Un experto en ciberinteligencia detecta, reporta y propone medidas para mitigar amenazas cibernéticas. El trabajo del analista de inteligencia de amenazas es vital para las grandes empresas de la actualidad, especialmente aquellas que pueden ser atractivas para delicuentes informáticos. Entonces, ¿qué hace un experto en ciberinteligencia?
¿Qué es Cyber Threat Intelligence?
Cyber Threat Intelligence (CTI) o inteligencia de amenazas en español, es una disciplina que usa evidencias concretas y el análisis del contexto para mitigar ciberamenazas.
En otras palabras, la inteligencia de ciberamenazas produce información sobre amenazas informáticas que permite prevenirlas o mitigarlas.
Este enfoque es distinto del enfoque de ciberseguridad y lejos de reemplazarlo, lo complementa.
Los delincuentes informáticos son cada vez más sofisticados. A veces, sus intereses no son meramente económicos, sino políticos. Por esta razón, la ciberinteligencia es una disciplina muy relevante tanto para el sector público como el privado.
En general, la ciberinteligencia se basa en la recolección de datos y análisis de información. Pero va mucho más allá.
La ciberinteligencia utiliza la información de las amenazas para identificar patrones y tendencias. Con base en la inteligencia de amenazas, la empresa toma decisiones y define planes de mitigación y prevención.
Tipos de Inteligencia de Amenazas o Threat Intelligence
Con base en la complejidad de las amenazas y las acciones a tomar, se pueden identificar diferentes tipos de Cyber Threat Intelligence. Veamos en qué consisten.
Inteligencia estratégica de amenazas
La threat intelligence estratégica presenta un análisis de inteligencia enfocado en el largo plazo. Estos reportes se dirigen al nivel directivo de la compañía para brindar información crítica en la toma de decisiones.
Este tipo de ciberinteligencia toma una perspectiva de negocio de alto nivel. Los reportes se enfocan en riesgos y su probabilidad. Estos informes establecen tendencias e incidentes pasados similares, además de los motivos y atribuciones de los atacantes.
Para recolectar inteligencia estratégica de amenazas los expertos usan reportes de ISAO, inteligencia de fuentes abiertas (OSINT) y proveedores externos de CTI, entre otros.
Adicionalmente, un buen informe de inteligencia estratégica de ciberamenazas explica por qué la empresa puede ser blanco de un ataque y cómo reducir los niveles de riesgo.
Inteligencia táctica de amenazas
La threat intelligence táctica, se enfoca en proteger los recursos de la compañía. Para lograrlo, la inteligencia táctica de amenazas analiza las tácticas, técnicas y procedimientos (TTP) de los atacantes.
Las fuentes de datos e información de la inteligencia táctica suelen ser reportes de riesgos, ataques y grupos informáticos. Además, los expertos suelen consultar grupos privados de inteligencia, informes técnicos y comunicación con otras empresas.
Los principales usuarios de los informes de inteligencia táctica son los gerentes de TI, gerentes de operaciones de seguridad, expertos de centros de operaciones de redes, administradores y arquitectos.
La recolección de información para la inteligencia táctica incluye actividades técnicas como análisis forenses, de malware y campañas, entre otros.
Inteligencia operativa de amenazas
En este caso se trabaja sobre incidentes y eventos específicos de seguridad. Su objetivo es ayudar a la compañía a protegerse contra amenazas específicas.
El informe de inteligencia operativa ofrece hallazgos sobre los TTP de los atacantes para manejar los riesgos. Los principales usuarios de estos informes son gerentes de seguridad, expertos en redes, forenses de seguridad informática y grupos de detección de fraude.
Este nivel de inteligencia permite comprender mejor amenazas específicas, así como las características de los atacantes. Adicionalmente, los expertos usan estos informes para explicar cuáles son los motivos de los atacantes, los activos de TI vulnerables en la compañía y el potencial impacto de un ataque.
Inteligencia técnica de amenazas
El tipo técnico permite identificar los recursos de los adversarios para realizar el ataque. Dado que son muy específicos, estos informes tienen una vigencia muy limitada.
Los indicadores de inteligencia técnica se consiguen a través de campañas activas, ataques a otras compañías y fuentes de datos administradas por terceros.
Los expertos en operaciones de seguridad informática y el equipo de respuesta inmediata suelen ser los usuarios de los reportes de inteligencia técnica. Con base en estos reportes, la compañía responde lo más rápidamente posible a las amenazas en curso.
¿Necesitas un experto en ciberinteligencia en tu empresa?
» Perfiles de expertos en ciberinteligencia
¿Cuáles son las responsabilidades del experto en ciberinteligencia?
Los expertos en ciberinteligencia se dedican a recoger datos e información de diversas fuentes con el fin de identificar, monitorear, medir y contrarrestar ciberamenazas.
Una de las responsabilidades clave del Analista de Threat Intelligence es recopilar información y datos acerca de amenazas. Para lograrlo, utilizan fuentes abiertas y reportes privados, tales como informes técnicos y fuentes de datos de terceros.
Con la información recopilada elaboran reportes de inteligencia que presentarán a sus clientes o empresas.
Además de recolectar información acerca del contexto y las amenazas potenciales relacionadas, el experto en cyber intelligence se encarga de investigar amenazas específicas.
Tal como explicamos anteriormente, el analista de ciberinteligencia tiene diferentes clientes que pueden consumir sus informes a nivel estratégico, táctico, operativo y técnico.
Dependiendo del papel exacto del experto y sus clientes, éste se encargará de la definición, preparación y coordinación de las respuestas a las amenazas, así como del monitoreo de los resultados.
En equipos de ciberseguridad y ciberinteligencia maduros, las acciones de respuesta se coordinan con una mayor participación del equipo de ciberseguridad en la ejecución.
Las funciones del analista de ciberinteligencia más comunes son:
- Recopilar datos e información de diferentes fuentes tanto abiertas como privadas
- Investigar ciberamenazas específicas
- Analizar redes para detectar actividades sospechosas, anomalías y posibles amenazas
- Evaluar amenazas potenciales
- Evaluar las últimas amenazas para las redes y los datos de los clientes, así como sugerencias y recomendaciones para contrarrestar estas amenazas
- Identificar riesgos y TTP de los atacantes
- Análisis del contexto de la compañía y los riesgos relacionados
- Preparar y explicar reportes de ciberinteligencia
- Coordinar la definición y ejecución respuesta a amenazas
Habilidades del analista de inteligencia de amenazas
Los analistas de inteligencia de amenazas necesitan grandes dotes de análisis y curiosidad por aprender. Además, necesitan comprender aspectos técnicos y contextuales complejos. Por ejemplo, no basta con analizar las características técnicas de las amenazas. También se deben comprender los motivos, TTP y vulnerabilidades de la compañía, tanto a nivel humano como social y del negocio.
Los expertos en ciberinteligencia deben conocer diferentes lenguajes de programación, operaciones de ciberseguridad y herramientas de seguridad de la información y gestión de eventos (SIEM).
Adicionalmente, los expertos en ciberamenazas deben trabajar en coordinación con otros equipos. Por esta razón, deben manejar términos, conceptos y prácticas de ciberseguridad.
Además, deben tener excelentes habilidades de comunicación para explicar temas técnicos a todo tipo de usuarios, desde presidentes de una compañía hasta los equipos de operaciones de ciberseguridad.
Requisitos del analista de threat intelligence:
- Conocimiento de análisis de ciberamenazas y/o inteligencia y de prácticas de gestión de la ciber vulnerabilidad (cyber vulnerability management)
- Conocimiento sólido de ciberseguridad y capacidad para analizar informes de incidentes y hacer un seguimiento de los mismos
- Experiencia en la identificación y evaluación de amenazas emergentes y persistentes, tendencias, TTPs, atribución o caza de amenazas.
- Conocimiento sólido de las mejores prácticas de gestión de incidentes, gestión de problemas y gestión de cambios
- Experiencia en el análisis de múltiples fuentes de datos dispares (DNS pasivas, fuentes de amenazas, vulnerabilidades, superficie de ataque, etc.) para enriquecer y ayudar en el seguimiento/análisis de amenazas.
- Experiencia con herramientas SIEM y bases de datos de inteligencia de amenazas ( Datadog, Solarwinds, LogPoint, Graylog)
- Conocimiento de seguridad de redes y/o sistemas operativos (sistemas de detección/prevención de intrusiones, cortafuegos).
- Experiencia en investigación de código abierto (OSINT)
- Conocimiento de los marcos estándar de la industria (NIST, FISMA, FedRAMP)
- Valorable experiencia en análisis forense de redes y/o hosts
Formación y experiencia
Para trabajar en el sector de la ciberinteligencia las empresas suelen requerir una licenciatura en ingeniería informática/electrónica, computación, tecnología de la información o un campo de estudio equivalente.
Adicionalmente, la experiencia en operaciones de seguridad, ciberseguridad, manejo de respuesta inmediata y gestión de riesgos informáticos es muy valiosa para una carrera en ciberinteligencia.
Los estudios de posgrado y certificaciones en ciberinteligencia (Security+, Cybersecurity Analyst / CySA+, Cyber Threat Intelligence / GCTI) son valorados por las organizaciones, así como certificaciones y formación continua especializadas.
A continuación te mostramos algunos programas de formación interesantes relacionados con la ciberinteligencia:
- Profesional de Ciberinteligencia Certificado – NICCS junto a McAfee Institute
- Curso en Cyber Threat Intelligence – IBM en Coursera
- Maestría en Ciberseguridad – Universidad de Dakota del Norte
Salario de un experto en Cyber Threat Intelligence
Los expertos en Cyber Threat Intelligence (CTI) pueden pueden tener salarios muy distintos, dependiendo de su jerarquía y experiencia.
Los expertos en cyber threat intelligence pueden tener salarios muy distintos, dependiendo de las responsabilidades exactas y experiencia.
En los Estados Unidos, el salario anual promedio de un analista de ciberinteligencia es de 74.000 dólares aproximadamente. Los analistas senior de mayor nivel rondan por un salario anual de 111.000 dólares.
Por otra parte, los perfiles junior tienen un salario cercano a los 60.000 dólares anuales.
En España, el salario medio anual de un experto en ciberinteligencia se estima alrededor de los 50.000 euros. Con experiencia y más responsabilidad es normal encontrar salarios por encima de los 75.000 euros.
Salario Estados Unidos | Medio: 74.000 $ (60.000 $ – 111.000 $) |
Salario España | Medio: 50.000 € (40.000 € – 75.000 €) |
¿Cuánto gana un experto en ciberinteligencia freelance?
Según los datos de freelancermap, los Experto en ciberinteligencia cobran de media:
La mayoría de freelancers en esta área cobran entre 33 y 106 $/hora.
Los Experto en ciberinteligencia trabajando a tiempo completo (8 horas/día) cobrarían: