Inteligencia Policial
Inteligencia Policial
Concepto de Inteligencia
La inteligencia es el producto resultante de la recolección, evaluación, análisis, integración e interpretación de toda la información disponible que es inmediatamente o potencialmente significativa para la planificación y las operaciones. En esencia, es la transformación de datos en bruto en conocimiento accionable.
Las actividades que, de forma ordenada, persiguen la transformación de información en bruto en inteligencia constituyen lo que se denomina Ciclo de Inteligencia, un proceso cíclico, dinámico y permanente.
El Ciclo de Inteligencia
Definición y naturaleza
El Ciclo de Inteligencia es la secuencia dirigida que, partiendo de unas necesidades determinadas, obtiene información, la transforma en inteligencia y la pone a disposición de los usuarios. Su característica esencial es que se desarrolla de forma cíclica (no periódica ni lineal): el resultado de cada ciclo alimenta el siguiente.
El ciclo se inicia con la aprobación de la Directiva de Inteligencia por parte de la Comisión Delegada del Gobierno para Asuntos de Inteligencia (CDGAI) y del Presidente del Gobierno. Esta directiva tiene carácter anual y es un documento de naturaleza secreta que recoge los objetivos o necesidades de inteligencia del Gobierno.
Las 4 fases según el CNI
El Centro Nacional de Inteligencia resume el ciclo en cuatro fases, que se desarrollan en el siguiente orden:
| Fase | Denominación | Contenido esencial |
|---|---|---|
| 1.ª | Dirección | Orientación y coordinación. Se determinan las necesidades de inteligencia, se elabora el plan de obtención y se organizan los medios. |
| 2.ª | Obtención | Recogida de la información necesaria para satisfacer las necesidades del decisor. En esta fase se emplean HUMINT, OSINT, SIGINT y GEOINT. |
| 3.ª | Elaboración | Transformación de la información obtenida en inteligencia mediante análisis e integración. Aquí reside el núcleo analítico. |
| 4.ª | Difusión | Entrega de la inteligencia, en forma de productos específicos, al decisor o usuario que la solicitó, de manera oportuna y apropiada. |
La fase de «Valoración» no pertenece a la fase de obtención del ciclo CNI (en 4 fases); es un concepto analítico interno a la elaboración.
Las 6 fases según la guía de seguridad CCN-STIC
La Guía de Seguridad CCN-STIC-425 desglosa el ciclo en seis etapas, ampliando el modelo de cuatro fases con más detalle operativo:
- Dirección y planificación — Se establecen los requisitos de inteligencia de la organización consumidora y se planifican las acciones para su obtención.
- Recolección — Recogida de datos en bruto para obtener el producto final deseado. Constituye una fuente básica para ello la Inteligencia Geoespacial.
- Procesamiento — Tratamiento de la información recolectada para prepararla al análisis.
- Análisis y producción — Fase en que se genera la inteligencia propiamente dicha.
- Difusión — Distribución del producto de inteligencia a los destinatarios autorizados.
- Evaluación y retroalimentación — Control de calidad y mejora continua del ciclo.
El objetivo de la fase de recolección es la recogida de datos en bruto para obtener el producto final deseado. La inteligencia se genera en la fase de análisis.
Organismos de Inteligencia en España
Centro Nacional de Inteligencia (CNI)
El Centro Nacional de Inteligencia es el organismo público responsable de facilitar al Presidente del Gobierno y al Gobierno la información e inteligencia necesaria para prevenir y evitar cualquier peligro, amenaza o agresión contra la independencia o integridad territorial de España, los intereses nacionales y la estabilidad del Estado de Derecho y sus instituciones.
Aspectos normativos clave (Ley 11/2002, de 6 de mayo):
- Está adscrito al Ministerio de Defensa, con dependencia directa de la persona titular del Departamento (aunque el Presidente del Gobierno puede modificar esa adscripción mediante Real Decreto).
- Sus redes y sistemas de información y telecomunicaciones mantienen su propia dirección y gestión.
- Todos los Departamentos ministeriales prestan los apoyos necesarios para que disponga de las coberturas precisas.
- Las labores del CNI pueden ser acciones dirigidas a proteger los intereses nacionales (no se ciñen exclusivamente a recopilación y difusión, ni operan solo en ámbito nacional).
- Las funciones relativas a la seguridad de las tecnologías de la información son competencia del Centro Nacional de Inteligencia.
La Comisión Delegada del Gobierno para Asuntos de Inteligencia (CDGAI) propone al Presidente los objetivos anuales del CNI y los plasma en la Directiva de Inteligencia. Sus deliberaciones son secretas.
Los encargados de obtener la información de inteligencia se denominan oficiales de obtención.
Centro Criptológico Nacional (CCN)
El Centro Criptológico Nacional es el órgano del CNI responsable de la seguridad de las tecnologías de la información en las Administraciones Públicas y en las empresas y organizaciones de interés estratégico para el país. Funciona adscrito al CNI y la responsabilidad de dirigirlo recae en el Secretario de Estado Director del Centro Nacional de Inteligencia.
Funciones principales:
- Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas TIC (Guías CCN-STIC).
- Responder a incidentes de ciberseguridad a través del CCN-CERT.
- Formar al personal del Sector Público especialista en seguridad.
- Establecer relaciones con organizaciones similares de otros países.
El Centro Criptológico Nacional define Ciberinteligencia como las «actividades de inteligencia en soporte de la ciberseguridad».
Entre las actividades que en materia de ciberinteligencia desarrolla el CNI/CCN se encuentra la recopilación de información para los distintos destinatarios de ésta (no adopta decisiones ejecutivas ni destruye información).
Oficina Nacional de Seguridad (ONS)
La Oficina Nacional de Seguridad (ONS) es el órgano del CNI que actúa como órgano de trabajo de la Autoridad Delegada para la Seguridad de la Información Clasificada en el cumplimiento de sus funciones.
Funciones de la ONS:
- Garantizar el cumplimiento de la normativa relativa a la protección de la información clasificada, tanto nacional como la entregada a través de tratados o acuerdos internacionales.
- Habilitar a personas, empresas y organizaciones para el manejo de información clasificada.
- Acreditar los sistemas TIC en los que se maneja dicha información.
- Representar a España en los comités de seguridad de información clasificada de la OTAN, la UE y la ESA.
- Gestionar la concesión de habilitaciones personales de seguridad (HPS) para acceso a información clasificada.
Centro de Inteligencia contra el Terrorismo y el Crimen Organizado (CITCO)
El CITCO es la comunidad de inteligencia española responsable de la gestión y análisis de toda la información estratégica relativa al terrorismo, la criminalidad organizada y las organizaciones radicales de carácter violento. Fue creado en octubre de 2014 mediante la fusión del Centro Nacional de Coordinación Antiterrorista (CNCA) y el Centro de Inteligencia Contra el Crimen Organizado (CICO). Depende del Ministerio del Interior.
Composición multidisciplinar: integran el CITCO miembros del Cuerpo Nacional de Policía, Guardia Civil, Mossos d'Esquadra, Ertzaintza, Servicio de Vigilancia Aduanera, Instituciones Penitenciarias, Fuerzas Armadas y CNI.
Funciones:
- Recepción, integración y análisis de la información estratégica disponible sobre terrorismo y crimen organizado.
- Elaboración de inteligencia estratégica y prospectiva.
- Propuesta y coordinación de estrategias nacionales para combatir estas amenazas.
- Establecimiento de criterios de actuación y coordinación operativa entre organismos.
Organismos europeos de inteligencia e integridad policial
| Organismo | Naturaleza | Función principal |
|---|---|---|
| INTCEN (EU Intelligence and Situation Centre) | Función de inteligencia civil de la UE, integrada en el SEAE | Contribuye a la cooperación policial evaluando amenazas a partir de información de servicios de inteligencia, militares, diplomáticos y cuerpos policiales |
| Europol | Agencia de la UE de cooperación policial | Intercambio de información y apoyo a investigaciones transfronterizas. No ejerce autoridad directa en inteligencia |
| CEPOL | Agencia de formación policial de la UE | Formación y capacitación de funcionarios de las fuerzas de seguridad de los Estados miembros |
El organismo europeo que contribuye a la cooperación policial efectuando una evaluación de las amenazas basándose en información de servicios de inteligencia, militares, diplomáticos y cuerpos policiales es el INTCEN.
Disciplinas de Obtención de Inteligencia (INTs)
Según el medio del que procede la información, la inteligencia se clasifica en las siguientes disciplinas:
OSINT — Inteligencia de Fuentes Abiertas
OSINT (Open Source Intelligence, en español «Inteligencia de Fuentes Abiertas») es el conocimiento recopilado a partir de fuentes de acceso público, mediante el proceso de búsqueda, selección y adquisición de la información, y un posterior procesamiento y análisis de la misma con el fin de obtener conocimiento útil y aplicable.
Fuentes de OSINT:
- Medios de comunicación (prensa, radio, televisión).
- Datos públicos e internet.
- Literatura Gris (material de acceso controlado, dirigido a comunidades o foros específicos; no debe confundirse con información de informes gubernamentales, que es un error frecuente).
- Observación directa e informes abiertos.
La sigla OSINT significa Inteligencia de Fuentes Abiertas (la expresión «Open-Source Information» describe la materia prima, no la disciplina de inteligencia en sí).
Usos principales: búsqueda de información abierta y gratuita empleada tanto por empresas como por individuos; soporte a investigaciones policiales; análisis de amenazas en ciberseguridad. Como aspecto negativo, también es utilizado por cibercriminales para lanzar ataques APT y «Spear Phishing».
Principales retos del OSINT:
- Gran volumen de datos a analizar.
- Confiabilidad de las fuentes.
- Esfuerzo humano derivado del volumen de información.
Dentro del proceso OSINT, la inteligencia se genera en la fase de análisis (no en la de adquisición ni en la de procesamiento).
Importante: La fase de procesamiento consiste en presentar la información obtenida de manera eficaz y comprensible para que pueda ser explotada, no en generar la inteligencia final. La afirmación de que el procesamiento «presenta la información» es correcta en sí misma, pero no es la fase donde se produce la inteligencia.
HUMINT — Inteligencia Humana
HUMINT (Human Intelligence) comprende las diferentes metodologías utilizadas para la captación de información a través de fuentes humanas. La inteligencia humana se genera mediante la recopilación proveniente de una fuente humana y puede hacerse por vía oral o documental (no exclusivamente oral ni siempre de forma presencial).
Ejemplos de HUMINT: el uso y manejo de confidentes para conocer las actividades de una organización criminal, la entrevista con testigos, la reunión con fuentes.
La Inteligencia Específica es un tipo de Inteligencia Humana.
Recolección abierta de información para HUMINT
En la recolección abierta, el recolector se reúne con las fuentes evidenciando abiertamente su condición de representante oficial. Los datos obtenidos son de carácter público.
Recolección confidencial de información para HUMINT
En la recolección confidencial:
- El recolector debe convencer a la fuente de revelar la información que posee.
- La fuente no siempre es informada del carácter oficial de la acción ni de la identidad de su interlocutor.
- El reclutamiento de una fuente confidencial no ha de ser un proceso rápido; requiere cuidado y planificación.
- La recopilación puede realizarse sin el conocimiento de la fuente.
SIGINT — Inteligencia de Señales
SIGINT (Signals Intelligence) es la inteligencia procedente de todo tipo de señales y transmisiones. Se subdivide en:
| Subdisciplina | Descripción | Ejemplo de fuente |
|---|---|---|
| COMINT | Inteligencia de comunicaciones | Interceptación de comunicaciones de voz o datos |
| ELINT | Inteligencia de emisiones electromagnéticas no comunicativas | Señales de radar (fuente más común) |
| FISINT | Inteligencia de señales de instrumentación extranjera | Telemetría de sistemas de armas o vehículos espaciales extranjeros |
La información derivada de la interceptación de las emisiones electromagnéticas extranjeras es la FISINT. Las fuentes más comunes de ELINT son las señales de radar. FISINT es un ejemplo de SIGINT (no de OSINT ni de HUMINT).
GEOINT — Inteligencia Geoespacial
GEOINT (Geospatial Intelligence) es el análisis de información geoespacial para describir objetos de estudio o actividades que puedan desarrollarse en la Tierra. Utiliza imágenes satelitales, cartografía y datos de observación terrestre.
La información procedente de la explotación y análisis de imágenes e información geográfica se conoce como GEOINT.
Internet, Dark Web y OSINT Digital
Capas del internet
| Capa | Nombre alternativo | Características |
|---|---|---|
| Surface Web / Clearnet | Red de Superficie | Internet básico, accesible a cualquier usuario desde navegadores convencionales; indexado por motores de búsqueda (Google, Bing). |
| Deep Web | Web Invisible / Invisible Web | Contenido online no indexado en buscadores convencionales. No es accesible de forma pública. Incluye correos electrónicos en servidores, resultados de consultas bancarias, búsquedas en portales de viajes, etc. |
| Dark Web | — | Parte de la Deep Web que no es accesible mediante navegadores convencionales (Edge, Firefox, Chrome). Solo es accesible a través de software específico como Tor. Puede contener mercados ilegales. |
«Clearnet» o «Surface Net» equivale a la red de superficie (internet básico). La Deep Web también se conoce como Invisible Web. La Dark Web acapara la parte de la Deep Web inaccesible a través de motores de búsqueda tradicionales, cuyo acceso tan solo es posible a través de un software específico; se estima que abarca la mayor parte de internet.
Ejemplos de contenido perteneciente a la Deep Web:
- Correos electrónicos guardados en los servidores.
- Páginas que se generan dinámicamente (resultados de búsquedas bancarias, reservas de hoteles) y que no se indexan en ningún buscador.
- Páginas web que los motores de búsqueda no pueden identificar.
La Red TOR es un grupo de servidores operados por voluntarios que permiten a las personas mejorar su privacidad y seguridad en internet. No es un único servidor, sino una red distribuida.
Investigaciones en internet: identidad del investigador
A la hora de realizar investigaciones en internet es recomendable utilizar cuentas y datos que solo se usarán para las investigaciones (no los propios datos personales ni las redes sociales habituales), con el fin de no comprometer la identidad del agente ni alertar al investigado.
Es posible extraer la totalidad de los tweets de un perfil sin dejar rastro para el usuario investigado.
Herramientas OSINT y de Investigación Digital
Herramientas de visualización y relaciones
| Herramienta | Descripción |
|---|---|
| Maltego | Permite visualizar de manera gráfica las relaciones entre personas, empresas, páginas web y documentos a partir de información pública. |
| Creepy | Herramienta de geolocalización que extrae datos de redes sociales. |
| Theharvester | Recopila correos electrónicos, nombres de dominio y otra información de fuentes abiertas. |
Herramientas de búsqueda de dispositivos e infraestructura
| Herramienta | Descripción |
|---|---|
| Shodan | Buscador especializado que localiza ordenadores, webcams, impresoras y otros dispositivos conectados a internet, basándose en el software, la dirección IP y la ubicación geográfica. Permite encontrar equipos conectados a internet de tipos específicos. |
| Robtex | Utiliza varias fuentes para recopilar información pública sobre números IP, nombres de dominio, nombres de host, sistemas autónomos, rutas, etc. Indexa los datos en una gran base de datos y proporciona acceso gratuito. También permite ver información IP (v4 y v6), ubicación, DNS, datos de whois, enrutamiento, vecinos de dominio y listas negras. |
Herramientas de análisis de imágenes
| Herramienta | Descripción |
|---|---|
| Tineye | Buscador especializado que, partiendo de una imagen, encuentra patrones similares en internet y muestra los resultados. Indica en qué sitios web aparece una imagen concreta. |
| Jeffrey's Image | Permite obtener los metadatos de una imagen. |
| FotoForensic | Herramienta de análisis forense de imágenes. |
Herramientas de análisis de metadatos en documentos
| Herramienta | Descripción |
|---|---|
| FOCA | Herramienta utilizada principalmente para encontrar metadatos e información oculta en los documentos que examina. Realiza búsquedas de ficheros tipo Microsoft Office, PDF y SVG en la red para obtener datos relevantes asociados a una organización o página web. |
Herramientas de certificación y captura de evidencias web
| Herramienta | Descripción |
|---|---|
| eGarante | Permite certificar electrónicamente las comunicaciones electrónicas, el contenido, archivos adjuntos y el momento exacto en el que se producen, a través de un sello de empresa reconocido y emitido por una Autoridad Certificadora. |
| Savetheproof | Plataforma online que permite a sus usuarios certificar el contenido de cualquier página web (pública o privada) y el de cualquier fichero. |
| FireShot | Herramienta que permite capturar pantallas de páginas web. |
| Free Time Stamp Authority | Permite una autoridad de sellado de tiempo de uso libre y gratuito. |
Herramientas de descarga y archivo de sitios web
| Herramienta | Descripción |
|---|---|
| HTTrack | Permite descargar un sitio completo desde internet a un directorio externo (por ejemplo, el ordenador personal). |
| Internet Archive / web.archive.org | Biblioteca digital gestionada por una organización sin ánimo de lucro dedicada a la preservación de archivos, capturas de sitios públicos de la web, recursos multimedia y software. |
Herramientas de rastreo de IP y localización
| Herramienta | Descripción |
|---|---|
| https://iplogger.org/es/ | Acortador de URL que permite hacer un análisis avanzado del tráfico a través de sus enlaces, y rastrear la ubicación exacta de cualquier dispositivo móvil o PC. Permite monitorear a todos los usuarios que pasan por el enlace previamente acortado. |
| https://www.cual-es-mi-ip.net | Permite localizar la propia IP y su ubicación geográfica. |
| https://www.ip2location.com e https://iplookup.flagfox.net | Herramientas de localización de IP. |
| Extensión IP Address and Domain Information | Permite ver información IP (v4 y v6): ubicación, DNS, datos de whois, enrutamiento, vecinos de dominio, listas negras e información de ASN. |
| Extensión Who is Hosting | Permite descubrir dónde está alojado cualquier sitio web introduciendo el nombre de dominio. |
Herramienta de auditoría de perfiles en redes sociales
- La extensión AFS de Chrome permite auditar un perfil de Facebook sin necesidad de ser amigos del usuario.
Extracción de tweets
- La herramienta Snscrape permite extraer tweets de un perfil.
Seguridad de la Información y Principios CIA
Propiedades fundamentales de la información
| Propiedad | Definición |
|---|---|
| Confidencialidad | La información solo es accesible a quienes están autorizados a conocerla. |
| Integridad | La información es correcta y está libre de modificaciones no autorizadas. Hace referencia a la validez y consistencia de los elementos de la información almacenados y procesados en un sistema informático. |
| Disponibilidad | La información es accesible en el momento en que se necesita. |
Sesgos Cognitivos en el Análisis de Inteligencia
El analista de inteligencia está expuesto a distintos sesgos que pueden distorsionar sus conclusiones:
Falacia del jugador
La falacia del jugador (o del apostador) se produce cuando el analista, en la generación de escenarios prospectivos, tiende a sobrevalorar la probabilidad de que ocurra un evento dado que hace tiempo que no sucede (por ejemplo, un ataque terrorista). La persona asume erróneamente que la probabilidad de un suceso futuro aumenta porque no ha ocurrido recientemente. Se apoya en la heurística de la representatividad (Kahneman y Tversky).
Sesgo del coste hundido
El sesgo del coste hundido lleva al analista a seguir comprometido con una hipótesis o línea de investigación por el tiempo o recursos ya invertidos, aunque la evidencia objetiva apunte en otra dirección. Ejemplo: un analista que ha dedicado un año al estudio de un supuesto autor y, ante la evidencia pericial contraria (huellas que no coinciden), fuerza repetidos reanálisis para defender su hipótesis previa, en lugar de revisar su conclusión con objetividad.
Sesgo de confirmación
El sesgo de confirmación lleva al analista a buscar y dar más peso a la información que confirma sus creencias previas, ignorando la que las contradice.
Sesgo de anclaje
El efecto anclaje hace que el analista se quede fijado en un primer dato o estimación (el «ancla»), condicionando toda evaluación posterior.
Sesgo de muestreo
El sesgo de muestreo surge cuando los datos analizados no representan adecuadamente la población o fenómeno estudiado, generando conclusiones distorsionadas.
Análisis de Intrusiones y Ciberinteligencia
Modelo Diamante
El Modelo Diamante de Análisis de Intrusiones es un marco estructurado para analizar y comprender las ciberamenazas. Su objetivo es dotar de los métodos, procedimientos y herramientas más adecuados para descubrir, comprender y neutralizar los ataques.
Los cuatro componentes que forman el diamante son:
- Adversario — Quién lleva a cabo el ataque.
- Capacidad — Qué herramientas o técnicas utiliza.
- Infraestructura — Qué recursos técnicos emplea para el ataque.
- Víctima — A quién va dirigido el ataque.
Las preguntas esenciales a las que el análisis de intrusiones pretende dar respuesta en primera instancia son quién, qué, cuándo, dónde, cómo y por qué. La pregunta «cuántos» no es una pregunta esencial primaria de este análisis.
Big Data y minería de datos
La diferencia fundamental entre Big Data y la minería de datos reside en la velocidad de resolución y, más ampliamente, en la naturaleza del análisis y los tipos de datos tratados:
- La minería de datos se centra en la extracción de patrones de conjuntos de datos estructurados, mediante algoritmos, para transformar datos en conocimiento comprensible.
- El Big Data abarca grandes volúmenes de datos heterogéneos (estructurados, semiestructurados y no estructurados), con especial énfasis en la velocidad a la que llegan los datos (las «V» del Big Data: volumen, velocidad, variedad, valor, validez).
Resumen: Clasificación de Inteligencia según su Ámbito
Según el nivel de decisión
- Inteligencia estratégica — Para la toma de decisiones al máximo nivel.
- Inteligencia operacional — Para operaciones concretas.
- Inteligencia táctica — Para acciones inmediatas sobre el terreno.
Según el medio de obtención (INTs)
| Disciplina | Expansión | Medio |
|---|---|---|
| OSINT | Open Source Intelligence | Fuentes abiertas públicas |
| HUMINT | Human Intelligence | Fuentes humanas |
| SIGINT | Signals Intelligence | Señales y transmisiones (incluye COMINT, ELINT y FISINT) |
| ELINT | Electronic Intelligence | Emisiones electromagnéticas (ej.: radar) |
| FISINT | Foreign Instrumentation Signals Intelligence | Telemetría de sistemas extranjeros |
| GEOINT | Geospatial Intelligence | Imágenes e información geoespacial |
Según la fuente OSINT
- Medios de comunicación, datos públicos, literatura gris y observación e informes son fuentes de la Inteligencia de Fuentes Abiertas (OSINT).
- La literatura gris es material de acceso controlado, dirigido a comunidades o foros específicos (no es información gubernamental de libre acceso general).