por Diofanor Rodríguez
CPP
Los delincuentes cada vez más se familiarizan con las tecnologías, sus posibilidades y sus limitaciones, lo que hace que, en muchas ocasiones, en especial en el campo de la información, el tener que desplazarse para cometer una felonía no es realmente necesario y sólo se necesitan de un buen equipo de computo y unos conocimientos medios sobre el tema informático para tratar de vulnerar los sistemas en las organizaciones.
A ello se suma que muchos de los “agujeros” o posibilidades que los delincuentes aprovechan, son los que nuestros empleados dejan por descuido o porque son parte de las bandas dedicadas a estos ciberdelitos. Un estudio reciente, generado por la empresa Donostiarra Servicios S21sec, muestra que el 85% de los delitos a través de los sistemas son cometidos por los empleados de las empresas y de allí se deduce que muchos de los empleados tienen una segunda actividad para lograr otros ingresos, que paradójicamente es delinquir en contra de la empresa que les da el trabajo.
Como vemos el escenario es poco alentador. La situación es peor si consideramos el hecho de que muchos de los que nos dedicados a la seguridad corporativa en las organizaciones desconocemos (sino en su totalidad si en gran parte), el como prevenir los delitos informáticos y como hacer búsqueda, recuperación y reconstrucción de la información a través de las computadoras.
Es aquí donde la informática forense juega un papel primordial como soporte, ayuda a nuestra labor de seguridad.
Crimen cibernético
Empecemos por decir que la informática forense es una ciencia sistémica, que se basa en hechos premeditados para luego buscar pruebas y proceder a su análisis. Se reconoce generalmente a Dan Farmer y Wietse Venema, los creadores del Forensics Toolkit, como los pioneros de la informática forense.
Actualmente, Brian Carrier es probablemente uno de los mayores expertos mundiales en el tema.
En el sentido informático, son las aplicaciones las que cumplen un papel protagónico en el recaudo de las pruebas y la información que se necesita.
En la computación forense, la escena del crimen no sólo está referida a un lugar físico específico, sino que está dada por el computador y la red a la cual se encuentra conectado, llámese LAN o WAN. Como se puede observar, el escenario es complejo, pues la escena puede ser un mundo de sitios visitados, varios correos y en general gran parte del ciberespacio.
Es de mucho interés para el hombre de seguridad integral saber que en el momento de reconstruir una escena del crimen a través de los computadores, ello se puede hacer por medio de los registros que dejan los sistemas y que nos pueden indicar si las operaciones se realizaron mediante una modificación parcial o total de la información, cual fue el PC utilizado, cuales fueron las herramientas y que tipo de información fue enviada por medio de los correos electrónicos; sólo para mencionar algunas de las cosas que se pueden hacer.
Es necesario entender que cuando se encuentra un equipo de computo donde se presume que se cometió el ilícito se debe dejar como se encuentra. Esto es, si está apagado debe quedarse de esa manera y si se encuentra encendido debe dejarse así; toda vez que existen unas pruebas o unos registros en la memoria volátil del equipo se perderán si se modifica la forma en que fue encontrado.
Reconstrucción de los hechos
Es importante traer a colación una pregunta hecha al Doctor Jeimy Cano, Ingeniero de Sistemas y Computación de la Universidad de los Andes (Colombia), realizada por Virusprot en el año 2002 que textualmente dice: ”¿cuánto se puede tardar en reunir las suficientes pistas que den con el autor de un ataque? La respuesta a esa pregunta fue contundente: “es una pregunta bastante complicada de responder, pues muchas veces el informático forense se debe preparar para fallar en la identificación de la persona real que cometió el ataque. Pues la versatilidad que ofrece el Internet para enmascarar direcciones IP, correos electrónicos, entre otros sugiere un gran conocimiento técnico y paciencia por parte de los atacantes, los cuales consideran también estrategias “anti-forenses” que limitan las investigaciones y la efectividad de las mismas. Luego, la recolección de las pistas puede ser demorada, en algunos casos se puede tardar años en esta labor”. Como podemos observar, las cosas no son fáciles, pero se puede llegar a las soluciones cuando realmente se conoce quien nos puede ayudar.
Debemos recordar que lo que siempre se quiere y necesita es mantener la escena del crimen sin alteraciones, pues ello resulta de vital importancia para las investigaciones del tipo informático.
El Doctor Jeimy Cano en una conferencia realizada en la Facultad de Derecho de la Universidad de los Andes, manifestaba que para realizar una pericia del tipo informático se debe por lo menos respetar siete pasos para hacerla valida:
•Se deben utilizar medios forenses estériles
•Mantener la integridad de medio original
•Identificar las posibles evidencias en la escena del delito
•Etiquetar, controlar y transmitir adecuadamente las copias de los datos, impresiones y resultados de la investigación
•Análisis de los datos identificados
•Presentación y sustentación de los resultados
•Validación y verificación de los procedimientos aplicados
El no mantener correctamente estos pasos nos lleva a que sucedan eventos como eliminar cualquier posibilidad de persecución del agresor; toda vez que se modifique la escena del crimen no se puden calcular los daños estimados con un grado de certeza.
Es importante además, que cuando se trabaje en discos duros se haga una copia clon, es decir uno idéntico al original copiado bit a bit. De hecho, es aconsejable realizar tres copias del disco original, también es muy importante asegurar las pruebas en cajas fuertes y en el caso de discos evitar los lugares de interferencia magnética que puedan afectarlos.
Es de vital importancia trabajar en el análisis de la comunicación de datos. Lo interesante en esto son dos cosas: la primera es la intrusión en una red de computadoras o el mal uso de las mismas, y la segunda es la interceptación de datos.
Como hemos visto, las posibilidades que se tienen para contribuir en el esclarecimiento de un fraude, un hurto de información sensible, una adulteración parcial o total de archivos y hasta el simple hecho de perdidas de tiempo por hacer mal uso del Internet y el correo corporativo son altas. Lo interesante es que podamos saber que existen las herramientas y los expertos que hacen más sólida nuestra labor de seguridad.
En este contexto, es absolutamente vital que la persona que maneja la seguridad corporativa de las organizaciones trabaje mancomunadamente con el encargado de IT para generar valor agregado en nuestras organizaciones. Pues no podemos estar siempre diciendo eso no es problema mio.
El desafío está pues en el entender la tecnología para darle las aplicaciones que se necesitan dentro de nuestro trabajo diario en la seguridad. Esta ciencia que es la informática forense nos esta mostrando muchos beneficios si la aplicación es la correcta, aunque obviamente el tema no es sencillo, pero si por lo menos logramos entender sus fundamento estaremos contribuyendo desde nuestros puestos de trabajo al logro de los objetivos de esta ciencia. Y… recordemos, que la escena del crimen no debe ser movida bajo ninguna circunstancia.
Referencias: artículos y entrevistas del Doctor Jeimy J. Cano, Ph.D, CFE. egresado del Programa de Ingeniería y Maestría en Sistemas y Computación de la Universidad de Los Andes.
No hay ideas en “Contribución de la informática forense a la seguridad”
- Aumento de visitas a Expo Seguridad México colma expectativas y alcanza el 15% México. Unos 24.000 metros cuadrados del Centro Citibanamex albergaron durante tres días las más recientes ediciones de Expo Seguridad México (ESM) y Expo Seguridad...
- Nuevo presidente de ALAS, Manuel Zamudio, habla para Ventas de Seguridad Latinoamérica. El ejecutivo cuenta en su haber con más de 25 años vinculado a la Asociación Latinoamericana de Seguridad, en cuyo seno ha fungido como instructor,...
- Inauguran Tecnosinergia Express Plus en Ciudad de México México. Ubicada en la Avenida Marina Nacional, alcaldía Miguel Hidalgo, la nueva tienda de Tecnosinergia fue construida bajo un concepto innovador que reúne, en un solo...
- Siasa distribuirá la tecnología HID Vento en la región Latinoamérica. El distribuidor mayorista de tecnología de seguridad Siasa anunció el refuerzo de su asociación comercial con el fabricante HID Global, para comercializar su...
- SECO-LARM desarrolla una nueva cerradura universal para puerta de perfil bajo Internacional. Con solo una pulgada (26 mm) de profundidad, este cerrojo de SECO-LARM ofrece una solución compacta para marcos de puertas de metal y madera, adaptándose...
- Asis lanzó un nuevo marco integral para evaluar riesgos de seguridad Internacional. El ASIS Security Risk Assessment (SRA) proporciona una descripción general completa de cómo realizar la evaluación y gestión de los riesgos de seguridad en...
- Morse Watchmans presenta innovaciones para control de claves y gestión de inventario Internacional. Recientemente, Morse Watchmans ha participado en varias ferias internacionales, donde ha exhibido productos como el nuevo EKG de agarre de llaves de...
- Vivotek presenta soluciones de seguridad basadas en AI Internacional. La compañía Vivotek ha venido promocionando la denominada “fortaleza diferenciadora” de sus soluciones de vigilancia IP, a la par que su enfoque 2024: Make...
- Genetec presenta su solución Security Center SaaS México. El fabricante Genetec realizó en Ciudad de México un evento durante el cual llevó a cabo una completa demostración de su solución Security Center SaaS.
- "Nuestra cartera de productos continúa evolucionando”: Altronix Internacional. Durante la pasada edición de ISC West, Altronix tuvo la oportunidad de mostrar sus soluciones de acceso e integración de energía, transmisión de datos,...
- Resideo adquirirá a Snap One Internacional. Resideo acordó adquirir Snap One por US $10,75 dólares por acción en efectivo, lo que representa un valor de transacción de aproximadamente US $1.400...
- IDIS despliega en exhibición una amplia gama de productos durante ISC West Internacional. IDIS Americas, la nueva unidad de negocios de IDIS formada a partir de la reciente fusión de IDIS America y Costar Technologies, exhibió su cartera combinada...
- Vitaprotech firma acuerdo de compra de acciones y activos con Identiv Internacional. Con el apoyo de Seven2 y BPIfrance, Vitaprotech anuncia la firma de un acuerdo de compra de acciones y activos para adquirir las operaciones y activos de...
- Implementan solución de reconocimiento facial en principal aeropuerto de Perú Perú. La empresa de software de reconocimiento facial RecFaces ha anunciado que su producto Id-Guard fue instalado en el Aeropuerto Internacional Jorge Chávez de Lima, la...
- Microsegmentación contuvo ataque de ransomware en institución bancaria Latinoamérica. El abuso desenfrenado de las vulnerabilidades de día cero en los últimos seis meses ha provocado un crecimiento del 143% en el número de víctimas, según la...
Deje su comentario