¿Sabías que GMV cuenta con su propia agencia de inteligencia?

Como miembro del servicio de vigilancia digital e inteligencia de amenazas de GMV mi objetivo es poder explicarte brevemente en qué consiste el trabajo y capacidad del equipo, en qué podemos ayudar y los beneficios que proporcionamos a nuestros clientes. 

Quizá te preguntes quiénes somos. Formamos un grupo polifacético y multidisciplinar de técnicos y no técnicos especialistas en ciberseguridad. Somos ingenieros de telecomunicaciones, graduados en informática y ciberseguridad… pero también tenemos una criminóloga, una documentalista, una filóloga, un abogado... Todos tenemos el mismo objetivo: observar qué amenazas pueden afectar a nuestros clientes, analizarlas y alertarles antes de que sean atacados por cibercriminales. 

Para ello, contamos con dos equipos: vigilancia digital e inteligencia de amenazas.

Vigilancia Digital: son los observadores del cibercrimen. El equipo se pone en el lugar del atacante para monitorizar, entre otras actividades, lo siguiente:

• Lugares por donde se mueven los criminales (foros de la Dark y Deep web, Telegram o Discord, etc.) 

• Campañas que se están realizando contra los intereses de nuestros clientes

• Posibles daños económicos, reputacionales y de negocio 

• Brechas de datos que puedan proporcionar un acceso inicial a grupos criminales 

Son la fuerza reactiva de la unidad. Con ello, pueden alertar a nuestros clientes de potenciales amenazas. Lo mejor es verlo con algún ejemplo real:

Durante las labores continuas de monitorización del panorama criminal con ayuda de plataformas y herramientas especializadas de inteligencia de amenazas (ya sean de proveedores líderes o desarrolladas internamente para una mejor adaptación al entorno dinámico de la ciberseguridad) es habitual detectar posibles exposiciones o brechas relacionadas con terceros que puedan suponer un riesgo para la seguridad de nuestros clientes. Ante este tipo de hallazgos, el equipo analiza y valida de manera ágil la información recopilada para identificar posibles credenciales comprometidas u otros vectores que puedan ser aprovechados por actores maliciosos. Este enfoque proactivo permite anticiparse a potenciales ataques de alto impacto, como ransomware, accesos no autorizados, ciberespionaje o sabotaje, protegiendo así los activos y la integridad de nuestros clientes.

Se alerta al cliente en un breve espacio de tiempo para que pueda detectar, prevenir o remediar ese posible impacto en su negocio y evitar pérdidas económicas, daños de reputación, consecuencias legales, etc. 

Esto es gracias a que se dispone de varias herramientas especializadas y propias, pero sobre todo a un equipo altamente cualificado que explotan varios tipos de fuentes como fuentes abiertas (OSINT) y fuentes humanas (HUMINT), entre otras. 

Inteligencia de Amenazas: la otra parte del equipo, son los estudiosos de las ciberamenazas, analizan los eventos observados por el equipo de Vigilancia Digital para poderlas interpretar, evaluar y contextualizar para dotar de información ejecutable (inteligencia) al cliente (decisor). 

Conocen como actúan los grupos criminales, sus métodos (TTP), cómo se mueven por los sistemas de las víctimas, qué buscan con cada acción, sus orígenes, su infraestructura, los malware más usados, etc. También tienen conocimiento de las tendencias, amenazas y eventos geopolíticos que van a modelar los riesgos y el panorama criminal para los clientes. Por ejemplo, el cambio en el paradigma comercial mundial puede motivar campañas de ciberespionaje de los Estados para obtener información de rivales, hay que estar preparado. 

Esto es fundamental ya que los atacantes han adaptado su modus operandi y capacidades a nuevas tecnologías y contexto global (cloud, IA, nuevas capacidades de detección como EDR, XDR…) por lo que nuestro equipo también debe adaptar sus informes de ciberinteligencia a estas tendencias para que la toma de decisiones en los clientes vaya enfocada a ser lo más precisas posibles. 

También se identifican campañas activas de ataques que afectan a sectores y regiones relevantes para nuestros clientes. Por ejemplo, ante la detección de vulnerabilidades explotadas en tecnologías comunes, como software VPN, se analizan las técnicas empleadas, exploits, los posibles actores y los métodos de ataque (TTPs). Si el cliente utiliza dicha tecnología, se evalúa su exposición y se generan rápidamente indicadores de ataque (IOA) para facilitar su detección y respuesta temprana, anticipando la amenaza y reduciendo así el riesgo de impactos como robo de datos o pérdidas económicas. 

El objetivo es elaborar documentos con información operativa y estratégica para que los departamentos de ciberseguridad de nuestros clientes puedan tomar decisiones más eficaces (priorizar vulnerabilidades, guiar ejercicios de seguridad ofensiva, monitorizar tecnologías explotadas, elaborar reglas de detección específicas, etc.).

Las capacidades de todo el equipo van más allá. Se disponen de capacidad para colaborar con equipos forenses y de threat hunting para entender mejor una amenaza, detectarla y remediarla en menor tiempo (reduciendo el impacto), se pueden proporcionar modus operandi criminales reales a los equipos de pentesting y Red Team para ajustar mejor sus test de intrusión a la realidad criminal y preparar de una manera más realista al Blue Team, incluso se puede apoyar la tarea de los SOC (Centro de Operaciones de Seguridad) aportando inteligencia sobre alertas o colaborando para alimentar las herramientas de detección.

Como has podido observar el equipo consigue que nuestros clientes estén más seguros gracias a que logramos anticiparnos a la amenaza lo que nos ha permitido ayudar a empresas y entidades de muchos sectores: banca, telecomunicaciones, organismos gubernamentales, etc. En GMV estamos comprometidos con la seguridad y nos esforzamos en mejorar cada día. 

Autor: Daniel Juanes Fernández