrar
Producir

12. TLP:GREEN
Compañía Internet y Deep web
Gestionado por la organización
Analistas especializados: vosotr@s
Ciber-espacioCompañía
La información se puede encontrar
expuesta en diversas fuentes en las
que no se tiene control sobre la
publicación en ellas, tales como:
• Redes Sociales.
• Medios digitales.
• Deep y dark web.
• Etc.
La misma fuente/información
analizada y generada la inteligencia
puede servir para diferentes
interlocutores como por ejemplo:
• Seguridad física
• Seguridad lógica
• Marketing
• Recursos Humanos
• Consejo Administrativo Importancia de perfiles
multidisciplinares
Analistas de inteligencia
Criminólogos
Analistas de malware
Analistas de ciberseguridad
Importancia de los
idiomas
Español
Ingles
Frances
Italiano
Polaco
Ruso
Árabe
Aleman

13. TLP:GREEN
Información relevante que se convierte en inteligencia a través de un ciclo dinámico de colección, análisis, integración y producción.
Es importante ajustar el mensaje al interlocutor adecuado, proporcionando la información clave con el nivel exacto de detalles para cada
una de las partes receptoras de la inteligencia.
ESTRATÉGICO TÁCTICO
TÉCNICOOPERACIONAL
Esta inteligencia puede ser consumida por los equipos de seguridad así como por altos cargos.

14. TLP:GREEN
ESTRATÉGICO TÁCTICO
TÉCNICOOPERACIONAL
Es información de alto nivel. Es poco probable que sea técnico y
puede abarcar aspectos como el impacto financiero de la
actividad cibernética, las tendencias de ataque y las áreas que
pueden afectar las decisiones comerciales de alto nivel.
 Junta directiva / CEO.
 Otros altos responsables en la toma de decisiones
Estratégico
Es información sobre ataques específicos que llegan a la
organización.
• Personal de seguridad y defensa.
Se trata de datos o información sobre indicadores de malware
específico. La inteligencia de amenaza técnica generalmente
alimenta las funciones de investigación o supervisión de una
empresa.
• Analistas SOC, IR e IT Staff.
Operacional
Táctica
Técnico
Tácticas, técnicas y procedimientos (TTP, por sus siglas en
inglés) es información sobre cómo los actores pretender o
están realizando sus ataques.
• Arquitectos y Sysadmins.

15. TLP:GREEN
INFORMATION LEAKS
• Carding.
• Robo de Credenciales.
• Documentos Confidenciales.
• Presencia en Bases de Datos
• Presencia de Datos Personales.
• Información de Sistemas
Comprometidos.
PROTECCION DE CLIENTES
• Phishing.
• Pharming.
• Cybersquatting.
• Malware para móviles.
• Black markets.
• Botnets y C&C.
• Análisis de Malware.
• Ingeniería Social.
• Listas Negras/Blancas.
• Rastreadores Online.
• STIX, IOC, Hash, IPs.
• Alertas CVE.
THREAT INTELLIGENCE
• Protección de marca.
• Protección VIP.
• Inteligencia Competitiva.
• Toma de Decisiones.
• Protección de Activos.
• Amenazas físicas y lógicas.
INTELLIGENCE
Monitorización Recolección Análisis Informe
Plan de
acción

16. TLP:GREEN
Conceptualmente, podríamos distinguir tres niveles de la web, cada uno representando diferentes características:
Surface web
Deep web
Dark web
• Indexado por los motores de búsqueda clásicos.
• En su mayoría de acceso abierto, pero a veces detrás de las pago por descarga.
• El contenido es accesible desde la fuente durante mucho tiempo.
• Basado en las BD y por lo tanto, en su mayoría no indexados por motores de búsqueda típicos.
• A menudo necesario inicios de sesión, pero accesible a cualquier persona que se registre. Algunas
veces solo por invitación.
• No indexado por los motores de búsqueda típicos.
• Redes no comunes: TOR, Freenet, I2P, etc.
• Acceso frecuente solo por invitación.
• Volátil: contenido que a veces solo permanece disponible durante unos minutos / horas.

17. TLP:GREEN
Online pastes
Honeynets
Trapmails
Online trackers
Referers
BBDDs antivirus
CERTs
xBLs
Spam blacklists
Safe browsing
Cybersquatting
APK Markets
TOR crawler
Hidden IRC
STIX / TAXII
IoC
Malware
Botnets / C&C
Social Media
BBDDs threat
intelligence
FuentesAgregacióndedatos
+
Agregación de todas las fuentes
Enriquecimiento de los datos
Filtrado
Categorización
Entrega
Formatos para compartir información:
• Collective Intelligence Framework (CIF).
• Cyber Observable eXpression (CybOX).
• Incident Object Description and Exchange Format (IODEF).
• Open Indicators of Compromise (OpenIOC).
• Open Threat Exchange (OTX).
• Structured Threat Information Expression (STIX).
• Trusted Automated eXchange of Indicator Information (TAXII).
• Vocabulary for Event Recording and Incident Sharing (VERIS).

18. TLP:GREEN

19. TLP:GREEN
Diferencias entre
Ciber Inteligencia y
Vigilancia Digital

20. TLP:GREEN
20
https://etl.enisa.europa.eu/

21. TLP:GREEN
Recursos
Con que herramientas y soluciones podemos empezar

22. TLP:GREEN
Comunidad dedicada a Inteligencia,
Ciberinteligencia y Ciberseguridad.
Te animamos a que participes para
hacerla crecer.
</spam> ;)

23. TLP:GREEN
Enfocado a ofrecer formación OSINT, facilitando recursos como
libros o podcasts. Dispone de un portal OSINT dentro del menú
Tools, donde aloja diferentes buscadores donde consultar por tipo
de investigación.
Investigaciones
EmailsNombre persona
Perfiles Facebook Perfiles Twitter Perfiles Instagram
Teléfonos
Username
Dominios Dirección IP
Documentos
Videos
Imágenes
Empresa / Negocio
Geolocalización

24. TLP:GREEN
SpiderFoot es una herramienta OSINT enfocada a la recopilación
de información, permitiendo seleccionar el tipo de investigación
mediante fuentes concretas, tipos de datos o caso de uso.
Integra multitud de fuentes, tanto privadas como públicas, de
manera modular.
Target:

25. TLP:GREEN
Quick demo
Spiderfoot HX

26. TLP:GREEN
Web dedicada exclusivamente a investigaciones OSINT, con un repositorio
de herramientas categorizadas por grupos.
Cada categoría engloba enlaces a herramientas relacionadas a su temática,
facilitando su uso. En constante actualización.
Google/Bing HakckingAnonimación Borrar Identidad
Certificación
Criptomonedas Dark Web
Buscadores
DNI/CIF
Documentos
Emails
Emails Empresa
Geolocalización
Facebook Twitter Instagram
Personas
Nicknames
Categorías

27. TLP:GREEN
OSINT Framework es una web enfocada a
investigaciones OSINT, alojando diferentes recursos
en forma de enlaces a herramientas OSINT
agrupadas por categorías y subcategorías en formato
árbol.

28. TLP:GREEN
https://github.com/certtools/intelmq

29. TLP:GREEN
https://app.cymon.io/
https://www.threatminer.org
https://www.threatcrowd.org/
https://exchange.xforce.ibmcloud.com
https://yeti-platform.github.io/

30. TLP:GREEN

31. TLP:GREEN
education.github.com/pack

32. TLP:GREEN
imagine.microsoft.com

33. TLP:GREEN
Crear cuenta de Shodan.io
Solicitar upgrade por mail a jmath@shodan.io

34. TLP:GREEN
Casos reales
Vamos a ver si esto tiene interes

35. TLP:GREEN
Monitorización de multas (de tráfico). Caso 1
Disclaimer: Si aparecen aquí, vienen con recargo.

36. TLP:GREEN
Caso 2

37. TLP:GREEN
Caso 2

38. TLP:GREEN
Caso 3

39. TLP:GREEN
Quick demo
Blueliv

40. TLP:GREEN
Haciendo carrera
Toca ganarse la vida con lo aprendido

41. TLP:GREEN
Los atacantes hacer carrera. La ciberseguridad avanza constantemente. Nosotros debemos hacerlo también.

42. TLP:GREEN
¿Donde nos posicionamos con esto?
Fuente: EY CTI

43. TLP:GREEN
Enumeración de vías de intrusiónDiseño de ataques ad-hoc al cliente
Ocultar huellas para
permanecer indetectable
Enumeración de recursos en la red externa
Enumeración de vulnerabilidades
críticas y altas
Garantizar acceso a los sistemas ya comprometidos
Obtención de accesos a activos del cliente
Iteración del proceso para ampliar la enumeración de
recursos más críticos de la red externa
Que podemos hacer con OSINT. ¡Ataques personalizados y muy dirigidos!

44. TLP:GREEN
Desde Europa ya nos lo piden.

45. TLP:GREEN

46. TLP:GREEN
¿Cuanto ganamos con esto?

47. TLP:GREEN
Puesto Trabajo País Sueldos
Consultor y/o Analista Junior de Ciberinteligencia o Threat
Intelligence
España 18.000€ - 29.000€
Consultor y/o Analista Senior de Ciberinteligencia o Threat
Intelligence
España 29.000 € - 45.000€
Manager de Ciberinteligencia o Threat Intelligence España +40.000 €
Consultor y/o Analista Junior de Ciberinteligencia o Threat
Intelligence
Fuera de España 30.000€ - 50.000€
Consultor y/o Analista Senior de Ciberinteligencia o Threat
Intelligence
Fuera de España 50.000 € - 100.000 €
Manager de Ciberinteligencia o Threat Intelligence Fuera de España +100.000 €

48. TLP:GREEN
Quick demo
Salary and
Jobs de
Linkedin

49. TLP:GREEN
Formacion Profesor Temática Precio Enlace
Técnicas OSINT para investigación
en Internet
Ciberpatrulla Investigación mediante
OSINT
€ https://ginseg.com/comunidad/topic/osint-
ciberpatrulla-curso-sobre-tecnicas-osint-para-
investigacion-en-internet/
Curso de Procedimientos de
Obtención de Información OSINT y
SOCMINT
I+L. Javier
Rodríguez, José
Manuel Díaz-Caneja
Greciano, Cristina
López Tarrida
Inteligencia, OSINT,
SOCMINT
€€ https://ginseg.com/comunidad/topic/inteligenci
a-y-liderazgo-curso-de-procedimientos-osint-
socmint/
Curso de Técnicas Estructuradas de
Análisis de Inteligencia y
Pensamiento Crítico
I+L. José Manuel
Díaz-Caneja
Greciano, Cristina
López Tarrida
Inteligencia, Técnicas de
Análisis
€ https://ginseg.com/comunidad/topic/inteligenci
a-y-liderazgo-curso-de-tecnicas-estructuradas-
de-analisis-de-inteligencia-y-pensamiento-
critico/
Master Propio en ciberinteligencia UFV Madrid e
isecauditors
OSINT, SOCMINT,
DEEPWEB, Threat
Intelligence,
Contrainteligencia
€€€€ https://ginseg.com/comunidad/topic/ufv_maste
r_en_ciberinteligencia/
€  100-500 €
€€  500-1000 €
€€€  1000€ - 3000 €
€€€€  +3000€

50. TLP:GREEN
Recapitulando: [Z]ero to [H]ero
Muchas veces el “HUMINT” ayuda en
este trabajo, casi de película de espías.
Aprovecha para hacer contactos que
nunca sabrás cuando pueden hacer falta.
Networking y contactos
Como bien decía Manuel Sánchez, la
carrera te prepara para resolver, por tu
propia cuenta en tiempo y forma,
problemas complejos y variopintos.
Carrera universitaria
El ingles es un idioma básico en el
entornos empresarial actual. Destacar
con otros idiomas es un plus, sobre
todo en inteligencia.
La comunicación y presencia
incrementará nuestro valor.
Idiomas, comunicación y presencia
Las certificaciones aterrizan
muchos de los conceptos
teóricos que se han podido ver
en la universidad. Aportan valor
en las empresas, muchas las
usan como reclamo para ganar
pliegos.
Certificaciones y formación adicional
Dedicarle horas es la clave. El valor
en esta área muchas veces va por
delante de lo que pueda estar
recogido en los libros o cursos.
Curiosidad propia y muchas horas
01
02
03
05
04

51. TLP:GREEN
From Hero to Super Hero
La AI, redes neuronales, computación, etc.. estan avanzando a un
ritmo incesable, a estas alturas no somos capaces de competir con
un ordenador en calculo ni en memoria. Nos tenemos que
deiferenciar por las habilidades unicas como son:
Hard Skills Soft Skills
¿Con que nos diferenciamos
de las maquinas?
Idiomas
Carrera y certificacados
Manejos de las maquinas
Programación
Comunicación
Flexibilidad
Liderazgo
Trabajo en equipo
Gestión del tiempo
Aprender a aprender
Evolucionar
Resolver problemas
Creatividad
Inteligencia Emocional

52. TLP:GREEN
¿Que te ha parecido la ponencia?

53. TLP:GREEN
Grupo de Telegram (Público)
https://telegram.me/ginseg (Grupo de Inteligencia y SEGuridad)
Canal de noticias de Telegram
https://telegram.me/ThreatIntelligence
Comunidad de Inteligencia
https://ginseg.com
W

54. TLP:GREEN