i Modelo de cibervigilancia para la identificación temprana de actores de amenazas en el sector de telecomunicaciones Trabajo de investigación presentada en satisfacción parcial de los requerimientos para obtener el grado de Maestro en Gestión de la Ciberseguridad y Privacidad por: Anthony Benjamin Bravo Roldan Anthony Angel Mogrovejo Mamani Alida Raraz Matias Programa de la Maestría en Gestión de la Ciberseguridad y Privacidad Lima, 30 de julio de 2025 ii iii Este trabajo de investigación Modelo de cibervigilancia para la identificación temprana de actores de amenazas en el sector de telecomunicaciones ha sido aprobado ………………………………………………………. Javier Benvenuto Servat (Jurado) ………………………………………………………. Iñigo Echavarri Beloqui (Jurado) ………………………………………………………. Genís Margarit Contel (Asesor) ………………………………………………………. Gianncarlo Gustavo Gómez Morales (Asesor) Universidad ESAN 2025 iv DEDICATORIA Quiero dedicar este estudio sobra la familia. También amistades, este apoyo constante fue clave para llevar a buen término este proyecto. Extiendo mi más sincero agradecimiento a mis maestros, compañeros y profesionales en el rubro de Ciber que me brindaron su orientación y experiencia en todo este proceso. Anthony Benjamin Bravo Roldan Quiero dedicar este logro a mi esposa, cuya fortaleza y ánimo constante han sido mi motor; también agradezco la paciencia y cariño de mis hijos durante cada etapa; también el apoyo de amigos cercanos, por levantarme el ánimo cuando más lo necesitaba; y a mí mismo, por mantener la fe y seguir adelante aun cuando el camino se volvía difícil. Anthony Angel Mogrovejo Mamani Quiero agradecer este logro sobre todo a Dios, por su bondad en mi vida y me permite culminar esta etapa. Sobre todo, el apoyo incondicional de mis padres, por enseñarme la fe en Dios, También a mis hermanos, por su apoyo incondicional durante esta etapa. Alida Raraz Matias v AGRADECIMIENTO Deseamos expresar nuestra más profunda gratitud respecto a los asesores y buenos amigos, Genís Margarit y Gianncarlo Gomez Morales, por brindarnos su conocimiento experto, con mucha paciencia y buenas recomendaciones durante la culminación de esta tesis. Asimismo, agradecemos a nuestros amigos, cuyas conversaciones ayudaron a mejorar nuestro entendimiento sobre la ciberseguridad. Finalmente, reconocemos el apoyo incondicional de nuestras familias, que ha sido fundamental a lo largo de la maestría. vi Anthony Benjamin Bravo Roldan Maestro en Gestión de la Ciberseguridad y Privacidad de ESAN. Con formación como Ingeniero de Telecomunicaciones y más de siete años de experiencia en Ciberseguridad e Inteligencia Cibernética. Especializado en inteligencia de amenazas, monitoreo de Dark Web y threat hunting proactivo, así como en servicios de Managed Detection and Response (MDR) y soluciones EDR/XDR. Experto en seguridad de redes y respuesta a incidentes, con alto sentido de la responsabilidad, proactividad, liderazgo y sólidas habilidades para el trabajo en equipo y la comunicación FORMACIÓN 2023 - 2025 Universidad ESAN Magíster en Gestión de la Ciberseguridad y Privacidad. LASALLE, Universidad RAMON LLULL 2010 - 2015 Universidad Tecnológica del Perú Ingeniero de Telecomunicaciones EXPERIENCIA 2021 a la fecha Claro Empresas Especialista de Ciberseguridad 2019-2021 Telefónica del Perú Especialista de Ciberseguridad 2018-2019 Digiware del Perú Gestor de Incidentes de Ciberseguridad 2018-2018 Digiware del Perú Especialista de Ciberseguridad 2017-2018 Telefónica TIS Analista Ciberseguridad SOC 2016-2016 Tgestiona del Perú Analista Ciberseguridad SOC 2015-2016 Oesía del Perú Especialista Redes vii Anthony Angel Mogrovejo Mamani Maestro en Gestión de la Ciberseguridad y Privacidad de ESAN. Ingeniero de Sistemas e Informática. Experiencia en infraestructura Cloud y Onpremise. +20 años de experiencia administrando servidores Linux/Unix y Windows, conocimientos en Ethical Hacking así como definición de arquitectura de soluciones robustas y escalables en el sector bancario. FORMACIÓN 2023 - 2025 Universidad ESAN Magíster en Gestión de la Ciberseguridad y Privacidad. LASALLE, Universidad RAMON LLULL 2012 Universidad de Nacional del Callao Ingeniero de Sistemas. EXPERIENCIA 2021 a la fecha Banco de Crédito del Perú - BCP. Chapter Lead Cloud Networking. 2020-2021 Banco Internacional del Perú - Interbank Arquitecto de Soluciones - Canales Digitales. 2015-2021 BBVA Arquitecto de soluciones onpremise-cloud. 2010-2015 AEP Energy Inc. Sysadmin Linux Senior. 2015-2014 IBM PE Sysadmin Linux 2014-2013 Consultoria NET Especialista/Consultor Linux 2013- 2010 Aureal Systems Consultor Linux Jr. viii Alida Raraz Matias Maestro en Gestión de la Ciberseguridad y Privacidad de ESAN. Ingeniero de Sistemas e Informática. Experiencia en Gestión de Proyectos, Gobierno Digital, Procesos, Inteligencia de Negocios, Seguridad de la información, Certificación en Implementador Líder ISO 27001. Experiencia liderando equipos, agilidad y auditoria. FORMACIÓN 2023 - 2025 Universidad ESAN Magíster en Gestión de la Ciberseguridad y Privacidad. LASALLE, Universidad RAMON LLULL 2021 Universidad del Pacifico Diploma del programa de Transformación Digital. 2013 Universidad ESAN Programa de Alta Especialización - PAE en Inteligencia de Negocios 2003 Universidad de Huánuco Ingeniero de Sistemas e Informática. EXPERIENCIA 2023 a la fecha Gerencia de Seguridad de la Información. Especialista en Seguridad de la Información. 2022 Oficina de Normalización Previsional - ONP Especialista en Seguridad de la Información y Oficial de Seguridad y Confianza Digital. 2020-2021 Proyectos financiados por el Banco Interamericano de Desarrollo - BID Jefe de componente, coordinador de equipo en la implementación Tecnológica. 2019 Superintendencia Nacional de Salud - SUSALUD Especialista en Seguridad de la Información y Oficial de Seguridad y Confianza Digital. 2017-2019 Fondo de Aseguramiento en Salud de la Policía Nacional del Perú- SALUDPOL Jefa de la Oficina de Tecnología de la Información. 2009- 2015 Programa de Apoyo a la Reforma del sector Salud - PARSALUD II Especialista en Sistemas de Información. 2004- 2008 Ministerio de Salud - MINSA Ingeniero de Sistemas. ix INDICE GENERAL RESUMEN EJECUTIVO ......................................................................................... xix CAPÍTULO I. INTRODUCCIÓN ............................................................................... 1 1.1. Planteamiento del Problema .............................................................................. 1 1.2. Problemas ........................................................................................................ 3 1.2.1 Problemática General: ................................................................................. 3 1.2.2 Problemas Específicos: ................................................................................ 3 1.3 Introducción ...................................................................................................... 3 1.4 Objetivos ........................................................................................................... 5 1.4.1 Objetivo General: ........................................................................................ 5 1.4.2 Objetivos Específicos: .................................................................................. 5 1.5 Justificación ...................................................................................................... 6 1.5.1 Justificación a nivel tecnológica: .................................................................. 6 1.5.2 Justificación a nivel económico: ................................................................... 7 1.5.3 Justificación a nivel práctico: ....................................................................... 7 1.5.4 Justificación a nivel teórico: ......................................................................... 8 1.5.5 Justificación a nivel social y reputacional: .................................................... 8 1.6 Alcance del modelo ............................................................................................ 9 1.6.1 Supervisión continua de la huella digital ....................................................... 9 1.6.2 Monitoreo de credenciales filtradas en la Dark Web y Deep Web .................. 9 1.6.3 Monitoreo de Datos Críticos en la Web Profunda y Oculta ...........................10 1.6.4 Detección de iniciativas de ciberataques dirigidas ........................................10 1.6.5 Estudio de comportamiento operativo de presuntos actores de amenazas......10 1.6.6 Proceso de Intercambio - Inteligencia de Amenazas .....................................10 1.6.7 Análisis de las amenazas emergentes dirigidas a las telecomunicaciones .......11 1.6.8 Plan Estratégico para Fomentar Cultura Ciberseguridad ............................11 1.7 Entrega del Proyecto ........................................................................................11 1.8 Exclusiones del Proyecto ...................................................................................11 1.9 Restricciones adicionales del Proyecto ...............................................................12 1.10 Aporte: ...........................................................................................................12 CAPITULO II. MARCO CONCEPTUAL ..................................................................14 2.1 Entendimiento de la Inteligencia .......................................................................14 2.1.1 Datos .........................................................................................................14 2.1.2 Comprensión de la Información ..................................................................14 x 2.1.3 Inteligencia ................................................................................................14 2.2 Inteligencia de Amenazas Cibernéticas ..............................................................15 2.3.1 Actor/Grupo Amenaza ...............................................................................15 2.3.2 Amenaza Persistente Avanzada (APT) ........................................................15 2.3.3 FIN (Grupos Motivados Financieramente) ..................................................15 2.3.4 Hacktivistas ...............................................................................................16 2.3.5 Vector de Ataque ........................................................................................16 2.3.6 Surface Web y Clear Web ...........................................................................16 2.3.7 Deep Web ..................................................................................................16 2.3.8 Dark Web ..................................................................................................16 2.3.9 Tácticas, Técnicas y Procedimientos (TTPs) ................................................17 2.3.10 TTP: Ejemplo de Vector de Phishing .........................................................18 2.3.11 Indicador de Compromiso (IOC) ...............................................................18 2.3.12 Indicadores de Ataque (IOA) ....................................................................19 2.3.13 Protocolo de Semáforo de Trafico (TLP) ...................................................19 2.3.14 Costo promedio del ciberataque ................................................................20 2.4 Amenazas particulares para el sector de telecomunicaciones en Perú..................20 2.4.1 Sabotaje o vandalismo de infraestructura física: ..........................................20 2.4.3 Hurto y/o robo de materiales críticos, especialmente cobre: .........................21 2.4.4 Insuficiente inversión en infraestructura y tecnología: .................................21 2.4.5 Colaboración ineficiente entre entidades públicas y privadas: ......................21 2.5 Etapas del Ciclo de Vida de Inteligencia ............................................................22 2.5.1 Planificación y Dirección ............................................................................23 2.5.2 Recopilación de Datos .................................................................................24 2.5.3 Procesamiento ............................................................................................24 2.5.4 Análisis y Producción .................................................................................24 2.5.5 Difusión .....................................................................................................25 2.5.6 Retroalimentación ......................................................................................25 2.6 NIST ................................................................................................................25 2.7 MITRE ATT&CK ............................................................................................26 2.7.1 Componentes: ............................................................................................26 2.7.2 Matrices ATT&CK: ...................................................................................27 2.8 Modelo Diamante .............................................................................................28 2.8.1 Adversario (Atacante): ...............................................................................29 2.8.2 Capacidades (Herramientas y Tácticas): .....................................................29 xi 2.8.3 Infraestructura (Medios): ...........................................................................29 2.8.4 Víctima (Objetivo):.....................................................................................29 2.9 Framework comparativo: Mitre, Kill Chail y Diamond Model ...........................30 2.10 Normas Legales Peruanas ...............................................................................31 2.10.1 Rol del “Agente Encubierto”. ....................................................................31 2.10.2 Ley de activos críticos ...............................................................................32 2.10.3 Ley de usabilidad y promoción del internet ................................................32 2.10.4 Funciones regulatorios de OSIPTEL en las telecomunicaciones ..................32 2.10.5 Ley de protección de datos personales .......................................................33 2.11 Criticidad de Activos de Telecomunicaciones ...................................................33 2.11.1 Bienes e inmuebles: ...................................................................................33 2.11.2 Equipos de telecomunicaciones ..................................................................34 2.11.3 Activos de información .............................................................................34 2.12 Comprensión del actor de amenazas. ...............................................................34 2.13 ETOM ............................................................................................................35 CAPÍTULO III. CONTEXTO GLOBAL, REGIONAL Y LOCAL ..............................37 3.1. Contexto Global ..............................................................................................37 3.1.1 Estados Unidos ...........................................................................................37 3.1.2 United Kingdom .........................................................................................37 3.1.3 Israel .........................................................................................................37 3.1.4 República de Singapur................................................................................37 3.1.5 Países Bajos ...............................................................................................38 3.2. Contexto Regional y Casos ...............................................................................38 3.2.1 Ataques de Ransomware .............................................................................38 3.2.2 Ciberataques de Denegación de Servicio Distribuido (DDoS)........................38 3.2.3 Brecha de seguridad de datos ......................................................................38 3.2.4 Intrusiones APT (Advanced Persistent Threats) ..........................................38 3.2.5 Explotación de Vulnerabilidades en APIs ....................................................39 3.2.6 Intercepción de Comunicaciones (Man-in-the-Middle) .................................39 3.2.7 Compromiso de la Cadena de Suministro ....................................................39 3.2.8 Casos ciberataque en el sector telecomunicaciones .......................................39 3.3. Contexto Local ................................................................................................42 3.3.1. Entorno macro de riesgos cibernéticos para el estado peruano ....................42 3.3.2. Entorno macro - Principales operadores de telecomunicaciones del país ......44 CAPITULO IV. METODOLOGÍA DE INVESTIGACIÓN ........................................47 xii 4.1. Metodología ....................................................................................................47 4.2. Fases ...............................................................................................................47 4.3. Diseño de la investigación .................................................................................48 4.3.1 Población Objetivo .....................................................................................48 4.3.2 Unidad de Análisis ......................................................................................49 4.3.3 Marco de Muestra ......................................................................................49 4.4. Instrumento de medición .................................................................................51 4.5. Validez y confiabilidad del Instrumento............................................................51 4.6. Resultados de la investigación ..........................................................................51 CAPITULO V: ANALISIS DE DATOS .....................................................................53 5.1 Resultados de la validación del Instrumentos de recolección ...............................53 5.2 Resultados de la encuesta al equipo de expertos .................................................55 5.3 Análisis de los resultados de las encuestas. .........................................................56 5.3 Análisis de impacto por ataques de ransomware. ...............................................60 5.4 Retorno de la Inversión. ....................................................................................61 CAPÍTULO VI. MODELO DE CIBER VIGILANCIA PARA LA IDENTIFICACIÓN DE ACTORES DE AMENAZAS EN EL SECTOR TELECOMUNICACIONES .........63 6.1 Sistemas críticos en sector telecomunicaciones. ..................................................63 6.2 Comprensión de los actores de amenazas. ..........................................................65 6.3 Modelo Avanzado de Cibervigilancia. ................................................................68 6.4 Metodología integral .........................................................................................72 6.4.1 Planificación y Dirección ............................................................................72 6.4.2 Recolección ................................................................................................73 6.4.3 Análisis de Tráfico Entrante (Firewall) .......................................................73 6.4.4 Procesamiento y Análisis ............................................................................74 6.4.5 Diseminación ..............................................................................................75 6.4.6 Intercambio de Inteligencia e Integración ....................................................76 6.5 Modelo de cibervigilancia basado en eTOM (Business Process Framework)........77 6.6 Modelo avanzado de cibervigilancia integrado con eTOM ..................................80 6.7 Herramientas tecnológicas especializadas. .........................................................84 6.8 Propuesta de Agente CTI Encubierto ................................................................85 CAPITULO VII: PLAN DE ACCION ........................................................................88 7.1. Fases del plan de acción ...................................................................................88 7.2 Planificación y Dirección ...................................................................................89 7.2.1 Incidentes de ransomware en territorio peruano ..........................................89 xiii 7.2.2 Ciberataques de ransomware al sector Telecom Latam ................................90 7.2 Recolección ......................................................................................................91 7.2.1 ASM (Gestión de Superficie de Ataque) .......................................................91 7.2.2 OSINT .......................................................................................................93 7.2.3 DARK WEB...............................................................................................93 7.3 Análisis de Tráfico Entrante .............................................................................94 7.4 Procesamiento y Análisis ...................................................................................98 7.4.1 MISP (Malware Information Sharing Platform) ..........................................98 7.4.2 TIP licenciada ThreatQ: .............................................................................99 7.4.3 Fuentes integradas con SocRadar: ............................................................ 101 7.4.4 Modelado de TTP MITRE ATT&CK: ...................................................... 103 7.5 Diseminación .................................................................................................. 104 7.5.1 Inteligencia Táctica .................................................................................. 104 7.5.2 Inteligencia Operacional ........................................................................... 108 7.5.3 Inteligencia Estratégica ............................................................................ 111 7.5.4 Dashboards de Panorama de Amenazas .................................................... 115 7.6 Intercambio e Integración ............................................................................... 116 CAPITULLO VIII: CONCLUSIONES Y RECOMENDACIONES ........................... 119 8.1 Conclusiones: ................................................................................................. 119 8.2 Recomendaciones: .......................................................................................... 120 REFERENCIAS ...................................................................................................... 121 ANEXOS ................................................................................................................ 129 I. Diseño de la encuesta para la validación del Modelo de Cibervigilancia para la Identificación Temprana de Actores de Amenazas ................................................ 129 II. Formato para el Informe de opinión de expertos ............................................... 133 III. Informe de opinión de expertos de la validación de la encuesta. ....................... 136 3.1 Experto 1: José Antonio Cruz Ambrosio ...................................................... 136 3.2 Experto 2: Jou William Jancachagua Vera................................................... 141 3.3 Experto 3: Darwin Dexter Cayetano Vásquez ............................................... 146 3.4 Experto 4: Ronald Paico Coello ................................................................... 151 3.5 Experto 4: Celis Henry Ochoa Jayo ............................................................. 156 IV. Instrumento para la recolección de datos de la encuesta. .................................. 159 V. Encuesta del equipo de expertos ....................................................................... 167 4.1 Experto 1: José Antonio Cruz Ambrosio ...................................................... 167 4.2 Experto 2: Jou William Jancachagua Vera................................................... 172 xiv 4.3 Experto 3: Darwin Dexter Cayetano Vásquez ............................................... 177 4.4 Experto 4: Ronald Paico Coello ................................................................... 182 VI. Análisis estadístico de la encuesta para la validación. ....................................... 192 VII. Herramienta del Modelo de Cibervigilancia - Recolección: ............................. 205 7.1 Proton VPN .................................................................................................... 205 7.2 ASM (Gestión de Superficie de Ataque) ........................................................... 206 7.2.1 Spiderfoot: ............................................................................................... 206 7.2.2 SocRadar ................................................................................................. 208 7.3 OSINT ........................................................................................................... 213 7.3.1. Consultas avanzadas con Google Dorks: ................................................... 213 7.4 Defacement: ................................................................................................... 215 7.3.1 Herramienta Zone-Xsec ............................................................................ 215 7.3.5 Herramienta Zone-h ................................................................................. 216 7.3.6 Herramienta Hunter.How: ....................................................................... 217 7.4 DARK WEB ................................................................................................... 217 7.4.1 Plataforma INTELX: ............................................................................... 217 7.4.2 BreachForum ........................................................................................... 219 7.4.3 Lakebase:................................................................................................. 221 7.4.4 Sitios de fugas de ransomware: ................................................................. 222 xv LISTA DE TABLAS Tabla 1: Ejemplos de ataque ...................................................................................... 18 Tabla 2: Framework comparativo: Marco Mitre ATT&CK, Kill Chain y Diamond Model ........................................................................................................................... 30 Tabla 3: Reporte de Casos por empresas de Telecomunicaciones ............................ 39 Tabla 4: Cuadro del equipo de expertos .................................................................... 53 Tabla 5: Evaluación del instrumento ......................................................................... 54 Tabla 6: Resultados de la validación ......................................................................... 55 Tabla 7: Puntuación de las encuestas de expertos .................................................... 55 Tabla 8: Ponderación de resultados de los expertos: ................................................ 56 Tabla 9: Categorización de las preguntas ................................................................. 57 Tabla 10: Categorización de las opciones de respuesta ............................................ 58 Tabla 11: Cuantificación de Riesgos de Ciberseguridad en Telecomunicaciones ..... 60 Tabla 12: El ROE de la implementación del Modelo Propuesto ............................... 61 Tabla 13: Retorno de Inversión del modelo cibervigilancia ...................................... 62 Tabla 14: Listado de Sistemas claves de Telecomunicaciones .................................. 64 Tabla 15: Uso de TLP ................................................................................................ 82 Tabla 16: Evidencia de la investigación profunda de tráfico entrante ...................... 95 LISTA DE FIGURAS Figura 1: Árbol de Problemas...................................................................................... 2 Figura 2: Proceso de análisis de Datos ..................................................................... 14 Figura 3: Características del uso y partes del internet ............................................... 17 Figura 4: TLP (Traffic Light Protocol) ...................................................................... 19 Figura 5: Fases del Ciclo de vida de Ciber Inteligencia de Amenazas (CTI) ........... 23 Figura 6: NIST 2.0 Principales Funciones ................................................................ 26 Figura 7: Matrices ATT&CK ..................................................................................... 28 Figura 8: Esquema general del Reglamento de Neutralidad de Red - OSIPTEL ...... 33 Figura 9: Entendimiento de actor de amenazas ......................................................... 35 Figura 10: Modelo ETOM .......................................................................................... 36 Figura 11: Ciberdelincuencia en el Perú ................................................................... 42 Figura 12: Ciberdelitos denunciados ante la PNP en el 2022-2023 (porcentaje de denuncias) .................................................................................................................... 43 Figura 13: Fases de la Investigación .......................................................................... 48 Figura 14: Resultados de la encuesta ........................................................................ 58 Figura 15: Entendimiento del actor de amenazas ..................................................... 68 Figura 16: Representación del modelo de Cibervigilancia en una empresa de telecomunicaciones ...................................................................................................... 72 file:///D:/Ciberseguridad/16%20Tesis%201/version%20final/2025_MAGECI_2023-1_01_TI.docx%23_Toc204427292 xvi Figura 17: Metodología integral del modelo de Cibervigilancia en una empresa de telecomunicaciones ...................................................................................................... 77 Figura 18: Modelo de cibervigilancia con eTOM...................................................... 80 Figura 19: Modelo de cibervigilancia integrado con eTOM ...................................... 81 Figura 20: Fases del plan de acción del modelo de cibervigilancia ......................... 88 Figura 21: Ciberataques actuales de bandas de ransomware – empresas peruanas 90 Figura 22: Ciberataques de grupos de ransomware, sector telecom - Latam ........... 91 Figura 23: Indicadores de Compromisos (IOC) identificados .................................. 95 Figura 24: Investigación profunda de un IoC relevante, IP: 159.65.63.215 ............. 96 Figura 25: Investigación profunda sobre la IP maliciosa: “159.65.63.215” asociado al grupo APT Gamaredon ............................................................................................ 96 Figura 26: Vector de intrusión del grupo APT Gamaredon ...................................... 97 Figura 27: Estructura del Modelo Diamante – grupo APT Gamaredon ................... 97 Figura 28: TTP de MITRE ATT&CK (Tácticas, Técnicas y Procedimientos) del grupo APT Gamaredon .......................................................................................................... 97 Figura 29: Integración de indicadores de compromiso mediante MISP (IPs, dominios, hashes, URLs) .............................................................................................................. 98 Figura 30: Evidencia de feeds Open-Source activos ................................................. 99 Figura 31: Representación del “score” reflejando confianza o relevancia y facilita priorización de indicadores en el análisis de amenazas cibernéticas ......................... 99 Figura 32: Evidencia de feeds integrados e IOCs ingestados. ................................. 100 Figura 33: Fuentes integrados a la TIP ThreatQ ..................................................... 101 Figura 34: Integración Feeds SocRadar ................................................................... 102 Figura 35: Integración Alarmas SocRadar ............................................................... 102 Figura 36: Integración Feed de Amenazas SocRadar .............................................. 102 Figura 37: Integración de Feed de Vulnerabilidades SocRadar .............................. 103 Figura 38: TTPs de Egregor visualizados en MITRE ATT&CK Navigator mediante JSON, permitiendo visualizar el vector de intrusión ................................................. 103 Figura 39: Campaña de malware “Ousaban” con afectación al sector sector banca, relacionado a la Inteligencia Táctica ........................................................................ 105 Figura 40: Informe de Inteligencia Táctico que contiene IOCs de alta confidencia permitiendo contener proactivamente en soluciones de Ciberseguridad .................. 106 Figura 41: Evidencia de Indicadores de Compromisos relacionados a la campaña de malware “Ousaban” .................................................................................................. 107 Figura 42: Perfil de Amenazas del grupo de ransomware Karakurt ........................ 108 Figura 43: Modelo Diamante del grupo criminal de ransomware Karakurt ........... 109 Figura 44: Matriz Mitre ATT&CK del grupo criminal de ransomware Karakurt ... 110 Figura 45: Indicadores de Compromisos del grupo de ransomware llamado Karakurt .................................................................................................................................... 111 Figura 46: Informe de tipo estratégico de Inteligencia de Amenazas ...................... 112 Figura 47: Reporte de Inteligencia Estratégica realizado mediante la plataforma ThreatQ – Parte 1 ...................................................................................................... 113 file:///D:/Ciberseguridad/16%20Tesis%201/version%20final/2025_MAGECI_2023-1_01_TI.docx%23_Toc204427334 xvii Figura 48: Reporte de Inteligencia Estratégica realizado mediante la plataforma ThreatQ – Parte 2 ...................................................................................................... 114 Figura 49: Tendencia de Panorama de Amenazas a nivel Latam ............................ 115 Figura 50: Tendencia de panorama de amenazas en las Telecomunicaciones. ....... 115 Figura 51: Top resumen de identificación de Actores de amenazas ......................... 116 Figura 52: Top de actores de amenazas con asociación a vulnerabilidades (CVEs) .................................................................................................................................... 116 Figura 53: Configuración usando protocolo Taxii para intercambiar la inteligencia .................................................................................................................................... 117 Figura 54: Intercambio de inteligencia accionable mediante alianzas estratégicas 117 Figura 55: Integración de la TIP vs el Firewall, declarando los tipos de colecciones para el envío .............................................................................................................. 118 Figura 56: Profesión ................................................................................................ 192 Figura 57: Grado Académico .................................................................................. 192 Figura 58: Años de Experiencia en Ciberseguridad y/o Seguridad Informática .... 193 Figura 59: Cargo Actual .......................................................................................... 194 Figura 60: Sector en que labora .............................................................................. 194 Figura 61: Pregunta de la encuesta 1 ....................................................................... 195 Figura 62: Pregunta de la encuesta 2 ....................................................................... 195 Figura 63: Pregunta de la encuesta 3 ...................................................................... 196 Figura 64: Pregunta de la encuesta 4 ...................................................................... 197 Figura 65: Pregunta de la encuesta 5 ...................................................................... 197 Figura 66: Pregunta de la encuesta 6 ...................................................................... 198 Figura 67: Pregunta de la encuesta 7 ...................................................................... 199 Figura 68: Pregunta de la encuesta 8 ...................................................................... 199 Figura 69: Pregunta de la encuesta 9 ...................................................................... 200 Figura 70: Pregunta de la encuesta 10 .................................................................... 201 Figura 71: Pregunta de la encuesta 11 .................................................................... 201 Figura 72: Pregunta de la encuesta 12 .................................................................... 202 Figura 73: Pregunta de la encuesta 13 .................................................................... 203 Figura 74: Pregunta de la encuesta 14 .................................................................... 203 Figura 75: Pregunta de la encuesta 15 .................................................................... 204 Figura 76: Puesta en marcha de la VPN segura - Proton ........................................ 205 Figura 77: Inicialización del escaneo ...................................................................... 206 Figura 78: Proceso de descubrimiento ASM ........................................................... 207 Figura 79: Descubrimiento y hallazgo de superficie de ataque ................................ 208 Figura 80: Exposición cronológica del ASM para la organización XYZ Perú........ 209 Figura 81: Detección de 981 recursos digitales hallados en el ciberespacio. ......... 210 Figura 82: Clasificación de activos digitales inventariados .................................... 210 Figura 83: Puertos expuestos vulnerables ................................................................ 212 Figura 84: Productos comprometidos por fallos relacionados con Apache, Tomcat y Nginx .......................................................................................................................... 212 Figura 85: Vulnerabilidades CVEs expuestas, con una totalidad de 180 ................. 213 xviii Figura 86: Consultas especializadas a través de búsquedas de Dorks Bug Bounty . 214 Figura 87: Evidencia de páginas “defacement” - Zone-Xsec .................................. 215 Figura 88: Evidencia de páginas “defacement” – Zone-h ...................................... 216 Figura 89: Evidencia de la herramienta Hunter.How .............................................. 217 Figura 90: Evidencias de búsquedas mediante IntelX asociados al dominio “com.pe” .................................................................................................................................... 218 Figura 91: Evidencias de credenciales expuestas mediante IntelX asociados al dominio “com.pe” ...................................................................................................... 219 Figura 92: Evidencia de información expuesta en sitio delictivo Breach Forums ... 220 Figura 93: Exposición de información asociado al sector peruano ......................... 220 Figura 94: Resultados información expuesta en LakeBase ...................................... 221 Figura 95: Actores de amenazas “abzerocool” ofertan datos sensibles de universidades peruanas ............................................................................................. 222 Figura 96: Sitio delictivo de fuga de datos del grupo de ransomware Omega......... 222 Figura 97: Sitio delictivo de fuga de datos del grupo de ransomware BlackByte .... 223 Figura 98: Sitio delictivo de fuga de datos del grupo de ransomwareBlack Basta .. 224 xix RESUMEN EJECUTIVO El objetivo de este proyecto es diseñar el modelo asociado a la cibervigilancia que permita la detección temprana de actores maliciosos dirigidos al sector de telecomunicaciones en Perú. Dicha industria enfrenta un flujo constante de amenazas sofisticadas que emplean métodos avanzados para sortear los controles de seguridad vigentes, poniendo en jaque tanto sus infraestructuras críticas, estos servicios fundamentales porque sostienen sectores estratégicos energía, transporte y finanzas. La ausencia de mecanismos de alerta proactiva incrementa el riesgo de paradas operativas, pérdidas económicas considerables y la posible divulgación de información sensible. Para ara afrontar este desafío de problemática, se adopta un enfoque descriptivo que integra la recolección ordenada de información sobre incidentes cibernéticos con un estudio profundo de las tácticas, técnicas y procedimientos (TTPs) empleados por los atacantes. A partir de este análisis, se desarrollará un sistema de cibervigilancia inteligente capaz de identificar patrones de comportamiento anómalo e indicadores técnicos previos a un ataque. Su eficacia se validará mediante simulaciones en un entorno controlado dentro de una empresa de telecomunicaciones (nombre reservado por motivos legales), de modo que la plataforma final alerte con antelación sobre la actividad de actores maliciosos y permita ajustar dinámicamente las defensas, reduciendo potencialmente cualquier tipo de amenaza que pueda generar algún tipo de impacto y mejorando la capa defensiva relacionado a infraestructura crítica del sector telecom ubicado en el territorio peruano. Resumen elaborado por los autores 1 CAPÍTULO I. INTRODUCCIÓN 1.1. Planteamiento del Problema Para el sector telecom, su funcionamiento resulta esencial para garantizar esta conectividad de infraestructuras críticas como salud, energía y finanzas (Telefónica (2022), 2022). No obstante, en los últimos años ha experimentado un incremento notable en incidentes de seguridad desde campañas de ransomware y phishing (European Union Agency for Cybersecurity (ENISA), 2022) hasta operaciones de espionaje impulsadas por actores que van desde ciberdelincuentes independientes hasta grupos patrocinados por estados, con motivaciones que incluyen el lucro económico, el sabotaje o la desestabilización social (COMUTEL (2024, 5 de noviembre), 2024). Ante este escenario, las empresas requieren implementar mecanismos avanzados de cibervigilancia que les permitan identificar de forma anticipada las acciones maliciosas y neutralizar amenazas antes de que provoquen daños relevantes. La propuesta que aquí se presenta define un modelo de vigilancia centrado en la detección temprana de actores maliciosos en operadores de telecomunicaciones, capaz de reconocer no solo incidentes técnicos como infecciones por malware o secuestro de datos, sino también patrones de conducta que revelen las intenciones subyacentes de los atacantes, facilitando así respuestas estratégicas oportunas. La adopción de este modelo permitirá en todas las organizaciones alinearse con las regulaciones internacionales de ciberseguridad, garantizando la integridad, confidencialidad y disponibilidad de sus activos de información. Además, contribuirá a fortalecer la continuidad operativa y la confianza de los usuarios en los servicios de telecomunicaciones, en un entorno normativo cada vez más exigente. Recientes hallazgos internacionales asociados a ciberataques como Telefónica (Bou, 2025), T-Mobile (Bajak, 2022) y Orange (El Periódico, 2024), así como ciberincidentes de nivel regional en Latinoamérica y también mencionan a la entidad Claro (Infobae, 2024), América Móvil (El Financiero, 2024) y Telecom Argentina (ESET, 2020), evidencian la necesidad de sistemas eficaces de vigilancia cibernética. En el ámbito nacional, el Centro Nacional de Seguridad Digital de la Presidencia de Consejo de Ministros - PCM (Centro Nacional de Seguridad Digital de la Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros , 2022), reporta que las operadoras peruanas han sido blanco de incidentes de phishing y 2 ransomware (Gutiérrez, 2024), lo cual evidencia la importancia de implementar mecanismos con mucha transparencia y preparación ante ataques complejos como los orquestados por el grupo Conti contra entidades estatales (Radio Programas del Perú (RPP), 2022). Definitivamente, la propuesta sobre este modelo de cibervigilancia está orientada a detectar con antelación a los actores maliciosos, optimizando la capacidad de previsión y respuesta ante amenazas cada vez más elaboradas. Con esta solución se busca reforzar la resiliencia del sector de telecomunicaciones, protegiendo de manera eficaz las infraestructuras críticas que sostienen el desarrollo económico y social en un entorno de crecientes retos. Nota. Elaboración propia. Figura 1: Árbol de Problemas 3 1.2. Problemas 1.2.1 Problemática General: ● La ausencia de modelos avanzados de cibervigilancia en el sector telecomunicaciones del territorio peruano limita la capacidad de identificar tempranamente a los actores de amenazas maliciosos, aumentando significativamente el riesgo financiero originadas de las interrupciones operativas, pérdida de información crítica y deterioro de la confianza de usuarios y stakeholders. 1.2.2 Problemas Específicos: ● Las organizaciones de sectores de telecomunicaciones carecen de esquemas maduros impidiendo la identificación de manera anticipada las vulnerabilidades y ataques avanzados, lo que facilita la penetración de adversarios maliciosos. ● La adopción de marcos y/o frameworks estandarizados (MITRE ATT&CK, Modelo Diamante, Ciclo de Vida de CTI) para interpretar las tácticas, técnicas y procedimientos (TTPs) de los atacantes es insuficiente, disminuyendo la capacidad de anticipar diferentes vectores de intrusión. ● Las compañías carecen de soluciones de tecnología especializadas para administrar la exposición de sus activos críticos y detectar con rapidez contraseñas secuestradas en entornos como ASM (Gestión de Superficie de Ataque), Dark/Deep Web o Protección de Marca, ampliando innecesariamente el umbral de riesgo cibernético. ● La falta de un protocolo de seguridad que integre la inteligencia recabada mediante el rol de “Agente CTI Encubierto” que permita detectar proactivamente las amenazas emergentes mediante búsquedas avanzadas en la Dark/Deep Web, limitando la eficacia en la prevención y respuesta. 1.3 Introducción En un entorno global cada vez más interconectado, proteger la continuidad de los servicios y salvaguardar la información crítica es esencial. El sector de las telecomunicaciones, reconocido como infraestructura crítica nacional, sustenta la operación de servicios estratégicos en áreas como energía, finanzas, salud y defensa, lo que lo convierte en blanco preferente de adversarios que explotan fallos de seguridad 4 para interrumpir redes, sustraer datos sensibles o lanzar ataques coordinados de gran alcance (Banco Interamericano de Desarrollo (BID), Organización de los Estados Americanos (OEA), 2020). En el ámbito peruano, el Decreto Supremo N° 106-2017-PCM (Presidencia del Consejo de Ministros [PCM], 2017) permite establecer el marco para la identificación, evaluación y gestión de riesgos de los Activos Críticos Nacionales entre ellos las redes de telecomunicaciones, mientras que Ley N° 29904 promueve la expansión segura respecto la banda ancha y la construcción de la red dorsal de fibra óptica (Presidencia del Consejo de Ministros [PCM], 2015). Frente a amenazas dinámicas desde APTs y grupos de ciberdelincuentes hasta hacktivistas y actores con respaldo estatal, las operadoras se enfrentan constantemente accesos de tipo intrusión no permitidas, robo de información y ataques de denegación de servicio (DDoS) de gran escala (Grupo el Comercio, 2024). Estas agresiones ponen en jaque la confidencialidad, integridad y disponibilidad de los sistemas, generando interrupciones de carácter operativo, costos económicos, sanciones regulatorias y un deterioro de la confianza de diferentes usuarios, así como también partes interesadas. Para responder oportunamente a esta problemática, nuestra investigación propone un novedoso modelo de cibervigilancia enfocado en la detección temprana de actores de amenazas en una empresa de telecomunicaciones en Perú. El modelo agrupa avanzadas funciones de monitoreo continuo, técnicas predictivas basadas en la inteligencia de amenazas cibernéticas (CTI) y análisis de conductas maliciosas, utilizando fuentes OSINT (Open Source Intelligence) y estándares y/o frameworks internacionales como MITRE ATT&CK, Modelo Diamante y el Ciclo de Vida del CTI. Esta planificación permite ir más allá de la simple vigilancia reactiva, combinando análisis predictivo y seguimiento permanente para reconocer anticipadamente pautas de ataque y comportamientos maliciosos, lo que posibilita diseñar respuestas estratégicas antes de que las amenazas se concreten. Entre los indicadores esenciales de este modelo destacan: • Volumen de incidentes: actualmente se superan los 120 eventos mensuales (Kaspersky (2024, 22 de agosto), 2024); con la nueva propuesta se busca limitar esta cifra por debajo de 20, gracias a una gestión más ágil y priorizada de las alertas. 5 • Velocidad de respuesta: los SOC de MDR hoy reportan tiempos medios de 36,37 min para incidentes críticos, 33 min para los de severidad media y 48 min en casos de baja gravedad, mientras que el ciclo completo de contención puede prolongarse hasta 258 días (Kaspersky, 2024). El objetivo es rebajar la ventana de respuesta actualmente estimada en 72 horas mediante detección temprana y automatización de procesos. • Preventividad de interrupciones: apenas el 20 % de los incidentes se frenan de forma proactiva (SC Media, 2024), y con la integración de IA y machine learning se aspira a elevar este porcentaje al menos al 50 %. La adopción de este esquema reforzará la protección de la infraestructura crítica de telecomunicaciones en Perú, asegurando una defensa proactiva y mayor resiliencia operativa frente a un entorno digital cada vez más complejo y sofisticado. 1.4 Objetivos 1.4.1 Objetivo General: ● Desarrollar un modelo de cibervigilancia que permite la identificación temprana de actores de amenazas en el sector de las telecomunicaciones, optimizando la habilidad de reconocimiento proactivo, respuesta eficiente y reducción estratégica ante riesgos cibernéticos emergentes y dinámicos. 1.4.2 Objetivos Específicos: ● Desarrollar un modelo de cibervigilancia que anticipe la detección de actores de amenazas mediante la identificación proactiva de amenazas emergentes, brechas de seguridad y ataques sofisticados en las infraestructuras críticas de telecomunicaciones. ● Establecer un enfoque metodológico integral para el análisis de tácticas, técnicas y procedimientos como las (TTPs) empleados por adversarios, incorporando marcos reconocidos (MITRE ATT&CK, Modelo Diamante y Ciclo de vida de Cyber Threat Intelligence) para prever posibles rutas de intrusión. ● Utilización de herramientas tecnológicas especializadas que faciliten la aplicación del modelo de vigilancia, gestionando de manera proactiva la 6 exposición de activos críticos y localizando credenciales comprometidas en entornos como ASM, Dark/Deep Web y Brand Protection. ● Propuesta que permita incorporar el rol de “Agente CTI Encubierto”, cuya función será operar de forma sigilosa en la Dark/Deep Web y en foros de cibercrimen, emulando comportamientos legítimos que intenta ganar la confianza de los ciberdelincuentes y recopilar inteligencia directa sobre campañas dirigidas y la planificación de futuros ataques. Mediante un análisis de proactividad entre IOCs y TTPs en mercados ilícitos y servicios de malware- as-a-service, este rol anticipará amenazas antes de que se concreten. Finalmente, producirá informes estratégicos y tácticos que permitan mejorar la priorización de riesgos y acelerar la respuesta oportuna de la organización. 1.5 Justificación 1.5.1 Justificación a nivel tecnológica: Este modelo de cibervigilancia está enfocado en la detección anticipada de actores maliciosos es esencial que permita responder al aumento de la complejidad de los ciberataques contra las redes de telecomunicaciones, piezas clave de la infraestructura nacional. Sin herramientas de última generación, las operadoras quedan expuestas a brechas y cortes de servicio provocados por tácticas en constante mutación. El desarrollo de este modelo innovador dotará a las organizaciones de supervisión automatizada de recursos críticos clave, análisis más exhaustivo de amenazas y generación de inteligencia operativa ya accionable que respalda decisiones estratégicas y refuerza la defensa anticipada y estratégica, reduciendo el alcance de los ataques. Al incorporar estándares internacionales como MITRE ATT&CK, Ciclo de Vida de CTI y el Modelo Diamante, se garantiza una modernización continua y alineamiento con las mejores prácticas globales en ciberseguridad. Se optó para no centralizar el desarrollo en el NIST, dado que su marco prioriza la gestión y respuesta tras la ocurrencia de incidentes, más que la detección temprana y la prevención proactiva que este proyecto exige. 7 1.5.2 Justificación a nivel económico: Adoptar medidas que salvaguarden la infraestructura esencial de telecomunicaciones resulta clave para evitar impactos económicos severos, no solo en las propias operadoras, sino también en los sectores que dependen de ellas como transporte, energía y servicios financieros. Un ataque exitoso no solo provoca interrupciones en la operación, sino que conlleva filtración de datos sensibles, sanciones regulatorias y un serio detrimento de la reputación corporativa, factores que erosionan la rentabilidad y el valor bursátil de las empresas. Por ello, invertir en protección avanzada se traduce en una reducción de costos asociados a incidentes y en el refuerzo de la confianza del mercado. La adopción de este modelo de cibervigilancia minimiza los riesgos económicos mediante la disminución drástica de la probabilidad y severidad de incidentes costosos, favoreciendo la optimización de recursos al centrar esfuerzos en amenazas críticas. Este enfoque preventivo elude gastos imprevistos en este tipo de reparaciones y sanciones, pudiendo alentar un entorno financiero más sostenible y resistente. 1.5.3 Justificación a nivel práctico: Tomando en cuenta el enfoque operativo, este modelo de cibervigilancia aborda la necesidad de forma inmediata sobre las operadoras peruanas de contar con mecanismos especializados para identificar con antelación a los actores de amenazas. En un escenario donde los ciberataques son cada vez más frecuentes y muy complejas, las telcos requieren soluciones que se integren de manera fluida con sus procesos existentes y ofrezcan resultados prácticos. La propuesta se apoya en herramientas de Gestión de la Superficie de Ataque (ASM), monitoreo continuo en la Dark/Deep Web y soluciones de Brand Protection, lo que permite reducir drásticamente los tiempos de detección y mejorar la eficacia en la respuesta a incidentes. Al centralizar la gestión de riesgos y automatizar la alerta temprana, se refuerza la resiliencia operativa y se asegura la prestación ininterrumpida de los servicios críticos. 8 1.5.4 Justificación a nivel teórico: Desde un escenario teórico, esta notable investigación enriquece el corpus de la ciberseguridad al centrar su contribución en la cibervigilancia inmerso en el ámbito de las telecomunicaciones. Al alinear y adaptar marcos de referencia internacionales como MITRE ATT&CK, el Modelo Diamante y el Ciclo de Vida de CTI, al escenario peruano, se aperturas recientes vías para ajustar y perfeccionar estas metodologías a realidades locales. Además, esta iniciativa integra su análisis profundo respecto a las tácticas, técnicas y procedimientos (TTPs) propios del tipo de sector, incluyendo plataformas de supervisión continua y correlación automatizada de eventos. Esta aproximación permite generar información práctica, y además construye el cimiento de un punto de partida sólido para investigaciones futuras y posibles traslados de esta valiosa metodología a otros sectores de nivel crítico. 1.5.5 Justificación a nivel social y reputacional: Este proyecto refuerza esta protección, seguridad y la operatividad de servicios vitales, que incrementa la confianza de usuarios y de la comunidad en la solidez de la seguridad digital que ofrecen las compañías de telecomunicaciones. Ante el creciente volumen y sofisticación de los ciberataques, es imprescindible brindar garantías de protección efectiva para quienes dependen de plataformas críticas en ámbitos como los sectores educativos, de salud y económica. La solución propuesta mejora la imagen de fiabilidad de las operadoras al anticipar y mitigar las amenazas antes de que provoquen interrupciones o exposiciones de datos sensibles. Una estrategia de cibervigilancia rigurosa no solo minimiza los riesgos operativos, sino que también refuerza la reputación de la marca como referente en la defensa digital. En última instancia, este modelo promueve el bienestar colectivo al establecer un entorno tecnológico seguro y estable, posicionando al sector de telecomunicaciones como socio clave en la protección de datos y en la provisión de servicios vitales para el tejido social y el desarrollo económico. 9 1.6 Alcance del modelo Este modelo asociado a la cibervigilancia cubre los elementos muy fundamentales sobre la seguridad en el ámbito de las telecomunicaciones, enfocándose en la identificación temprana y bloqueo de amenazas emergentes. Además, genera inteligencia de alta confiabilidad para apoyar la toma de decisiones inmediatas y coordinar la respuesta ante cualquier incidente que pueda afectar a la organización. A continuación, se presentan los aspectos de máxima relevancia: 1.6.1 Supervisión continua de la huella digital ● Incluye: Elaboración de mecanismos para el monitoreo permanente y constante de los recursos digitales que expone una organización, posibilitando la detección y mitigación asociados a las vulnerabilidades detectadas en infraestructuras críticas de las telecomunicaciones. ● Reputación IP: La supervisión especializada que evalúa el nivel de reputación y veracidad de las direcciones IPs públicas del operador y permiten examinar los principales motivos de una puntuación o escore negativo, integrándose plenamente en el ASM “Gestión de Superficie de Ataque”. ● Exclusiones: Quedan fuera del ámbito la supervisión de los recursos físicos y la conexión con plataformas externas que no se ajusten a los marcos normativos y estándares. ● La comprobación de reputación de IP: se restringe a las direcciones públicas usadas por el servicio de correo electrónico, ya que su aparición en listas negras que podría generar afectación tanto el envío como la recepción de mensajes. 1.6.2 Monitoreo de credenciales filtradas en la Dark Web y Deep Web ● Incluye: Implantación de estos métodos que permite el rastreo de filtraciones de contraseñas corporativas en la Dark/Deep Web y generar alertas inmediatas ante posibles compromisos. ● Exclusiones: La posible recuperación o revocación de las credenciales divulgadas, así como la monitorización de datos en plataformas cifradas o de acceso de carácter restringido. 10 1.6.3 Monitoreo de Datos Críticos en la Web Profunda y Oculta ● Incluye: Exploración y evaluación metódica de posibles filtraciones de datos sensibles en espacios de acceso restringido, reforzando la capacidad defensiva de la entidad. ● Exclusiones: La remediación o supresión de la información descubierta, dado que frecuentemente reside en plataformas ajenas al dominio de la organización. 1.6.4 Detección de iniciativas de ciberataques dirigidas ● Incluye: Despliegue de un mecanismo de detección capaz de identificar patrones y conductas asociadas a campañas maliciosas dirigidas contra la organización, permitiendo tomar medidas preventivas. ● Exclusiones: Las amenazas de carácter genérico o aquellas etapas iniciales carentes de indicadores claros de compromiso. 1.6.5 Estudio de comportamiento operativo de presuntos actores de amenazas ● Incluye: Análisis de patrones conductuales atípicos vinculados a posibles adversarios para prever ataques y optimizar la capacidad de respuesta inmediata de los equipos de seguridad. ● Exclusiones: No se rastrearán individuos o grupos ajenos al ámbito del sector telecom, tampoco se realizarán investigaciones que pudieran violar marcos legales o reglamentarios. 1.6.6 Proceso de Intercambio - Inteligencia de Amenazas ● Incluye: Generación de informes de nuevas amenazas emergentes y establecimiento de colaboraciones con otras instituciones permitiendo el fortalecimiento de la defensa compartida. Este proceso de intercambio de información entre los operadores de telecomunicaciones, incluyendo el CSIRT nacional administrado por la PCM (Centro Nacional de Seguridad Digital), se podrá efectuar a través de estándares globales como STIX, TAXII o API, garantizando una transferencia completa y segura. ● Exclusiones: Se prevendrá la revelación de datos internos sin permiso legal, ni se tratarán las amenazas ocasionadas por un uso inapropiado de la inteligencia. Además, cualquier intercambio deberá considerar los aspectos legales asociados a la confidencialidad para evitar posibles fugas de datos. 11 1.6.7 Análisis de las amenazas emergentes dirigidas a las telecomunicaciones ● Incluye: Evaluación de riesgos de las amenazas cibernéticas que afectan las telecomunicaciones, con acciones operativas estratégicas que permiten optimizar la capa defensiva. ● Exclusiones: No está incluid la generación de inteligencia de amenazas para sectores ajenos a las telecomunicaciones. 1.6.8 Plan Estratégico para Fomentar Cultura Ciberseguridad ● Incluye: Desarrollo de acciones de sensibilización esenciales para todo el personal de la organización, con el fin de reforzar su capacidad de respuesta ante posibles ataques. ● Exclusiones: No contempla la realización de formaciones masivas tampoco la capacidad de asegurar un cambio cultural profundo en toda la organización. 1.7 Entrega del Proyecto • Entrega del modelo de cibervigilancia, con validación previa mediante pruebas en ambientes simulados y controlados. • Reportes muy detallados sobre la detección de amenazas, incluyendo indicadores de compromiso (IoC) y el desarrollo de las Tácticas, Técnicas y Procedimientos (TTP) • Documentación y guías técnicas del modelo, con pasos detallados para su despliegue en distintos operadores de telecomunicaciones. 1.8 Exclusiones del Proyecto • Queda fuera de este alcance la puesta en marcha del modelo en entornos productivos de terceros. • No se incluirán las evaluaciones de ataques físicos contra las instalaciones críticas. • Se aprovecharán soluciones y marcos que son existentes, sin desarrollar herramientas de ciberseguridad desde cero. • Se renunciará a impartir capacitación masiva a usuarios finales, aunque se sugerirán acciones adecuadas para aumentar su conciencia sobre seguridad. • No se otorgarán recursos a atacantes. 12 • Se evitará el financiamiento de la prueba de vida ante una evidencia de fuga de dato. 1.9 Restricciones adicionales del Proyecto • Acceso restringido a datos genuinos: El manejo de información sensible del sector telecomunicaciones se encuentra sometido a estrictas políticas de privacidad, lo cual podría complicar la verificación del modelo en entornos totalmente reales. • Pruebas de simulación controlados: Al ejecutarse únicamente en ambientes controlados, ciertos comportamientos de actores de amenazas podrían no reflejarse por completo. • Dependencia de la tecnología: El desempeño del prototipo estará supeditado a las características de las soluciones de seguridad disponibles. • Limitaciones de plazos y de presupuesto: El alcance del análisis podría verse reducido por la duración del proyecto y los recursos asignados. • Transferibilidad sectorial: Aunque concebido para telecomunicaciones, su aplicación en otros ámbitos demandará ajustes adicionales. 1.10 Aporte: Este estudio contribuye al campo de la ciberseguridad, enfocándose en la cibervigilancia para el sector de telecomunicaciones, mediante el diseño e implementación de un modelo avanzado que detecta de forma temprana a actores maliciosos. Envuelve de forma novedosa marcos que están consolidados a nivel global MITRE ATT&CK, Modelo Diamante y el Ciclo de Vida de CTI, adaptándolos a las particularidades operativas y tecnológicas del contexto peruano, y sentando las bases para futuras investigaciones y desarrollos en otros sectores críticos. Estas metodologías pueden combinarse mediante métodos sofisticados de inteligencia operativa, vigilancia automática y asociación de sucesos, ofrece un enfoque completo que hoy presenta limitaciones a nivel regional y local. La integración operativa del “Agente CTI Encubierto”, en colaboración con las autoridades correspondientes, aporta un método innovador que potencia la recolección de inteligencia estratégica directamente desde entornos digitales críticos. Además, el modelo desarrollado constituye una solución replicable, modular y escalable, susceptible de adoptarse tanto por empresas de telecomunicaciones como por 13 otras industrias estratégicas, mejorando su resiliencia tecnológica, operativa y táctica ante un entorno de ciberamenazas que está en continua trasformación. 14 CAPITULO II. MARCO CONCEPTUAL 2.1 Entendimiento de la Inteligencia 2.1.1 Datos Se trata de enormes volúmenes de datos en bruto, sin contexto ni procesamiento previo; solo al depurarlos y analizarlos se convierte en información útil y, posteriormente, en inteligencia, ya que por sí mismos no resuelven ningún problema (Richards J. Heuer, 1999). 2.1.2 Comprensión de la Información Esta información es recolectada en bruto, los datos no son filtrados, no existe una evaluación, valoración o análisis, tampoco se conoce la fuente de la información. Puede ser modificada o alterada durante su publicación en los medios digitales, por lo tanto, no tiene mucha credibilidad, finalmente esta información puede ser verdadera o falsa, incompleta, relevante o irrelevante (Richards J. Heuer, 1999). 2.1.3 Inteligencia Este tipo de datos, una vez depurados, estructurados y validados por analistas que están especializados a nivel de ciberseguridad que verifican las fuentes y correlacionan la información se transforman en inteligencia precisa, completa, actualizada y de alta relevancia para la organización, (US Goverment, 2009). Figura 2: Proceso de análisis de Datos Nota: De Introducción a la Inteligencia por Ginseg Ciberinteligencia, (https://www.ginseg.com/inteligencia/introduccion-a-la-inteligencia/) https://www.ginseg.com/inteligencia/introduccion-a-la-inteligencia/ 15 2.2 Inteligencia de Amenazas Cibernéticas El resultado de este nuevo conocimiento se apoya en evidencia contextualizada, e incluye procedimientos detallados, indicadores, metodologías, pautas operativas y directrices prácticas para gestionar amenazas emergentes dirigidos a los activos críticos y puedan ser utilizadas con la finalidad de informar inteligencia accionable para la toma de decisiones sobre la respuesta concisa del actor de amenazas o peligro de cibertaques dirigidos, (Christopher Ahlberg, CEO of Recorded Future, 2023) Se entiende también como el proceso de recopilar y examinar datos relativos a amenazas y actores maliciosos, lo cual permite generar patrones que guían la toma de decisiones informadas para la preparación, prevención y respuesta ante diferentes crisis originadas por ciberataques, (Palo Alto , s.f.) . Objetivo: Detectar tendencias de ataque que faciliten la adecuación óptima de las defensas de seguridad, con el objetivo de resguardar la infraestructura tecnológica de las organizaciones ante las amenazas avanzadas que se presentan a nivel global, (CYBLE, 2025). 2.3 Conceptos y términos de Ciber Inteligencia de Amenazas 2.3.1 Actor/Grupo Amenaza Persona, colectivo u organización que ejecuta acciones maliciosas o no autorizadas contra sistemas, redes o aplicaciones, motivado por lucro, sabotaje, espionaje, activismo o desestabilización, (National Institute of Standards and Technology (NIST), s.f.). 2.3.2 Amenaza Persistente Avanzada (APT) Son ciberactores que están patrocinados por gobiernos o de gran sofisticación técnica que llevan a cabo una gran cantidad de campañas dirigidas y sigilosas para infiltrarse y mantener el acceso no autorizado a sus objetivos. (MITRE ATT&CK, 2025). 2.3.3 FIN (Grupos Motivados Financieramente) Redes de ciberdelincuentes cuyo propósito principal es el beneficio económico, atacando instituciones financieras, empresas y personas; por ejemplo, FIN7, que ha focalizado sus operaciones en el robo de datos de tarjetas de pago, (MITRE ATT&CK, 2024). 16 2.3.4 Hacktivistas Individuos o agrupaciones que emplean tácticas digitales para promover causas sociales o políticas—sin ánimo de lucro—como el colectivo Anonymous, (Information Systems Audit and Control Association [ISACA] , Johnson R. , 2022). 2.3.5 Vector de Ataque Es el canal o mecanismo que emplean los actores maliciosos para acceder sin autorización a sistemas, redes o aplicaciones, explotando sus vulnerabilidades para ejecutar acciones ofensivas (UpGuard, Tyas A., 2024). Estos vectores pueden originarse en fallos de software o hardware, deficiencias en procesos organizativos o manipulaciones del factor humano (National Institute of Standards and Technology [NIST], 2023) . Ejemplo: • Canal: Email electrónico • Método: Phishing • Objetivo: Compromiso del sistema de la víctima o sustracción de datos sensibles. 2.3.6 Surface Web y Clear Web Porción del Internet indexada por buscadores convencionales y accesibles libremente, donde se encuentran sitios web y recursos al alcance del público general. (Baker, 2025) 2.3.7 Deep Web Conjunto de contenidos en línea que no aparecen en los índices de los motores de búsqueda estándar, incluyendo bases de datos protegidas por contraseña y portales de consulta dinámica. (Bergman, 2001) 2.3.8 Dark Web Sector cifrado y no indexado de la Red, sólo accesible mediante herramientas especializadas, frecuentemente relacionado con actividades ilícitas. (Buxton, 2025) 17 Figura 3: Características del uso y partes del internet Nota. Muestras las características de las partes del internet. De What is the dark web? Según Fuente de Oliver Buxton, 2025 (https://us.norton.com/blog/how-to/what-is-the- dark-web). 2.3.9 Tácticas, Técnicas y Procedimientos (TTPs) A continuación, las definiciones de las Tácticas, Técnicas y Procedimientos, (SUMO LOGIC, s.f.): • La Táctica simboliza la finalidad o propósito del atacante. • La Técnica describe de qué modo el atacante logra su propósito. • El Procedimiento detalla modo de emplear la técnica. https://us.norton.com/blog/how-to/what-is-the-dark-web https://us.norton.com/blog/how-to/what-is-the-dark-web 18 2.3.10 TTP: Ejemplo de Vector de Phishing A continuación, algunos ejemplos aplicando las Tácticas, Técnicas y Procedimientos: Tabla 1: Ejemplos de ataque Nota. Muestras los ejemplos de Tácticas, Técnicas y Procedimientos. De Tactics techniques and procedures (TTPs), por SUMO LOGIC, s.f (https://www.sumologic.com/glossary/tactics-techniques-procedures). 2.3.11 Indicador de Compromiso (IOC) Señal detectable del sistema comprometido, vulnerado e intervenido. Por ejemplo, tráfico inusual de red saliente, presencia observable de archivos o procesos internos no autorizados y variaciones imprevistas en la configuración general del sistema. Reactivos: Los IOC facilitan detección de intrusiones previas (National Institute of Standards and Technology [NIST], 2006) https://www.sumologic.com/glossary/tactics-techniques-procedures 19 2.3.12 Indicadores de Ataque (IOA) El Indicador de Ataque (IOA) representa evidencias que demuestran un intento activo de intrusión o de ejecutar acciones maliciosas en una red o sistema. Estas señales incluyen patrones atípicos de modificación de ficheros, ejecución repetida de comandos frecuentes de nivel sospechoso o intentos de accesos no autorizados a recursos críticos que suelen detectarse mientras el ataque está en curso, permitiendo identificar y frenar la amenaza antes de que alcance sus objetivos. (SentinelOne, 2025). 2.3.13 Protocolo de Semáforo de Trafico (TLP) Es un esquema conformado para el regulamiento del intercambio de información sensible que no está clasificada, permitiendo al emisor la capacidad de establecer hasta qué punto puede redistribuirse más allá del receptor inicial. En caso de que se requiera realizar una compartición adicional, esta debe contar con la autorización expresa del autor original. (Cybersecurity and Infrastructure Security Agency [CISA], 2022) Figura 4: TLP (Traffic Light Protocol) Nota: De Traffic Light Protocol (TLP) Definitions and Usage por Cybersecurity & Infrastructure Security Agency, 2022 (https://www.cisa.gov/news-events/news/traffic- light-protocol-tlp-definitions-and-usage ) https://www.cisa.gov/news-events/news/traffic-light-protocol-tlp-definitions-and-usage https://www.cisa.gov/news-events/news/traffic-light-protocol-tlp-definitions-and-usage 20 2.3.14 Costo promedio del ciberataque El costo estimado que podría costar un ataque cibernético equivale al impacto económico, tanto directo e indirecto, ocasionado por un incidente cibernético. Incluye pérdidas operativas, gastos en contención y restauración, daños a la reputación, sanciones regulatorias, litigios y pérdida de clientes o mercado. Según estudios internacionales, el gasto promedio por un ataque a empresas puede llegar a cifras millonarias, dependiendo de la severidad del incidente y la velocidad de la respuesta, (International Business Machines [IBM] Security, 2024). Para visualizar la repercusión financiera relacionado al ataque de ransomware en una entidad bancaria: • Incidente de Ransomware = $1 Millón (International Business Machines [IBM] Security, 2024) (Rescate de ransomware + pérdidas operativas + sanciones regulatorias + análisis forense + servicios de consultoría) Estos casos representan el coste de un ciberataque en organizaciones globales: • Capital One (2019) = $300 Millón (Taylor Armerding, 2019) • Equifax (2017) = $1,400 Millón (Breachsense, 2024) • Banco Bangladesh (2016) = $81 Millón (Cyber Security Threat Groups, 2025) 2.4 Amenazas particulares para el sector de telecomunicaciones en Perú Posteriormente de las ofensivas cibernéticas comunes, este ramo enfrenta riesgos propios del contexto nacional que pueden enriquecer el esquema de cibervigilancia. Entre ellos se destacan: 2.4.1 Sabotaje o vandalismo de infraestructura física: Actos deliberados de destrucción o daño a torres, antenas, tendidos de fibra óptica e instalaciones críticas, capaces de interrumpir directamente los servicios y dejar expuestas las redes a nuevos ataques. (National Cable & Telecommunications Association, 2025) 2.4.2 Fenómenos meteorológicos extremos y desastres naturales: Se considera como eventos asociados a lluvias torrenciales, desastres de inundaciones, terremotos, tormentas eléctricas que comprometen radioenlaces y centros 21 de datos, elevando el inminente riesgo de corte de servicio donde los atacantes pueden aprovechar satisfactoriamente. (International Telecommunication Union [ITU], 2020). 2.4.3 Hurto y/o robo de materiales críticos, especialmente cobre: Las sustracciones reiteradas de cableado de cobre interrumpen la operación de redes y aumentan la vulnerabilidad de la infraestructura cuando las reparaciones carecen de medidas de protección adecuadas. (USTelecom, Follansbee L., 2025) 2.4.4 Insuficiente inversión en infraestructura y tecnología: La falta de modernización y de recursos destinados a infraestructura robusta incrementa la gestión de superficie de ataque, facilitando el aprovechamiento de las vulnerabilidades conocidas, permitiendo restringir la capacidad de detección y respuesta proactiva. (World Economic Forum, 2025) 2.4.5 Colaboración ineficiente entre entidades públicas y privadas: La escasa coordinación que se tiene para los organismos estatales y operadoras limita considerablemente el intercambio de información estratégica de incidentes y ciberamenazas, entorpeciendo respuestas coordinadas frente a ataques complejos. (European Union Agency for Cybersecurity [ENISA], 2017) En el Perú, las operadoras de telecomunicaciones enfrentan múltiples riesgos que comprometen tanto sus infraestructuras como sus servicios. A continuación, se presentan dos ejemplos destacados: • Sustracción de cables y componentes esenciales: El hurto de cableado, en especial de cobre, es un problema recurrente que deja sin conexión a numerosas comunidades; se han registrado casos en los que más de 150 poblaciones quedaron incomunicadas tras la acción de los llamados “robacables”. (Exitosa noticias (diario), 2024) • Prácticas comerciales desleales: Más allá de los ataques físicos, las empresas también lidian con maniobras anticompetitivas; en 2023, se formalizaron denuncias ante OSIPTEL contra varias operadoras señaladas por prácticas 22 desleales en la oferta y contratación de servicio móvil, lo que motivó la apertura de procedimientos sancionadores. (Telefónica Perú, 2023). Estos ejemplos ponen de relieve la urgencia de adoptar un sistema de cibervigilancia y una estrategia de seguridad integral que contemple tanto las amenazas físicas como las conductas comerciales ilícitas, se requiere garantizar total estabilidad y credibilidad de los servicios de telecomunicaciones. 2.5 Etapas del Ciclo de Vida de Inteligencia Considerado las etapas ciclo de vida de Inteligencia de Amenazas Cibernéticas, porque se basa en un proceso metódico originalmente derivado del modelo de inteligencia de la CIA de la década de 1940, y fue adaptado alrededor de 2010 para hacer frente a amenazas persistentes avanzadas (APT) y ataques de ransomware (SysAdmin Audit, Networking and Security Institute [SANS], Shackleford D., 2015). Aunque no existe un único autor, numerosas entidades de tipo académicas y del ámbito privado como FireEye y CrowdStrike han participado en su evolución, mientras que marcos como SANS y MITRE ATT&CK han sido fundamentales para afinarlo en contextos de ciberseguridad (SysAdmin Audit, Networking and Security Institute [SANS], Shackleford D., 2015). Este modelo consta de seis etapas bien definidas planificación, recopilación, procesamiento, análisis, difusión y retroalimentación y es esencial para CSIRT y SOC, que lo emplean para anticipar ataques, mitigar riesgos de forma proactiva e integrar tecnologías avanzadas como SIEM en sus flujos de respuesta (Cybersecurity and Infrastructure Security Agency [CISA], 2021). En suma, esta aproximación estructurada resulta clave para la defensa contra amenazas cada vez más complejas, que facilita tomar decisiones estratégicas y permite el fortalecimiento de la resiliencia organizacional ante incidentes cibernéticos (Cybersecurity and Infrastructure Security Agency [CISA], 2021). 23 Figura 5: Fases del Ciclo de vida de Ciber Inteligencia de Amenazas (CTI) Nota: Definición del ciclo de vida del Cyber Threat Intelligence (CTI). De Cyber Security Consulting and Risk Assessment Services, por CHECK POINT, 2023, (https://www.checkpoint.com/downloads/products/security-architecture-review- workshop-datasheet.pdf) En lo posterior, se procede con la explicación de las etapas del ciclo de vida de Inteligencia de Amenazas Cibernéticas: 2.5.1 Planificación y Dirección Durante esta primera fase definimos las metas y las prioridades del ciclo de inteligencia, estableciendo preguntas como “¿qué amenazas requieren nuestra atención?” y “¿cuáles son nuestros puntos débiles más críticos?”. El equipo directivo fija los objetivos de recolección y análisis, basados en una evaluación de riesgos del entorno. En el sector de telecomunicaciones, se presta especial atención a ataques que comprometan la disponibilidad o confidencialidad, tales como DDoS, caídas de red o espionaje en infraestructuras 5G. ● Ejemplo 01: Una compañía decide enfocar sus recursos en monitorear posibles campañas de tipo ransomware posterior a incidentes recientes en el sector. ● Ejemplo 02: Un operador de telecomunicaciones prioriza defensas contra DDoS para proteger a cientos de miles de todos los usuarios. https://www.checkpoint.com/downloads/products/security-architecture-review-workshop-datasheet.pdf https://www.checkpoint.com/downloads/products/security-architecture-review-workshop-datasheet.pdf 24 2.5.2 Recopilación de Datos En esta etapa, se compila información de orígenes externos (feeds de inteligencia, reportes de vulnerabilidades, foros de la Dark Web) e internos (logs de sistemas), alertas de IDS/IPS, SIEM). Las operadoras capturan volúmenes masivos de información mediante herramientas de monitorización de red y plataformas de inteligencia, integrando logs de routers y switches con datos de seguridad externa. La inversión en soluciones avanzadas automatiza la agregación y mejora la calidad de la inteligencia. Adicionalmente, la cooperación mediante MISP (Plataforma para intercambio de datos de malware) amplía el panorama de amenazas. ● Ejemplo: Un equipo de seguridad combina OSINT, registros de firewall y alertas SIEM para rastrear un aumento inusual de tráfico bot. 2.5.3 Procesamiento Los datos brutos se filtran, normalizan y estructuran para generar información accionable. Dada la gran magnitud de registros en redes de telecomunicaciones, se aplican técnicas de aprendizaje automático y automatización para separar el tráfico real y legítimo del sospechoso, permitiendo extraer IoCs asociados a direcciones IPs maliciosas, hashes y dominios. El uso de pipelines de datos optimiza la preparación de la información para el análisis en lo posterior. ● Ejemplo: La capacidad del SIEM descarta eventos rutinarios y realza posibles alertas que coinciden con direcciones IP listadas como maliciosas. 2.5.4 Análisis y Producción En esta fase, los analistas interpretan la información procesada para identificar TTT (Tácticas, Técnicas y Procedimientos) y perfilar a los atacantes. En telecomunicaciones, se examinan las tácticas de grupos maliciosos contra infraestructuras de red, aprovechando marcos como MITRE ATT&CK para clasificar actividades y entender motivaciones de actores estatales o criminales. ● Ejemplo 01: Un equipo descubre que un posible APT (Amenaza Persistente Avanzada) que emplea spear-phishing con PDFs infectados para infiltrarse. ● Ejemplo 02: El análisis identifica que cibercriminales explotaron configuraciones débiles de routers 5G que permiten la escalada de privilegios. 25 2.5.5 Difusión Durante esta fase, la inteligencia generada se comparte con las áreas pertinentes operaciones de red, seguridad y alta dirección a través de informes escritos, alertas automatizadas o briefings en vivo, adaptados a los tipos de audiencia (National Institute of Standards and Technology [NIST], 2016). En telecomunicaciones, la entrega inmediata y clara de esta información es vital para prevenir cortes de servicio (GSMA, 2024). Organizaciones con acuerdos de colaboración pueden también intercambiar datos con socios del sector, reforzando la defensa colectiva. ● Ejemplo 01: Un SOC emite diariamente un boletín de vulnerabilidades críticas y recomendaciones de parcheo. ● Ejemplo 02: Tras detectar una falla en equipos de red, se envía un aviso urgente a los equipos de respuesta. 2.5.6 Retroalimentación Posterior de la distribución de la inteligencia, se evalúa la efectividad de las acciones tomadas y está ajustado a los requisitos y procesos del ciclo en función de las lecciones aprendidas (National Institute of Standards and Technology [NIST], 2012). Dada la evolución constante de amenazas e infraestructuras, las operadoras refinan sus defensas y actualizan los flujos de inteligencia (Cynet, 2025). Ejemplo 01: Después de mitigar un DDoS, se actualizan las reglas de mitigación automática y se revisan los criterios de alerta. Ejemplo 02: Para el Luego de un incidente de ransomware, el equipo refina las políticas de respuesta y mejora la priorización de datos. 2.6 NIST El National Institute of Standards and Technology (NIST) es una agencia del Departamento de Comercio de EE. UU. cuyo Cybersecurity Framework proporciona recomendaciones para que organizaciones de distinto tamaño identifiquen, gestionen y mitiguen sus riesgos de ciberseguridad (National Institute of Standards and Technology, 2024). Este marco organiza las mejores prácticas en seis funciones esenciales: Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar. (National Institute of Standards and Technology, 2024) 26 Figura 6: NIST 2.0 Principales Funciones Nota: Principales funciones del NIST. De El Marco de Seguridad Cibernética (CSF) 2.0 del NIST, por National Institute of Standards and Technology, 2024 (https://doi.org/10.6028/NIST.CSWP.29.spa ) 2.7 MITRE ATT&CK El framework de MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) constituye el marco conceptual que fue adoptado en ciberseguridad para entender y categorizar las estrategias, métodos y procedimientos (TTPs) empleado por los atacantes. Se creó originalmente por la entidad sin ánimo de lucro MITRE aproximadamente en 2013, en sus inicios como instrumento para cartografiar las amenazas persistentes de alto nivel (APT), y progresivamente se ha ampliado para abarcar diversos escenarios de ataques cibernéticos. (MITRE ATT&CK (s.f), 2025) El catálogo ATT&CK de MITRE actúa como un marco integral para que los operadores de telecomunicaciones comprendan las maniobras de los atacantes en sus redes y ajusten sus defensas ante amenazas de alta sofisticación. Al integrar las tácticas y procedimientos detallados en ATT&CK dentro de sus propias infraestructuras, estas organizaciones pueden anticipar ataques y acortar significativamente el tiempo de respuesta frente a incidentes. (MITRE ATT&CK, s.f.). 2.7.1 Componentes: 2.7.1.1 Tácticas: Definen los fines u objetivos que un adversario persigue ejecutar un ataque. Comprenden fases como evasión de defensas, extracción de datos, https://doi.org/10.6028/NIST.CSWP.29.spa 27 acceso inicial y de reconocimiento, entre otras. Cada táctica aborda una etapa específica del ciclo de ataque. (MITRE ATT&CK, s.f.) 2.7.1.2 Técnicas: Ilustran los métodos que los adversarios emplean para alcanzar sus tácticas. Vector de phishing puede brindar acceso inicial o permitir la escalada de privilegios al explotar debilidades en el software. (MITRE ATT&CK, s.f.) 2.7.1.3 Subtécnicas: Precisan acciones particulares en el marco de una técnica. Dentro de un ataque de phishing, por ejemplo, se distinguen subtécnicas específicas como envío de emails falsificados o la inserción de enlaces maliciosos. (MITRE ATT&CK, s.f.) 2.7.1.4 Procedimientos: Se entienden como las maneras específicas en que un adversario pone en práctica una técnica dada. Dependiendo del nivel de acceso o de los objetivos perseguidos, los atacantes adaptan estas acciones estratégicamente de modo diversificado para maximizar su efectividad. (MITRE ATT&CK, s.f.) 2.7.2 Matrices ATT&CK: Este marco de referencia se divide en distintas matrices (MITRE ATT&CK, s.f.) que abarcan entornos específicos: 2.7.2.1 Enterprise: Está destinado a mitigar ataques contra infraestructuras de entidades corporativas tradicionalistas y centralizadas. 2.7.2.2 Mobile: Proyectada para responder a amenazas dirigidas a dispositivos y entornos respecto a los móviles. 2.7.2.3 ICS (Sistemas de Control Industrial): Orientada a salvaguardar infraestructuras de supervisión y control en fábricas, plantas eléctricas e instalaciones esenciales y críticas. 28 Figura 7: Matrices ATT&CK Nota: De Matrices de MITRE por MITRE ATT&CK ( https://attack.mitre.org/) La versión 15 de MITRE ATT&CK recopila un total de 794 herramientas de software, agrupa 152 colectivos de amenazas y documenta 30 campañas. Al desagregar estos datos por dominio se obtiene. Desglose de dominios: • Enterprise: 14 tácticas, 202 métodos, 435 subcategorías, 148 colectivos, 677 programas de software, 28 campañas, 43 mitigaciones y 37 fuentes de información. (MITRE ATT&CK, 2025) • Mobile: 12 tácticas, 73 métodos, 46 subcategorías, 13 colectivos, 113 aplicaciones informáticas, 2 iniciativas, 13 contramedidas y 6 orígenes de información. (MITRE ATT&CK, 2025) • ICS: 12 tácticas, 83 métodos, ninguna subcategoría, 14 colectivos, 21 aplicaciones de software, 6 iniciativas, 52 contramedidas, 14 recursos y 17 orígenes de información (MITRE ATT&CK, 2025) 2.8 Modelo Diamante Presentado en 2013 por Caltagirone, Pendergast y Betz, el Modelo Diamante desglosa cada incidente en cuatro ejes —adversario, capacidades, infraestructura y víctima, facilitando la comprensión de la relación entre ellos y la planificación de defensas. (Caltagirone, 2013) https://attack.mitre.org/ 29 Componentes del Modelo Diamante: 2.8.1 Adversario (Atacante): ● Descripción: Define quién ejecuta el ataque: su identidad, motivaciones, habilidades y objetivos. Conocer el perfil (historial, herramientas preferidas, tácticas recurrentes) permite anticipar movimientos futuros (Caltagirone, 2013) ● En el ámbito del sector telecom, los atacantes son conformados por grupos respaldados por gobiernos que persiguen ciberespionaje o sabotaje cibernético. Por ejemplo, la explotación de redes 5G para espiar las comunicaciones en naciones rivales o dañar infraestructura crítica de acuerdo al tipo de interés. 2.8.2 Capacidades (Herramientas y Tácticas): ● Descripción: Incluye las TTPs (malware, exploits, kits de phishing, ingeniería social) que usa el atacante. Entender estas herramientas guía la selección de contramedidas, como backups y políticas de acceso (ThreatConnect, 2025) ● En el ámbito de las telecomunicaciones, los atacantes emplean exploits de fallos críticos en hardware (routers, conmutadores) para bloquear servicios o efectuar espionaje malicioso. Asimismo, suele utilizarse técnicas sofisticadas como el movimiento lateral para desplazarse y acceder a sistemas de datos. 2.8.3 Infraestructura (Medios): ● Descripción: Considerado como recursos técnicos que utiliza el atacante como los servidores C2, botnets, proxies, dominios maliciosos cuyo análisis puede revelar el punto de origen del ataque o permitir cortar la conexión. (Bolster Reserch Labs, 2023) ● En el entorno de telecomunicaciones, los agresores emplean nodos de comando y control distribuidos en múltiples países, así como botnets y proxies para camuflar su procedencia. En este sector, es habitual que operadores maliciosos recurran a servidores ajenos comprometidos para ejecutar acciones ofensivas o sustraer información de usuarios. 2.8.4 Víctima (Objetivo): ● Descripción: Identifica al blanco del ataque, sus características y por qué fue elegido, lo cual ayuda a diseñar defensas a medida. En telecomunicaciones, el 30 objetivo suele ser la infraestructura de red o los datos de clientes. (Tidmarsh, 2023) ● Las operadoras de telecomunicaciones suelen constituirse como blanco principal, aunque las consecuencias pueden afectar directamente tanto a usuarios finales, redes estatales o infraestructuras clave. Al encargarse de la interconexión mundial, estas compañías resultan objetivos codiciados para quienes pretenden interrumpir o distorsionar el tránsito de datos. 2.9 Framework comparativo: Mitre, Kill Chail y Diamond Model A continuación, un cuadro comparativo de los modelos revisados: Tabla 2: Framework comparativo: Marco Mitre ATT&CK, Kill Chain y Diamond Model 31 Nota: Tomado de MITRE ATT&CK ( https://attack.mitre.org/), Cyber Kill Chain (https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html ) y Modelo Diamante (https://www.activeresponse.org/wp- content/uploads/2013/07/diamond.pdf) 2.10 Normas Legales Peruanas 2.10.1 Rol del “Agente Encubierto”. El rol del "Agente encubierto en delitos informáticos" es crucial para obtener inteligencia directa desde entornos digitales críticos. Esta normativa permite el actuar desde las funciones del Ministerio Publico de la Fiscalía de la Nación, durante el proceso de investigación del delito desde la etapa policial. (Presidencia del Consejo de Ministros [PCM] , 2024). https://attack.mitre.org/ https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html 32 2.10.2 Ley de activos críticos De acuerdo al Decreto Supremo N.º106-2017-PCM indica el marco que identifica, evalúa y gestiona los riesgos vinculados hacia los Activos Críticos Nacionales, declarando al sector de telecomunicaciones como prioritario y obligando a las operadoras a implementar medidas de seguridad que aseguren su continuidad operativa. (Presidencia del Consejo de Ministros [PCM], 2017) 2.10.3 Ley de usabilidad y promoción del internet De acuerdo con la Ley Nº 29904 impulsa la extensión de la banda ancha y la construcción de la red dorsal de fibra óptica en el Perú, exigiendo la adopción de mecanismos de protección adecuados que garanticen un entorno digital inclusivo y seguro (Presidencia del Consejo de Ministros [PCM], 2015). 2.10.4 Funciones regulatorios de OSIPTEL en las telecomunicaciones Según el Organismo Supervisor de la Inversión Privada en Telecomunicaciones (OSIPTEL) supervisa el mercado de telecomunicaciones en el Perú, promoviendo la competencia, resguardando a los usuarios sus derechos y asegurando la calidad y seguridad de los servicios. Entre sus atribuciones se incluyen la vigilancia de la continuidad del servicio, la resolución de controversias, la imposición de sanciones y el fomento de la transparencia. En el Reglamento de Neutralidad de Red, OSIPTEL define once tipos de medidas clasificadas como permitidas o restringidas e instituye el marco sancionador y de infracciones aplicable. (Organismo Supervisor de Inversión Privada en Telecomunicaciones [OSIPTEL] , 2025) Principales funciones del Reglamento de Neutralidad de Red: ● Establecer las medidas pertinentes para asegurar estrictamente el cumplimiento de las directrices previas de neutralidad de red. ● Especificar los principios rectores, las acciones autorizadas y prohibidas, así como el régimen de infracciones y sanciones aplicable. El reglamento clasifica un total de once tipos de medidas, agrupándolas en aquellas permitidas y aquellas restringidas: 33 Figura 8: Esquema general del Reglamento de Neutralidad de Red - OSIPTEL Nota: de Extracto sobre las medidas relativas a Neutralidad de RED por el Organismo Supervisor de la Inversión Privada en Telecomunicaciones (OSIPTEL), 2025, (https://www.osiptel.gob.pe/portal-de-operadoras/regulacion/neutralidad-de-red/) 2.10.5 Ley de protección de datos personales Según el decreto de Ley N.º 29733 establece las directrices para resguardar la información personal de los ciudadanos peruanos, exigiendo a las organizaciones implementar controles de seguridad que impidan la pérdida, alteración, acceso no autorizado o indebida usabilidad de datos sensibles, garantizando así su privacidad y confidencialidad, (Presidencia del Consejo de Ministros [PCM], 2011) . 2.11 Criticidad de Activos de Telecomunicaciones Los recursos de una operadora de telecomunicaciones se agrupan en tres categorías principales. 2.11.1 Bienes e inmuebles: • Terrenos y edificaciones • Centros de datos https://www.osiptel.gob.pe/portal-de-operadoras/regulacion/neutralidad-de-red/ 34 • Estaciones satelitales • Almacenes de equipos. 2.11.2 Equipos de telecomunicaciones ● Torres y postes de antenas ●