Llegar a información confidencial mediante búsquedas en Google

En un post anterior comentaba que la inteligencia competitiva está basada en una metodología y en una manera de acceder a la información basada en la ética y la legalidad. No obstante Google proporciona opciones de búsqueda con las que traspasar la línea de la ética y la posibilidad de llegar a informaciones de alto valor de la competencia debido a agujeros de seguridad de las empresas en sus servidores web.

Éstos son algunos ejemplos de búsquedas feas y poco éticas que se pueden llevar a cabo en Google:

  • site:competidor.es filetype:xls inurl:clientes
  • site:competidor.es inurl:ventas
  • site:competidor.es inurl:activos
  • site:competidor.es inurl:confidencial
  • site:competidor.es filetype:ppt (para presentaciones Power Point)
  • site:competidor.es filetype:doc

Otro método poco transparente es el de ir recortando la url a la que hemos llegado de derecha a izquierda navegando a través de los subdirectorios. Si no está capado el acceso podremos llegar a verdaderos “arsenales”.

Mi voluntad obviamente no es la de fomentar esta práctica sino la de alertar sobre este hecho, sobre estas posibilidades que están al abasto de cualquiera y que se llevan a cabo hoy día. Un aspecto clave en la gestión de la información estratégica es el de la seguridad de la información y documentación de la empresa, un hecho crítico más si hablamos de grandes empresas que manejan grandes volúmenes de información.

Propongo el ejercicio inverso, probar cualquiera de las “super-búsquedas” anteriores y sustituir el nombre de un competidor por el de nuestra empresa/organización. Seguramente encontremos documentos perfectamente publicables (notas de prensa, etc.) junto con informaciones que puedan ser un poco más delicadas. Es hora de actuar.

Existen varias opciones: eliminar las páginas del servidor o proteger el acceso a las mismas. En estas FAQ del W3C se explican los tres métodos de protección de las páginas y archivos así como diversas cuestiones relacionadas.

Anuncios

XWiki Watch: herramienta libre para la vigilancia tecnológica, competitiva y reputación online

Uno de los aspectos clave a la hora de poner en marcha un sistema de monitorización del entorno informacional en nuestra organización es la elección de una herramienta/s que facilite el procesado y tratamiento de aquella información estratégica que facilite una mejor toma de decisión, sea información de competidores, mercados, tecnologías o el seguimiento de nuestra marca en las redes sociales.

XWiki Watch es una herramienta bajo licencia GNU destinada a ejercer de soporte de los  procesos de vigilancia tecnológica, competitiva y reputación digital, favoreciendo el análisis colaborativo y la creación de inteligencia colectiva. Asimismo facilita el proceso de gestión de la información gracias a una automatización tanto de la captura y almacenamiento como de la difusión de la información.

A continuación incluyo una presentación de la herramienta:

Las agencias de inteligencia adoptan el crowdsourcing

Llevar el potencial conocimiento del ciudadano de a pie al campo de la inteligencia y ayudar a la toma de decisiones en el ámbito de la defensa nacional. Ese parece ser el  lema del nuevo servicio del IARPA -Intelligence Advanced Research Projects Activity– que  se cristaliza en el nuevo servicio web Aggregattive Contingent Estimation System (ACES) disponible próximamente.

ACES permitirá al usuario entrar en su web y mediante un formulario con preguntas tipo invitarle a hacer predicciones sobre temas como la política, economía, tecnología, etc., buscando ofrecer una mejor visión y perspectiva del futuro más inmediato.

Parece ser que los analistas de inteligencia americanos están sufriendo de la temida y común hoy día infoxicación y más allá de invertir en más analistas o software especializado en análisis de datos la nueva dirección es la de apostar por la inteligencia  colectiva y el crowdsourcing como fuente de información. La idea es que hay piezas de información valiosa distribuidas entre la multitud y que agregándolas y llevando a cabo un tratamiento eficiente pueden ofrecer mejores respuestas que la de los expertos a cuestiones de interés nacional.

No obstante, para ofrecer una mejor precisión y relevancia, ACES dispondrá de su propio pagerank, ya que el sistema no ponderará de igual manera las estimaciones de todos los usuarios, sino que irá aprendiendo y dará mayor peso a los usuarios con un mayor número de precisión en sus predicciones.

Como vemos, el mundo de la inteligencia empieza a incluir técnicas ligadas a la innovación de las organizaciones en su funcionamiento. Habrá que ver qué uso hace y  cómo se aprovecha.

Ampliar información:

La paradoja del vigilante

El profesional de la vigilancia e inteligencia en la organización se enfrenta en su quehacer diario a una serie de circunstancias y situaciones que en algunos casos resultan paradójicas. Tras leer este artículo extraigo algunas conclusiones:

  • El vigilante tiene como misión identificar informaciones a priori pertinentes … pero a menudo no sabe si son percibidas como tal.
  • Procesa y transmite información a los decisores … pero no decide ni conoce la estrategia.
  • Difunde y comparte información … en un mundo donde la información es poder.
  • Aporta elementos que pueden ser perturbadores para la organización … por naturaleza reticente al cambio y a tomar riesgos.
  • Por su manera de funcionar asimila nuevos valores: intercambio, transversalidad, horizontalidad, obertura …  en un entorno de estructuras rígidas.
  • Debe tener un espíritu corporativo … pero a la vez evitar un análisis parcial y desviado de los acontecimientos (ver lo que queremos ver).
  • Es generador de ideas nuevas … pero debe asegurar una rentabilidad a corto plazo.
  • Se juzga al individuo … aunque trabaja con un grupo de personas.
  • Debe saber reaccionar en el corto plazo … y a la vez tener una visión prospectiva, a largo plazo.

Inteligencia competitiva y espionaje: Aclarando términos (II)

En relación con el post anterior y el mal uso que se hace a menudo de términos como “vigilancia tecnológica” o “inteligencia competitiva” relacionándolos reiteradamente con el espionaje, recojo algunos de los titulares que ningún beneficio aportan a la profesión:

Inteligencia competitiva y espionaje: Aclarando términos

Inteligencia competitiva: Aclarando conceptosEl affaire Renault levantó hace unos meses una gran polvareda mediática y un gran revuelo en la opinión pública francesa debido a las fugas de información en una empresa de gran tradición e importancia en el país vecino, como es Renault. En este caso, tres directivos fueron acusados de vender información secreta sobre tres patentes sin depositar. El impacto de la noticia se amplificó todavía más debido a dos hechos: Primero, se trata de información secreta respecto el coche eléctrico, elemento estratégico en el mercado del sector automovilístico en los próximos años. Segundo, Renault es una empresa que recibe fondos públicos.

Así, en este maremágnum mediático es inevitable que sectores y disciplinas relacionadas con la gestión de informaciones sensibles y de alto valor corporativo se vean involucradas en el debate, dando lugar a gran cantidad de informaciones y opiniones,  y que si los juntamos con la falta de veracidad, rigor y ligereza intelectual, al poder de los medios online y al efecto amplificador de las redes sociales puede dar lugar a productos informativos malentendidos, tergiversados, mezquinos y dañinos para ciertos colectivos y disciplinas.

Este es el caso de la Inteligencia competitiva, disciplina que se sustenta en tres pilares:

1. La captación, análisis y difusión de información, destinada a la anticipación del entorno competitivo
2. La protección del patrimonio material e inmaterial de la organización (segurización de los bienes informacionales, etc.)
3. La influencia, acción sobre su entorno

La Inteligencia competitiva se basa en una serie de procesos y metodologías sustentadas en la gestión de la información y una de sus máximas es la obtención siempre por cauces legales y éticos de la misma. Por tanto, choca frontalmente con el espionaje industrial. Algunas diferencias entre Inteligencia competitiva y espionaje son:

  •      La primera y más importante: La información obtenida por la IC discurre por cauces éticos y de manera completamente legal, al contrario que el espionaje, que es constitutivo de delito.
  •      Ámbito de actuación: Se considera que el 90% de la información estratégica para una empresa se encuentra de manera abierta y se puede conseguir mediante fuentes legales. El 10% restante no es accesible mediante cauces legales y corresponde a informaciones cerradas, sensibles, de carácter interno. En el primer caso actúa la IC, mientras que el segundo caso es el medio de actuación del espionaje.
  •      La Inteligencia competitiva busca una comprensión global del entorno competitivo, busca entre la enorme masa informacional de hoy en día para extraer las “pepitas de oro” que permitirán a la organización una ventaja competitiva. Por contra, el espionaje tiene un objetivo muy concreto, busca una información muy precisa sobre un actor (empresa / organización / institución / persona) en concreto. No ofrece una comprensión global del entorno sino una información muy precisa de un objeto determinado.
  •      Riesgos y retorno de la inversión: Como cualquier servicio, unidad / departamento, un buen sistema de Inteligencia competitiva necesita una serie de recursos (humanos, tecnológicos, acceso a fuentes de información)  para ofrecer a la organización un retorno de la inversión (nuevas oportunidades de negocio, alianzas, compras, amenazas detectadas, etc.) y tendrá un carácter continuo en el tiempo. El riesgo también es menor que en una acción de espionaje industrial, que  tendrá un carácter puntual, donde el carácter ilícito y fraudulento del mismo puede tener consecuencias funestas para la organización.
  •      Difusión interna. La información obtenida por cauces legales mediante un sistema de Inteligencia competitiva deberá será tratada y difundida por una red interna y será más accesible por todos los implicados en la empresa que una información obtenida de manera ilícita, que posee un carácter mucho más restrictivo.

La serendipidad. Un factor a tener en cuenta en la vigilancia estratégica

¿Qué tienen en común América, las lunas de Plutón, la piedra de Rosetta, los rayos X, la penicilina, la viagra, el donut o el último material innovador: el grafeno?

La respuesta: todos nacieron fruto de un hallazgo inesperado, casual (¿o causal?) y pasaron a formar parte del conocimiento humano y nuestro día a día. Es la denominada serendipia, o serendipidad,

“un descu­brimiento afortunado que se produce sin planificación. Se da de forma inesperada, aparentemente por accidente o suerte del destino. Es encontrar algo bueno que no buscabas”

En un espacio informacional la serendipidad se da cuando exploramos un contexto lineal, saltando de nodo en nodo hasta que encontramos aquella información que nos es realmente pertinente. Eso si, no confundamos serendipidad con azar. La serendipidad es un azar orientado e inducido por la persona. Sagacidad, obertura, curiosidad, creatividad y perseverancia serán aliados que favorecerán el éxito.

Pasemos a un plano más concreto, nos sentamos delante de la pantalla en busca de información dentro de un portal, base de datos, directorio, etc., con el que podemos interactuar de diferentes maneras. Nos encontramos con tres posibilidades/situaciones a la hora de adquirir información:

  1. Búsqueda de una información que conocemos y a la que queremos llegar rápidamente.
    En este caso normalmente recurrimos al motor de búsqueda. Una forma de favorecer la serendipia es la asistencia y recomendación de términos a introducir en la búsqueda a la hora de iniciarla o redefinirla. Un ejemplo seria Scirus, y sus opciones de refinamiento de la búsqueda.
  2. Búsqueda de una información que no tenemos muy clara, definida, pero que en cuanto la tengamos delante identificaremos inmediatamente.
    El método más común es acudir a la navegación, o browsing. Navegaremos por la taxonomía del sitio hasta llegar a información que encontramos relevante. Hiperenlaces o herramientas de visualización nos ayudarán a llegar esta información deseada.
  3. Hallazgo inesperado, accidental de información. Serendipia.

Vista la importancia de esta forma de hallar información, en un sistema de inteligencia competitiva la gestión de esta serendipidad será otro elemento nada desdeñable a tener en cuenta, por lo que será importante establecer el procedimiento por el cual estas informaciones pasarán a formar parte del ciclo de información potencialmente estratégica y ser aprovechables para la toma de decisiones.

Este hecho será más importante, si cabe, si en nuestra organización utilizamos herramientas fuertemente automatizadas para la captura, tratamiento, almacenamiento y difusión de información.

¡Ojo!

Nos podemos ver atrapados por un software que nos ate de pies y manos y no nos permita gestionar otros canales o tipos de información como el caso que nos ocupa.

Más:

Serendipidad o casualidad buscada. Wikinnovación, Amalio Rey.
Serendipidad. Tomas Baiget.
Make serendipity work for you. Mark de Rond. Harvard Business Review.

Inteligencia competitiva, Wikileaks y fugas de información

El fenómeno Wikileaks está suponiendo un azote para el gobierno Obama y demás implicados de los que está emergiendo a la superficie toda una información que está poniendo en evidencia todas las malas artes y peores prácticas de la condición humana: órdenes de asesinato, casos de corrupción, datos privados en internet, etc.

Todo este fenómeno debería ser observado por los analistas de Inteligencia, ya que toda esta información podría ser valiosísima dentro de un contexto de Inteligencia Competitiva. Desde el punto de vista que nos interesa, el de la gestión de la información a nivel de organización podemos analizar el tema según tres axiomas:

1. Segurización de la informacion

Uno de los aspectos que más llama la atención es la manera -casi cómica- de obtención de esta información.

El responsable de las filtraciones es el cabo Bradley Manning, destinado en la Base Operativa Hammer, en las cercanías de Bagdad. Según explicaba Manning a Lamo, el otro hacker implicado, éste:

“Llegaba con un CD-RW con música con la etiqueta de alguien como Lady Gaga, borraba la música y grababa un archivo comprimido en partes”.

“Servidores flojos, registros débiles, mala seguridad física, mala contrainteligencia, analistas de señales distraídos… la tormenta perfecta”.

Esto pone en evidencia las deficiencias en cuanto a la segurización de informaciones confidenciales, base para evitar fugas de información.

En este caso, bienvenida la ilegalidad en cuanto a la obtención de informaciones.

2. Componente ético

Segundo: ¿Es ética la manera cómo se ha obtenido de toda esta información? Una de las máximas de la Inteligencia Competitiva insiste en el componente ético en cuanto a la obtención de la información, y podríamos decir que de ética esta adquisición tiene poco. No obstante, podríamos preguntarnos si Wikileaks obtiene una ventaja competitiva de estas informaciones. Su afán es el de sacar a la luz informaciones confidenciales con el afán de que todos conozcamos todas aquellas informaciones que a los ciudadanos no nos son accesibles. Wikileaks busca la transparencia que los organismos oficiales nos deniegan, aunque según sus detractores, ponga en peligro la vida de miles de soldados y ciudadanos. En este caso, Wikileaks ha actuado como un intermediario de información estratégica, un suministrador de información de gran valor añadido.

3. Necesidad de compartición de información confidencial

Llegado este punto es importante analizar el contexto. El 11 de Septiembre pone en evidencia la necesidad de mejorar el flujo e intercambio de informaciones confidenciales entre diferentes agencias y organismos oficiales estadounidenses para una mejor labor de Inteligencia. Así, se creo la base de datos “Net-Centric Diplomacy”, base de datos donde se almacena información clasificada como de alto secreto. A esta base de datos las diferentes agencias del gobierno tenían acceso mediante protocolos seguros, como el caso de SPIRNet. Como consecuencia de estos “cables” se ha procedido a la desconexión entre SPIRNet y la base de datos.

Así, gracias a su rango, Manning tenía acceso a esta red SPIRNet y a una segunda todavía más importante, la Joint Worldwide Intelligence Communications System, red por la circulan documentos secretos, y que utilizó para acceder a estos documentos que posteriormente filtraría mediante Wikileaks.

La compartición de informaciones y un correcto flujo de éstas es imprescindible hoy en día en cualquier organización competitiva. La información acumulada en silos no supone más que un impedimento para la competitividad e innovación en cualquier organización, pero esta democratización ha de ir acompañada de una correcta política de acceso a las mismas. La pregunta es: ¿Tenía Manning acceso a las mismas informaciones que cualquier superior jerárquico suyo?

El resultado final ha sido el que conocemos, la fuga de miles de documentos que nos aportan luz sobre casos escabrosos tanto de la Administración americana como de otros gobiernos, bancos e instituciones de todo el mundo. Un soplo de aire fresco y un gran ejercicio de higiene democrática.

Y la cosa continuará.

Referencias: