Evidencia y análisis forense digital

Publicado en Artículos, Seguridad,


Tweet about this on TwitterShare on Google+2Share on Facebook0Share on LinkedIn0

En la actualidad cualquier dispositivo digital que forma parte de la vida de una persona es capaz de generar información que puede convertirse en evidencia valiosa en caso de presentarse un incidente de seguridad; ya sea en forma de una fotografía, documento, registro de geo localización GPS, mensaje de texto, correo electrónico o incluso un número telefónico registrado como parte de una llamada. Esta evidencia es útil para investigar casos relacionados con actividades cibercriminales o de ataques informáticos, el problema es que muchas veces la recolección y el manejo de esta información no se realizan de manera adecuada.

La mayoría de las empresas aún no cuentan con políticas o normas que refieran como debe realizarse la respuesta a un incidente de estas características. La falta de preparación y conocimiento de los procedimientos para manejar estos incidentes lleva muchas veces a privilegiar la continuidad de las operaciones del negocio, sin averiguar de donde provino el ataque o cual fue el grado de impacto y afectación.

Con el creciente numero de ataques dirigidos o de APTs vale la pena revisar la importancia que tiene elevar el nivel de consciencia de las organizaciones en este sentido. Un malware hecho a la medida con el fin de realizar labores de ciberespionaje o sabotaje y que no es detectado a tiempo o que no se llega a conocer cual fue su origen puede provocar daños importantes para las organizaciones. Peor aun, si se logra detectar y rastrear el origen pero no se llevaron a cabo los procedimientos adecuados, el resultado será que cualquier evidencia obtenida durante el proceso de investigación no podrá ser utilizada en una corte en caso de pretender llevar a juicio a los delincuentes.

¿Cuáles son entonces los procedimientos adecuados? ¿Existe alguna norma o regulación internacional? ¿Cualquier persona puede realizar estos procedimientos?

Procedimientos para realizar una investigación forense digital

La realización de una investigación forense digital se puede dividir en 4 fases principales:

  • Adquisición
  • Preservación
  • Análisis
  • Presentación

Adquisición

Esta fase es sumamente importante y contempla la obtención de información por medio de copias desde los dispositivos donde se sospeche que pudiera existir evidencia que ayude a la investigación del caso. Estas copias deben realizarse con herramientas especiales que permitan la transferencia bit a bit de la información y la generación de una firma digital basada en un algoritmo hash para garantizar la integridad de la evidencia obtenida.

Para la realización de los procedimientos de esta fase es muy importante que se cuente con la preparación adecuada y las herramientas correctas ya que cualquier error puede provocar la contaminación o pérdida de la evidencia y que esta pueda ser inadmisible en la corte en un eventual juicio.

Actualmente existen RFC como el 3227 – Guidelines for Evidence Collection and Archiving, que define las buenas prácticas en relación a la forma como debe recolectarse la evidencia de un equipo de un dispositivo digital.

Adicionalmente existen procedimientos que se deben seguir de forma cuidadosa, como son el aseguramiento de la escena y seguir la regla de, si el equipo se encuentra encendido, realizar el procedimiento sin apagar el equipo y si el equipo se encuentra apagado, no encenderlo para evitar compromiso de la evidencia.

Algunos de los procedimientos más importantes para realizar en la etapa de la recolección es:

  • Fotografiar la escena
  • Realizar entrevistas con las personas que conocen del caso
  • Documentar los procedimientos
  • Realizar un inventario de cada elemento a ser analizado, esto pudiera incluir: cables de red, dispositivos USB, CD o DVD
  • Almacenar todo en empaques o bolsas especiales con etiquetas para guardar evidencia, estas bolsas están hechas de material especial para evitar que el contenido se dañe.

Preservación

Una vez que se ha obtenido la información de los dispositivos es muy importante mantener y preservar dicha información. Para ello debe realizarse un procedimiento denominado “Cadena de Custodia” que consiste en generar un documento que contenga la información de los dispositivos de los cuales se realizaron copias digitales como números de serie, marcas, modelos, firmas digitales, persona que realizo el procedimiento, además de incluir el nombre y firma con fecha de la persona que entrega el dispositivo original, así como de la persona que lo recibe.

El objetivo de la Cadena de Custodia es documentar el traslado y posesión de los dispositivos digitales o medios de donde se obtuvo la información para la realización de la investigación, desde que inicia el proceso, durante la investigación y hasta que finalice el juicio o la investigación para garantizar que no exista contaminación, daño, alteración o manipulación de la evidencia y de esta forma mantener la confiabilidad en el proceso.

Análisis

Ya en el laboratorio forense, comienza la fase de análisis de evidencia en el laboratorio. Éste es un proceso que puede ser laborioso y la duración de esta fase depende de la complejidad del caso y el alcance de lo que se esta buscando.

Adicionalmente se presentan varios inconvenientes para poder realizar la investigación, por ejemplo, el equipo o alguna información pudieran estar protegidos con contraseña, cifrados o manipulados para ocultar sus contenidos mediante técnicas como estenografía o incluso algo tan simple como cambiar las extensiones de los archivos para hacer creer que estos están dañados.

En esta etapa es fundamental contar con las herramientas adecuadas así como el conocimiento, experiencia e intuición del investigador.

Presentación

Una vez concluida la investigación se preparan los informes correspondientes con los hallazgos encontrados respaldados con evidencia robusta y confiable.

Existen diferentes tipos de informes y mucho dependerá del tipo de investigación realizada, por ejemplo, el informe puede ser dirigido hacia los directivos de la empresa que solicitó la investigación pero que no están considerando darle un cauce legal, o puede ser un informe detallado que incluya términos legales para ser presentado en una corte para un juicio.

Existen informes que incluyen contenido altamente técnico o aquellos que sólo resaltan los aspectos más importantes de la investigación sin contener información muy técnica y en un lenguaje más cotidiano.

Importancia de la evidencia digital

Como podemos observar, en todo este procedimiento la evidencia juega un papel fundamental ya que para poder demostrar un supuesto se debe contar con todos los elementos de prueba que respalden la forma como se dio el incidente y permitan responder 6 preguntas clave: Qué, Quién, Cómo, Cuándo, Dónde y Por qué.

Por esa razón es muy importante que se lleven a cabo los procedimientos adecuados en la obtención y manejo de la evidencia ya que su confiabilidad representa nuestro único elemento de prueba para demostrar algo.

Los retos

Los ciberdelincuentes utilizan, cada vez con mayor frecuencia, herramientas y técnicas antiforenses con la idea de confundir, complicar y entorpecer la labor de los investigadores.

Por otro lado, la mayoría de los países no tienen una legislación clara en relación a los delitos informáticos y en el peor de los casos ni siquiera existen leyes para poder perseguir estos delitos.

De nada sirve que se realicen todos los procesos de investigación si al final las pruebas obtenidas no tendrán una validez o peso legal debido a los huecos o carencias de las leyes. En algunos otros casos existe una brecha generacional y tecnológica en los jueces y muchos de ellos mantienen una verdadera resistencia al cambio, lo que conlleva al rechazo de evidencia obtenida digitalmente.

La falta de información en la materia por parte de las empresas o incluso los abogados es otro factor importante ya que muchos de los delitos o incidentes informáticos no se denuncian debido a que se asume que será costoso el proceso y al final no se tendrán resultados.

Incidentes relacionados con malware

Uno de los incidentes con mayor crecimiento en los últimos meses es el relacionado con la presencia de malware. Hemos visto como compañías verdaderamente importantes e incluso relacionadas con seguridad informática han sido victimas de ataques dirigidos sin que sus sistemas de monitoreo o de seguridad los hayan detectado.

Es muy importante en este tipo de incidentes realizar los procedimientos adecuados de primera respuesta una vez que el ataque haya sido detectado. Inicialmente se puede obtener información volátil que incluya conexiones de red, puertos abiertos, información de caches, memoria, entre otras cosas. Posteriormente se extrae la información del disco duro o unidad de almacenamiento siguiendo los procedimientos forenses. La forma en que se obtenga la información será fundamental para que la evidencia encontrada sea aceptada en una corte en caso de que se quiera llevar el caso a juicio. Lo recomendable es tratar cada incidente como si la evidencia obtenida se fuera a utilizar como elemento probatorio legal.

Conclusiones

Con la masificación de Internet, el uso de dispositivos móviles y las operaciones financieras en línea, el número de amenazas e incidentes crecerá de manera importante. El cibercrimen genera ganancias cada vez más grandes y se extiende por todo el mundo.

Se debe crear consciencia dentro de las organizaciones acerca de la importancia de contar con políticas y procedimientos relacionados con una respuesta a incidentes de seguridad, además se debe trabajar en crear una cultura para que se implementen mecanismos de monitoreo y registro de actividades desde una perspectiva forense. Esto permitirá facilitar la labor de investigación al momento de utilizar esa información en busca de evidencia.

Mientras no existan leyes adecuadas al nuevo escenario mundial, lograr que se acepten las pruebas obtenidas en una investigación será una labor compleja y llena de retos, se debe instar a los legisladores de los países a que trabajen con leyes que reduzcan el desfase que existen respecto a los delitos informáticos.

Es importante que los profesionales en seguridad se preparen y conozcan acerca de la importancia en la obtención y manejo de la evidencia ya que cualquier error u omisión puede entorpecer la validez de la información encontrada.

La evidencia es un elemento fundamental para poder perseguir y encontrar a los culpables detrás de un delito informático, como menciona Grissom, el personaje del programa CSI, “Sí la perfección no existe, el crimen perfecto tampoco”.


Por Roberto Martínez | vía bSecure

Califica esta entrada

Etiquetas:


Deja un comentario

Cuanto es 11 + 16 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos