CICLO DE ATAQUE EN LOS EVENTOS HOSTILES.

(2ª parte)

DESDE LA SELECCIÓN DEL OBJETIVO AL ENSAYO

16 de julio de 2018. Artículo de David Pounder.

Traducción de Jose A Román, CPP

Esta es la segunda parte del Ciclo de Ataque a Eventos Hostiles. Previamente, la discusión se
centró en la vigilancia inicial en objetivos potenciales. Específicamente, como parte de la
investigación de los posibles objetivos, el atacante normalmente realizará búsquedas de
código abierto y / o vigilancia física inicial. Las siguientes fases del Ciclo de ataque de eventos
hostiles se centran en la selección de objetivos, la vigilancia intensa, la planificación y los
ensayos, finalizando efectivamente en el objetivo. Dependiendo de las intenciones del ataque
(individual o grupal), los objetivos a menudo se seleccionan por su valor simbólico o para crear
el mayor evento mediático para obtener publicidad para su causa. Por ejemplo, una
organización terrorista puede elegir un objetivo que pueda causar el mayor daño posible a la
mayoría de las personas, mientras que un ideólogo puede elegir un objetivo que no resulte en
muerte y destrucción, sino que se enfoque en algo que vaya en contra de sus creencias. No
importa el motivo, estos próximos pasos determinarán el éxito del ataque.

SELECCIÓN DE OBJETIVOS

Durante la fase de vigilancia inicial, los atacantes realizarán varios tipos de investigación sobre
objetivos potenciales para identificar la mejor oportunidad para el éxito. Ya sea a través de la
investigación en línea o a través de la vigilancia física de personas o lugares, esto ayuda a
establecer el escenario de la selección de objetivos. Luego, los atacantes pasarán tiempo
revisando sus observaciones, tomando notas, posiblemente realizando un seguimiento
adicional e investigando, y finalmente tomarán una decisión sobre el objetivo.

Desde una perspectiva de la amenaza, la selección de objetivos se basa en una serie de

factores que los atacantes trabajan consciente o inconscientemente, y pueden ser diferentes
de un grupo a otro. Algunos de estos factores incluyen los objetivos declarados en sus
proclamas, la dirección u orientación de los líderes centrales; recursos y medios disponibles
para que los atacantes lleven a cabo el ataque; la seguridad del objetivo potencial; y/o el
efecto o resultado deseado del ataque. La orientación específica de los niveles superiores de
Mandopuede influir en la selección del objetivo, o aquellos objetivos que un atacante puede
asociar o reconocer para ser un líder. Un actor solitario puede no tener un líder de línea
directa o supervisor, pero reciben orientación y dirección, directa e indirectamente de aquellos
que han sido asignados o asociados con roles de liderazgo. “Rumiyah” (revista del Estado
Islámico) es uno de esos ejemplos, como lo es la revista “Inspire”, la propaganda en línea más
famosa de Al-Qaeda. En 2016, ISIS lanzó "The Murtad Vote", un ensayo que aconsejabaa
posibles atacantes que eligieran al votante estadounidense con la sugerencia de que el votante
es tan culpable como sus representantes ya que toman una decisión de elegirlos. En “Rumiyah
9”, alentaron a sus miembros a adquirir armas y tomar rehenes no para pedir rescate, sino
para "crear la mayor cantidad de carnicería y terror que fuera posible". La principal motivación
es simplemente la carnicería y la destrucción. Si bien se detallan los detalles sobre cómo
retener a los rehenes, este tipo de ataque establece un modelo de orientación peligroso y
abierto. Efectivamente, todo está en juego mientras se logre la "carnicería y el terror".

Este tipo de orientación ideológica o dirigida,ayuda a establecer un precedente peligroso y

debe incluirse en la planificación de la seguridad y la actualización de “respuestas y cursos de
acción” sobre la inteligencia de amenazas. Nuevamente, dentro de Rumiyah 9, las "Tácticas de
Just Terror (sólo terror)" destacan los Ataques de camiones y enumeran los "objetivos ideales",
incluidos "Grandes festivales al aire libre, convenciones, celebraciones y desfiles", entre otros
objetivos. Sin embargo, la selección de objetivos también puede verse influenciada por
agravios como se describe en el reciente análisis del FBI en un estudio de los comportamientos
previos al ataque de los tiradores activos en los Estados Unidos entre 2000 y 2013": "la causa
de la angustia o el resentimiento del tirador activo" - no necesariamente basado en la realidad
- de haber sido tratado injustamente o tratado de manera inapropiada ".

Además, el agravio lleva a un sentido de injusticia y la necesidad de corregir lo incorrecto; sirve

como fundamento para que el atacante lleve a cabo su ataque y puede ayudar con la selección
del objetivo y empujará al atacante a la siguiente fase.

VIGILANCIA INTENSA

Una vez que se selecciona el objetivo, el atacante responderá todas las preguntas pendientes,
ampliará los esfuerzos de recopilación a través de la vigilancia y despejará todas las incógnitas
para asegurarse de que su ataque sea lo más exitoso posible como se hizo en las fases
anteriores. La vigilancia intensa es una actividad intensificada. Mientras que la vigilancia inicial
ayudará a identificar las debilidades potenciales, no va más allá de las acciones pasivas; los
atacantes quieren encontrar el mejor objetivo, pero no porque ese objetivo sea alertado de
incidentes sospechosos. Sobre la base de la vigilancia inicial, el período de intensa vigilancia
entrará en mucho más detalle e implicará mucho más "tiempo en el blanco", o el tiempo que
se dedica a observar y conocer el objetivo en profundidad. Esto le permite al atacante
aprender tanto como sea posible y ayudar a construir el plan de ataque. Al entrar en la
vigilancia y la selección de objetivos, el atacante probablemente tendrá un concepto inicial en
mente, pero la vigilancia ayudará a determinar si ese es un curso de acción viable. Y puede
incluso identificar vulnerabilidades adicionales que pueden hacer que el objetivo sea mucho
más susceptible a un ataque más grande.

Si bien todas las fases del ciclo de ataque son importantes, se puede argumentar que la intensa
fase de vigilancia puede tener el mayor impacto para determinar el éxito o el fracaso del
ataque. Como resultado, esta fase del Ciclo de ataque de eventos hostiles puede tomar un
largo período de tiempo. El atacante querrá saber definitivamente que el ataque será un éxito,
o al menos garantizarse el éxito en algún nivel. También es importante señalar que el acto de
vigilancia no necesita ser una actividad encubierta en la que un individuo o grupo se esconda
estrictamente en arbustos. Los atacantes pueden realizar la vigilancia como parte de sus
actividades diarias normales, como ir al centro comercial o visitar un lugar turístico. Ellos
conocerán el objetivo simplemente porque lo han visto lo suficiente como para saberlo.
Además, los grupos terroristas y extremistas brindan asesoramiento e información sobre
objetivos en sus canales de comunicación o propaganda para ayudar a los atacantes a
comprender sin tener que hacer mucha vigilancia física.

Sin embargo, un atacante puede utilizar varios métodos diferentes para realizar esta vigilancia.
Las dos formas más básicas son móviles (vigilancia en la que el atacante sigue al objetivo o
conduce por el objetivo a pie o en vehículo) y vigilancia estática o de punto fijo (vigilancia
desde una ubicación, es decir, un puesto de observación fuera de ubicación del objetivo). El
atacante puede usar cualquiera, pero una buena vigilancia incorpora ambos para aprender
tanto como sea posible. Además de las formas básicas, hay otras herramientas que los
atacantes pueden usar como vigilancia en línea: conocer el objetivo mediante el análisis de su
huella en línea (sitios web, redes sociales, etc.) y, como una rama de la vigilancia móvil, la
vigilancia aérea que incorpora drones para seguir discretamente un objetivo o vigilar una
ubicación fija. La vigilancia aérea se puede considerar parte de la vigilancia móvil o estática;
también es importante destacarlo como un área separada para indicar las amenazas
emergentes y la consideración de planificación y preparación de los drones.

Dependiendo del objetivo, algunos ejemplos clave de lo que la vigilancia intensa querrá
determinar incluyen, pero no están limitados a:

Si el objetivo es una persona: Confirmar el horario diario: desde y hacia el trabajo, actividades
después del trabajo, actividades de fin de semana ¿El objetivo varía los patrones de
viaje? Identificar asociados/conocidos. Identificar las ubicaciones que el objetivo visita con
frecuencia; ¿Cuál es el nivel de seguridad en esos lugares ?

Si el objetivo es una ubicación: ¿Cuáles son las capas de seguridad fuera y dentro de la
ubicación, hay patrullas itinerantes a pie por personal de seguridad o patrullas de vehículos,
con qué frecuencia y cuántas personas están involucradas? ¿La instalación tiene plataformas
de vigilancia externas? ¿La instalación tiene una recepcionista o área de registro de entrada?
¿Hay entradas alternativas que no son seguras?¿Tiene la instalación un muelle de carga o área
de entrega? ¿Cómo es esa seguridad? Con qué frecuencia se hacen entregas y en qué horario?
¿Cuál es la respuesta de seguridad a eventos o materiales sospechosos?

Es importante señalar y disipar un concepto erróneo: la vigilancia del objetivo no siempre tiene
que hacerse estrictamente en el sitio de destino. Por ejemplo, el ataque con una bomba del
concierto de Manchester en 2017 ocurrió en un estadio deportivo, y aunque el atacante quería
saber todo lo posible sobre este escenario específico, para este tipo de ataque, los detalles
específicos pudieron no haber sido necesarios. Por lo tanto, el atacante también puede usar
ubicaciones de tipo similar para identificar posibles vulnerabilidades reconociendo que
seguirán protocolos similares en sus planes de seguridad (¿por qué reinventar la rueda,
verdad?), El atacante puede haber hecho la vigilancia en otros lugares. Las organizaciones
deben reconocer que la amenaza está presente.

PLANIFICACIÓN Y ENSAYOS

El período inmediatamente anterior a la Planificación y los Ensayos, Vigilancia Intensa, es una

actividad particularmente acentuada para el atacante y el objetivo. El atacante habrá dedicado
más tiempo al objetivo para conocer en profundidad el objetivo. Esta información ayudará a
dar forma al plan de ataque y, de muchas maneras, le dejará claro al atacante el tipo de ataque
que se necesita. Sin embargo, a medida que cambian las fases, el nivel de exposición también
lo hace. Mientras que la vigilancia requiere un nivel de visibilidad con el objetivo, que puede
exponer al atacante al objetivo en diversos grados, la planificación y los ensayos se realizan
independientemente del objetivo. Tomando toda la información desarrollada hasta la fecha, el
atacante formalizará el plan y comenzará a construir las diversas fases del ataque: previo al
ataque, para incluir la planificación logística; acciones en el objetivo; y post-ataque (escape /
evasión / muerte). Un gran ejemplo para mostrar el nivel de detalle en la planificación fue
durante el ataque a la iglesia Charleston, Carolina del Sur en 2015. El atacante no solo realizó
una vigilancia intensiva, sino que siguió una planificación detallada y ensayos que incluyeron
disparar su arma y volver a cargar en varios lugares al aire libre y en su patio trasero. El
atacante eligió el objetivo, visitó el sitio e incluso realizó llamadas telefónicas a la ubicación.
Sabía cuándo tenía lugar una reunión de grupo porque su vigilancia (fuente discreta y abierta)
la había validado, y sabía que era la iglesia negra más antigua del sur. Llevó ocho cargadores
con 11 cartuchos cada una, a pesar de que podían contener hasta 13, para asegurar que
hubiera 88 balas. El número 88 es una referencia simbólica de Hitler. Su plan usar un original
era suicidarse cuando llegaran los policías, pero como no vinieron, huyó de la escena y estuvo
huyendo durante 17 horas antes de ser atrapado. Esto era parte del plan que le falló, no tenía
respaldo para una huida.

Dependiendo del tamaño del ataque y del número de atacantes, puede haber reuniones de
planificación formales o informales para discutir los detalles específicos del ataque. Los
detalles de cada fase son importantes para comprender el nivel de detalle que implica un
ataque y para ayudar a evaluar la seguridad y posiblemente implementar cambios según sea
necesario. Algunas de las consideraciones de planificación se enumeran a continuación:

Planificación previa al ataque:

Es de vital importancia asegurar que el atacante tenga las herramientas, el equipo y las armas
adecuados para llevar a cabo la tarea o, al menos, desarrollar una forma de adquirirlos. La
planificación logística también incluirá cómo llegará el atacante, y si el atacante tendrá que
escapar y evadir la aplicación de la ley.

Planificación de ataque:

El atacante tendrá que identificar cómo acercarse al objetivo y abandonar la ubicación del
objetivo. Si el objetivo es un edificio, ¿cómo entrará y saldrá el atacante? Aquí es donde la
vigilancia es críticamente importante. El atacante tendrá que saber qué obstáculos / seguridad
podría haber en el camino de su objetivo y cómo vencer esos obstáculos.

El atacante tendrá que asegurarse de tener la mejor oportunidad para cumplir su misión, por
lo que, dependiendo del método de ataque, deberá asegurarse de saber dónde está yendo y
dónde establecer el ataque. Si el ataque involucra a varias personas, cada uno tendrá roles y
responsabilidades asignados. La planificación del ataque matizará ésto y asignará tareas.

El atacante también deberá identificar la respuesta de la seguridad y de terceros y considerar

posibles variables que puedan afectar el logro de la tarea.

Planificación posterior al ataque:

Gran parte de esta parte depende de si el atacante intenta dar su vida para infligir tanto daño
y bajas como sea posible, o si el atacante intenta escapar y evadir la seguridad o la aplicación
de la ley.Si la supervivencia es una consideración, entonces algunas consideraciones de
evasión incorporarán la eliminación de equipos y armas. Una consideración de planificación
adicional es si se usa una red de soporte para ayudar a escapar y el plan para abandonar el
área inmediata.

Una vez que se ha planificado el ataque, será necesario que el atacante ensaye el plan y
especialmente los elementos clave del plan para garantizar que puedan ejecutar el plan
correctamente. Esto se puede lograr de una manera similar a un ejercicio de mesa o utilizando
un modelo escalable, que es un método más avanzado. Si es posible, una maqueta a escala
sería beneficioso para el atacante para ensayar correctamente. Esto ayudará al equipo a
identificar problemas potenciales. Esto también puede hacer que el atacante regrese y lleve a
cabo una vigilancia adicional o modifique un poco el plan, lo que podría ser una buena
oportunidad para identificar los indicadores de un ataque potencial. La familiaridad con el
objetivo tendrá un impacto grande como lo hizo la vigilancia. Entonces, ya sea que el ensayo
sea un modelo a escala real o un recorrido mental, a menudo se lleva a cabo una revisión y
ensayo del plan.

Para comprender si su Organización/ Entidad/ Empresa etc es un objetivo potencial, es

importante comprender primero el entorno de amenazas y las posibles amenazas para su (s)
organización (es) y su posible estado final: CONOCER LA AMENAZA.

Obtener y consumir Inteligencia contra amenazas a través de organizaciones que comparten

información, así como a través de socios gubernamentales, vecinos locales, servicios
profesionales y / o información de código abierto, y otros medios son importantes para
determinar el nivel de posibles amenazas y poder planificar las contramedidas. Comprender
esto y reconocer cómo pueden ocurrir los ataques contra su organización permitirá que los
equipos de seguridad desarrollen evaluaciones de riesgo informadas y desarrollen estrategias
sólidas de mitigación de los riesgos.
Las opiniones expresadas aquí son del autor y no están
necesariamente respaldadas por Homeland Security Today, que
acoge una amplia gama de puntos de vista en apoyo de la
seguridad de EEUU

David Pounder is a Gate 15 Senior Risk Analyst for

Intelligence and Analysis and a Security Vulnerability Assessment
Project Manager.