Existen dos premisas que para mí son fundamentales respecto a la seguridad:

  • “La seguridad siempre se refiere a la gente”, “Security is always about People” (ISECOM)[i].
  • “Cuando discutimos sobre seguridad, proteger la vida humana siempre es la primera prioridad”, “When we discuss life safety, protecting human life is first priority” (Shon Harrys)[ii].

En un mundo digitalizado como en el que vivimos, donde la información fluye a una velocidad impresionante; donde redes sociales como Twitter tienen, en muchas ocasiones, las noticias más frescas, es casi imposible saber dónde está la información, quién la publica, y si esta está protegida por alguna legislación y clasificación.

Tanto las organizaciones como los individuos nos enfrentamos a un mundo con una gran cantidad de información; donde se llega a pensar que el publicar información antes que nadie (incluso información personal) nos pone a la vanguardia, pero no medir los riesgos de lo que se publica puede llevarnos a casos como los de Israel Hyman:

fig-1-en-el-pensar-de

La información publicada en medios como Internet puede llegar a causar muchos problemas de seguridad no solo a individuos sino a organizaciones también.

Desde hace algunos años el término “Competitive Intelligence (inteligencia competitiva)”  se usaba indiscriminadamente para referirse al estudio de las marcas, productos, y competidores de una organización. De manera semejante a este concepto, el desarrollo de Internet lleva a nuevos términos y actividades como las siguientes:

  • Open Source Intelligence: Se refiere a realizar tareas de inteligencia, en muchos casos militar, en fuentes de información públicas como periódicos, internet, revistas etc. Esto con el fin de detectar posibles amenazas no solo a gobiernos sino a cualquier organización.
  • Black Public Relations (BPR): Es el arte de destruir la reputación de alguna persona u  organización mediante diversos medios. Actualmente ya existen empresas que ofrecen estos servicios de manera abierta.
  • Public Relations Security (PR Security): Se refiere a las actividades para llevar las relaciones públicas de una organización de los medios tradicionales, como la publicidad en medios impresos, a nuevos medios como blogs, RSS, podcast, wikies y redes sociales. La particularidad es que se busca llevar la presencia de la organización a estos canales de manera segura, con el objetivo de blindar  la imagen de nuestra organización.

Todos los términos giran respecto a  “la Información”, con distintas clasificaciones que pueden catalogarse desde pública hasta secreto de estado. La preocupación de que la información caiga en manos equivocadas no es reciente; si seguimos el rastro a OSINT (Open Source Intelligence) podemos remontarnos a 1941 cuando fue creada la FBIS (Foreign Broadcast Infromation Service) y mediante técnicas de OSINT realizaba búsqueda de información durante la segunda guerra mundial. Incluso en noviembre de 2001 la OTAN  liberó el OSINT Handbook V 1.2.

¿Qué cambió en el mundo que nos llevó a la necesidad de técnicas militares para proteger nuestra información? Posiblemente lo que ha cambiado es la sensibilidad que tenemos respecto a la información; ¿pero están conscientes de esto todas las organizaciones y los individuos? En mi personal opinión no lo creo; es por eso que en los siguientes números de Magazcitum escribiré una serie de artículos que nos ayuden a entender la manera en que cosas como OSINT nos apoyan a ver qué tanta información de nuestra organización está expuesta e incluso podría ser usada por un atacante o un proyecto de BRP.

Para terminar sólo quiero recalcar una de las frases con las que comencé esta entrega: “Security is always about People”.

[email protected]

Algunas fuentes de información adicional:

http://www.oss.net

http://en.wikipedia.org/wiki/Open_source_intelligence

http://www.gnucitizen.org/blog/what-is-black-pr/

http://www.paterva.com/web4/index.php/maltego


[i] ISECOM: The Home Security Methodology 1.2: pag 20

[ii] Harris, Shon: All in One CISSP Exam Guide, Fourth Edition: Mc Graw Hill Osborne: pag. 403