Contribución de la informática forense a la seguridad

La seguridad en los tiempos modernos ha evolucionado mucho y de diferentes maneras. Al mismo tiempo, casi de manera simultánea, los delincuentes han venido mutando sus modus operandis en el ejercicio de sus quehaceres.

Los delincuentes cada vez más se familiarizan con las tecnologías, sus posibilidades y sus limitaciones, lo que hace que, en muchas ocasiones, en especial en el campo de la información, el tener que desplazarse para cometer una felonía no es realmente necesario y sólo se necesitan de un buen equipo de computo y unos conocimientos medios sobre el tema informático para tratar de vulnerar los sistemas en las organizaciones.

A ello se suma que muchos de los “agujeros” o posibilidades que los delincuentes aprovechan, son los que nuestros empleados dejan por descuido o porque son  parte de las bandas dedicadas a estos ciberdelitos. Un estudio reciente, generado por la empresa Donostiarra Servicios S21sec, muestra que el 85% de los delitos a través de los sistemas son cometidos por los empleados de las empresas y de allí se deduce que muchos de los empleados tienen una segunda actividad para lograr otros ingresos, que paradójicamente es delinquir en contra de la empresa que les da el trabajo.

Como vemos el escenario es poco alentador. La situación es peor si consideramos el hecho de que muchos de los que nos dedicados a la seguridad corporativa en las organizaciones desconocemos (sino en su totalidad si en gran parte), el como prevenir los delitos informáticos y como hacer búsqueda, recuperación y reconstrucción de la información a través de las computadoras.  

Es aquí donde la informática  forense juega un papel primordial como soporte, ayuda a nuestra labor de seguridad.

Crimen cibernético

Empecemos por decir que la informática forense es una ciencia sistémica, que se basa en hechos premeditados para luego buscar pruebas y proceder a su análisis. Se reconoce generalmente a Dan Farmer y Wietse Venema, los creadores del Forensics Toolkit, como los pioneros de la informática forense.

Actualmente, Brian Carrier es probablemente uno de los mayores expertos mundiales en el tema.

En el sentido informático, son las aplicaciones las que cumplen un papel protagónico en el recaudo de las pruebas y la información que se necesita.

En la computación forense, la escena del crimen no sólo está referida a un lugar físico específico, sino que está dada por el computador y la red a la cual se encuentra conectado, llámese LAN o WAN. Como se puede observar, el escenario es complejo, pues la escena puede ser un mundo de sitios visitados, varios correos y en general gran parte del ciberespacio.

Es de mucho interés para el hombre de seguridad integral saber que en el momento de reconstruir una escena del crimen a través de los computadores, ello se puede hacer por medio de los registros que dejan los sistemas y que nos pueden indicar si las operaciones se realizaron mediante una modificación parcial o total de la información, cual fue el PC utilizado, cuales fueron las herramientas y que tipo de información fue enviada por medio de los correos electrónicos; sólo para mencionar algunas de las cosas que se pueden hacer.   

Es necesario entender que cuando se encuentra un equipo de computo donde se presume que se cometió el ilícito se debe dejar como se encuentra. Esto es, si está apagado debe quedarse de esa manera y si se encuentra encendido debe dejarse así; toda vez que existen unas pruebas o unos registros en la memoria volátil del equipo se perderán si se modifica la forma en que fue encontrado.

Reconstrucción de los hechos

Es importante traer a colación una pregunta hecha al Doctor Jeimy Cano, Ingeniero de Sistemas y Computación de la Universidad de los Andes (Colombia), realizada por Virusprot en el año 2002 que textualmente dice: ”¿cuánto se puede tardar en reunir las suficientes pistas que den con el autor de un ataque? La respuesta a esa pregunta fue contundente: “es una pregunta bastante complicada de responder, pues muchas veces el informático forense se debe preparar para fallar en la identificación de la persona real que cometió el ataque. Pues la versatilidad que ofrece el Internet para enmascarar direcciones IP, correos electrónicos, entre otros sugiere un gran conocimiento técnico y paciencia por parte de los atacantes, los cuales consideran también estrategias “anti-forenses” que limitan las investigaciones y la efectividad de las mismas.  Luego, la recolección de las pistas puede ser demorada, en algunos casos se puede tardar años en esta labor”. Como podemos observar, las cosas no son fáciles, pero se puede llegar a las soluciones cuando realmente se conoce quien nos puede ayudar.

Debemos recordar que lo que siempre se quiere y necesita es mantener la escena del crimen sin alteraciones, pues ello resulta de vital importancia para las investigaciones del tipo informático.

El Doctor Jeimy Cano en una conferencia realizada en la Facultad de Derecho de la Universidad de los Andes, manifestaba que para realizar una pericia del tipo informático se debe por lo menos respetar siete pasos para hacerla valida:

•Se deben utilizar medios forenses estériles
•Mantener la integridad de medio original
•Identificar las posibles evidencias en la escena del delito
•Etiquetar, controlar y transmitir adecuadamente las copias de los datos, impresiones y resultados de la investigación
•Análisis de los datos identificados
•Presentación y sustentación de los resultados
•Validación y verificación de los procedimientos aplicados

El no mantener correctamente estos pasos nos lleva a que sucedan eventos como eliminar cualquier posibilidad de persecución del agresor; toda vez que se modifique la escena del crimen no se puden calcular los daños estimados con un grado de certeza.

Es importante además, que cuando se trabaje en discos duros se haga una copia clon, es decir uno idéntico al original copiado bit a bit. De hecho, es aconsejable realizar tres copias del disco original, también es muy importante asegurar las pruebas en cajas fuertes y en el caso de discos evitar los lugares de interferencia magnética que puedan afectarlos.

Es de vital importancia trabajar en el análisis de la comunicación de datos. Lo interesante en esto son dos cosas: la primera es la intrusión en una red de computadoras o el mal uso de las mismas, y la segunda es la interceptación de datos.

Como hemos visto, las posibilidades que se tienen para contribuir en el esclarecimiento de un fraude, un hurto de información sensible, una adulteración parcial o total de archivos y hasta el simple hecho de perdidas de tiempo por hacer mal uso del Internet y el correo corporativo son altas. Lo interesante es que podamos saber que existen las herramientas y los expertos que hacen más sólida nuestra labor de seguridad.

En este contexto, es absolutamente vital que la persona que maneja la seguridad corporativa de las organizaciones trabaje mancomunadamente con el encargado de IT para generar valor agregado en nuestras organizaciones. Pues no podemos estar siempre diciendo eso no es problema mio.

El desafío está pues en el entender la tecnología para darle las aplicaciones que se necesitan dentro de nuestro trabajo diario en la seguridad. Esta ciencia que es la informática forense nos esta mostrando muchos beneficios si la aplicación es la correcta, aunque obviamente el tema no es sencillo, pero si por lo menos logramos entender sus fundamento estaremos contribuyendo desde nuestros puestos de trabajo al logro de los objetivos de esta ciencia. Y… recordemos, que la escena del crimen no debe ser movida bajo ninguna circunstancia.

Referencias: artículos y entrevistas del Doctor Jeimy J. Cano, Ph.D, CFE. egresado del Programa de Ingeniería y Maestría en Sistemas y Computación de la Universidad de Los Andes.