La supervisión de los actores individuales que representan una amenaza es un aspecto fundamental de la inteligencia sobre ciberamenazas, que requiere un sistema similar a una lista de vigilancia de inteligencia del mundo real.
Aunque nuestra lista de vigilancia es más sencilla que las que utilizan las agencias de inteligencia o las empresas de ciberseguridad, los principios subyacentes son idénticos.
Según mi experiencia, los actores maliciosos suelen dividirse en tres categorías:
- Aquellos que se construyen una reputación a largo plazo, utilizando un nombre de usuario coherente en múltiples foros para mantener su marca, ya que su negocio se basa en el reconocimiento.
- Aquellos que operan con múltiples nombres y cuentas, pero cuyas actividades son coherentes en todas ellas.
- Los que utilizan un nombre de usuario nuevo para cada delito o venta, dando prioridad a los beneficios sobre la fama, lo que los hace más difíciles de rastrear.
En este módulo, desarrollaremos un sistema de supervisión para rastrear continuamente la actividad de los usuarios, como publicaciones, comentarios o ambos, a intervalos establecidos. Aunque todavía no cruzaremos la actividad de otros foros, todos los datos de los actores maliciosos se pueden exportar como una cadena JSON, lo que permite el cruce manual con otras plataformas.
El cruce de referencias plantea retos, ya que el seguimiento de un objetivo que utiliza el mismo nombre de usuario en plataformas como darkforums.st, x.com e instagram.com puede requerir una orden judicial para la supervisión simultánea.
Aunque las plataformas no pueden impedir totalmente que investigadores decididos recopilen sus datos, pueden emprender acciones legales. Para evitar posibles multas, recomiendo encarecidamente no realizar un seguimiento entre plataformas sin la debida autorización.