2. 4-Step Methodology

2. 4-Step Methodology

Nota atomica extraida del capitulo "2. 4-Step Methodology" del master osint-references-master.

Contenido (de OSINT Bible)

  1. Define question → What do I want to know?
  2. Identify sources → Table below |
  3. Collect → Manual + automations |
  4. Validate and document → Screenshots, hash, date, URL, archive.org |
Data Type Usual Location Star Tool
Name LinkedIn, Facebook Maigret
Email Data breaches, newsletters HIBP
Phone WhatsApp Business, TrueCaller Infobel
Username Forums, gaming, GitHub Snoop
Photo Geolocation, EXIF Exiftool
Domain WHOIS, certificates Amass
IP Scanning, Shodan Shodan
Crypto wallet Blockchain explorers BlockCypher

Ciclo de Inteligencia (referencia)

Ver la entity dedicada con definicion canonica del ciclo OTAN/IC: ciclo-de-inteligencia.

5. NECESIDADES ESTRATÉGICAS (NIR)

Las Necesidades Estratégicas de Inteligencia reflejan los requerimientos de información del decisor estratégico OTAN, orientadas a apoyar la toma de decisiones en un entorno de seguridad complejo y dinámico. No constituyen temas de análisis ni sustituyen a los PIR.

  • NIR 1 – Anticipación de amenazas con impacto estratégico en el ámbito OTAN
    Necesidad de identificar de forma temprana riesgos emergentes que puedan afectar a la seguridad colectiva, la estabilidad regional o la cohesión de la Alianza.
  • NIR 2 – Evaluación de la evolución y convergencia de amenazas multidimensionales
    Necesidad de comprender cómo interactúan y se refuerzan amenazas de naturaleza terrorista, híbrida, cibernética, tecnológica y geopolítica.
  • NIR 3 – Detección de escenarios de escalada y puntos de inflexión estratégicos
    Necesidad de reconocer cambios cualitativos o cuantitativos que puedan derivar en crisis, escaladas de conflicto o presión estratégica sobre Estados OTAN.

6. FUENTES Y MÉTODOS. Ver Anexo.

La Unidad empleará un enfoque operativo y práctico, combinando fuentes y métodos en función del objetivo analítico y del PIR correspondiente. La selección de fuentes responderá a su utilidad, fiabilidad y pertinencia operativa.
Se explotarán, entre otras, las siguientes tipologías:

  • Fuentes abiertas avanzadas (OSINT/SOCMINT):
    Plataformas cerradas y semi-cerradas, redes sociales, foros especializados, canales de mensajería, repositorios públicos y entornos de la dark web, para detección temprana de narrativas, actividad hostil y señales precursoras.
  • Fuentes técnicas (CYBINT/SIGINT derivada):
    Observación de infraestructura digital, indicadores técnicos (IoCs), TTPs, malware y patrones de actividad, orientados a identificar campañas, capacidades y actores.
  • Fuentes contextuales y analíticas:
    Producción académica, informes especializados, think tanks, observatorios regionales y datos estadísticos, utilizados para contextualizar y validar el análisis.
  • Fuentes de apoyo geoespacial y visual (IMINT/GEOINT básica):
    Análisis de rutas, patrones territoriales y dinámicas logísticas cuando sea relevante para el PIR
    La verificación cruzada, la evaluación sistemática de fiabilidad y la trazabilidad de las fuentes serán obligatorias en todos los productos.

7. CLASIFICACIÓN Y REGISTRO

Los productos de inteligencia se clasificarán conforme a los niveles de clasificación OTAN, en función de la sensibilidad de la información y del impacto potencial de su divulgación no autorizada:

  • COSMIC TOP SECRET (CTS)
  • NATO SECRET (NS)
  • NATO CONFIDENTIAL (NC)
  • NATO RESTRICTED (NR)

Todos los documentos se registrarán de forma sistemática, identificados por PIR, tipo de producto y nivel de clasificación, garantizando un manejo y difusión coherentes con los estándares OTAN.

Anexo Punto 6

Fuentes abiertas avanzadas (OSINT / SOCMINT) (detección temprana de narrativas, actividad hostil, señales precursoras)

  1. Telegram Analytics / TgStat / Telemetr
  2. X (Twitter) Lists + Advanced Search + API v2
  3. Reddit (Pushshift / Subreddits cerrados)
  4. Bellingcat-style social graphing (manual)
  5. Paste sites (Pastebin, Ghostbin, PrivateBin mirrors)
  6. Leak forums (BreachForums clones, Exploit, XSS)
  7. Onion search engines (Ahmia, TorBot, DarkSearch)
  8. RSS personalizados de actores y colectivos
  9. GitHub / GitLab OSINT
  10. *Media monitoring selectivo (prensa general y alternativa)

Fuentes técnicas (CYBINT / SIGINT derivada) (infraestructura, IoCs, TTPs, campañas, atribución)

  1. VirusTotal (Graph + Retrohunt)
  2. MISP (communities europeas / ISACs)
  3. GreyNoise
  4. URLScan.io
  5. AbuseIPDB / Spamhaus
  6. Hybrid Analysis / Any.Run
  7. Malpedia
  8. AlienVault OTX
  9. RiskIQ / PassiveTotal (si disponible)
  10. ATT&CK Navigator (MITRE)

Fuentes contextuales y analíticas (contextualización estratégica, validación y framing)

  1. ENISA Threat Landscape
  2. Europol IOCTA / SOCTA
  3. NATO CCDCOE publications
  4. CSIS / RAND Corporation
  5. Atlantic Council (DFRLab)
  6. **Mandiant blogs
  7. Academic journals (IEEE, ACM, Springer)
  8. World Bank / UNODC datasets
  9. National CERT advisories (EU/US)

Fuentes de apoyo geoespacial y visual (IMINT / GEOINT básica)

(rutas, patrones territoriales, logística)

  1. **Google Earth Pro (histórico)
  2. Sentinel Hub / Copernicus
  3. MarineTraffic / VesselFinder
  4. **FlightRadar24 (análisis histórico)
  5. OpenStreetMap + QGIS
  6. LiveUAmap
  7. ReliefWeb / ACLED
  8. UNHCR / IOM maps
  9. Social media geotagging (manual)
  10. Commercial imagery reports (secundarios)

Themes