Saltar al contenido
OSINT AI One

Modulos de analisis

Los tres modulos de analisis avanzado en src/analysis/ van mas alla de consultar APIs — implementan algoritmos propios sobre los datos.

Anomaly Detector

Detecta si una entidad tiene una actividad de menciones inusualmente alta (pico de noticias, escalada repentina).

Algoritmo

Implementa el algoritmo de Welford para calcular media y varianza de forma incremental sin almacenar todos los datos historicos. Cuando una nueva observacion esta mas de N desviaciones estandar por encima de la media, se considera una anomalia.

from src.analysis.anomaly_detector import check_entity_anomaly


result = await check_entity_anomaly("Conti ransomware group")
# Si hay pico de menciones en GDELT/noticias:
# → {"anomaly": true, "z_score": 4.2, "reason": "Spike en menciones en ultimas 24h"}

Casos de uso

  • Detectar si un actor de amenaza esta siendo mas activo de lo normal
  • Alertar cuando un dominio empieza a aparecer masivamente en noticias
  • Monitorizar cuando una empresa objetivo tiene actividad mediatica inusual

Market Correlation

Busca correlaciones estadisticas entre un IOC o evento y senales de mercado (criptomonedas, indices, materias primas).

from src.analysis.market_correlation import correlate_with_market


result = await correlate_with_market(
    entity="LockBit ransomware",
    market="bitcoin",
    days=30
)

Para que sirve

  • Investigaciones de ransomware: ¿Hay correlacion entre ataques de un grupo y movimientos de Bitcoin?
  • Analisis geopolitico: ¿Como afecto este ciberataque al mercado de energia?
  • Contexto financiero en investigaciones de fraude

Limitaciones

  • Correlacion no implica causalidad
  • Requiere historial suficiente (minimo 14 dias de datos)
  • Las correlaciones espurias son comunes en datos de alta volatilidad

Narrative Detector

Detecta y agrupa clusters de narrativas en cobertura mediatica usando datos de GDELT.

from src.analysis.narrative_detector import detect_narratives


result = await detect_narratives("Russia Ukraine cyber operations", days=7)

Que devuelve

  • Clusters de narrativas identificadas (p.ej. “atribuciones a grupos APT”, “impacto en infraestructura critica”)
  • Fuentes mas activas en cada narrativa
  • Tono dominante por narrativa
  • Evolucion temporal de cada narrativa

Casos de uso

  • Analisis de campanas de desinformacion: identificar narrativas coordinadas
  • Contexto de geopolitica: entender como diferentes paises cubren el mismo evento
  • Seguimiento de atribuciones: como se desarrolla la atribucion de un ciberataque en los medios

Integracion con el agente

El agente ReAct puede invocar estos modulos cuando detecta que son relevantes:

osint> Analiza si el grupo Lazarus esta mas activo que lo normal este mes


→ check_entity_anomaly("Lazarus APT")
→ gdelt_entity_search("Lazarus Group")
→ detect_narratives("Lazarus North Korea cyber")

Los resultados se integran en el informe final como contexto de inteligencia.