Logo Revista de Seguridad

Análisis forense digital: ¿Qué sucede tras un ciberataque?

El análisis forense se aplica en casos como delitos informáticos, fraudes, intrusiones en sistemas, robo de datos y, por cierto, en la confección de auditorías, mediante técnicas de recopilación y peritaje exhaustivo de datos con el objetivo de entender la naturaleza del ataque.
Análisis forense y ciberataque

De la ficción a la realidad. Es algo que vemos en películas y series, pero recolectar, preservar, examinar y analizar la evidencia que queda tras un crimen cibernético es esencial para determinar sus alcances e impactos, además de ser un proceso fundamental para definir los siguientes pasos.

Como todo delito, fraude o robo, se requiere de una investigación exhaustiva que permita determinar los impactos, daños y responsables. Y en el delito digital ocurre lo mismo. El análisis forense se aplica en casos como delitos informáticos, fraudes, intrusiones en sistemas, robo de datos y, por cierto, en la confección de auditorías, mediante técnicas de recopilación y peritaje exhaustivo de datos con el objetivo de entender la naturaleza del ataque.

“Se trata de una disciplina que está creciendo en los últimos años, relacionada con casos de estudio de delitos financieros, evasión de impuestos, investigación sobre seguros, acoso o pedofilia, robo de propiedad intelectual, fuga de información y ciberterrorismo o ciberdefensa”, explica Mario Micucci, Investigador de Seguridad informática de ESET Latinoamérica.

Para entenderlo, en el contexto de las Ciencias de la Criminalística, podemos resumir el análisis forense en cinco fases que facilitan la verificabilidad y la reproducibilidad del análisis.

Adquisición y recopilación de evidencias. En esta fase se obtienen copias de la información que se sospecha que puede estar vinculada con algún incidente. Hay que evitar modificar cualquier tipo de dato utilizando siempre copias bit a bit con las herramientas y dispositivos adecuados. Este tipo de copia es imprescindible, porque nos dejará recuperar archivos borrados o particiones ocultas, arrojando como resultado una imagen de igual tamaño al disco estudiado. Rotulando con fecha, hora y huso horario, las muestras deberán ser aisladas en recipientes que no permitan el deterioro ni el contacto con el medio. 

En muchos casos, esta etapa es complementada con el uso de fotografías con el objetivo de plasmar el estado de los equipos y sus componentes electrónicos. Todo este proceso se debe llevar a cabo considerando la utilización de guantes, bolsas antiestáticas y jaulas de Faraday para depositar dispositivos que puedan interaccionar con ondas electromagnéticas, como los celulares, para asegurar la integridad y evitar cambios accidentales o maliciosos.

Preservación. En esta etapa se garantiza que la información recopilada no se destruya o sea transformada. Nunca debe realizarse un análisis sobre la muestra incautada, sino que deberá ser copiada y sobre ella se deberá realizar la pericia. Aquí es donde aparece el concepto de cadena de custodia, que es un acta en donde se registra el lugar, fecha, analista y demás actores que manipularon la muestra. En muchos casos deberemos utilizar las técnicas de Hashes para identificar de forma unívoca determinados archivos que podrían ser de gran utilidad para la investigación.

Análisis. Finalmente, una vez obtenida y preservada la información , se pasa a la parte más compleja, la fase más técnica, donde se utilizan tanto hardware como software específicamente diseñados para el análisis forense. Si bien existen métricas y metodologías que ayudan a estructurar el trabajo de campo, se podrán obtener grandes diferencias dependiendo de las herramientas que se utilicen, las capacidades y experiencia del analista.

Además, es muy importante tener en claro qué es lo que estamos buscando, debido a que esto dará un enfoque más preciso a la hora de ir a buscar pruebas. Sin embargo, el estudio de la línea de tiempo (timeline), logs de accesos y una descarga de la memoria RAM será muy útil para la mayoría de las pericias. Es muy importante en esta instancia la evaluación de criticidad del incidente encontrado y los actores involucrados en él.

Documentación. Si bien esta es una etapa final, recomendamos ir documentando todas las acciones, en lo posible, a medida que vayan ocurriendo. Aquí, ya debemos tener claro por nuestro análisis qué fue lo sucedido y poner énfasis en aspectos críticos y relevantes a la causa. En esta etapa debemos citar y adjuntar toda la información obtenida, estableciendo una relación lógica entre las pruebas obtenidas y las tareas realizadas, asegurando la repetibilidad de la investigación.

Presentación. Normalmente, se suelen usar varios modelos para la presentación de esta documentación. Primero se entrega un informe ejecutivo que muestre los rasgos más importantes de forma clara, certera y concisa y que pondere por criticidad en la investigación, sin entrar en detalles técnicos.

Luego un segundo informe, llamado “Informe Técnico”, detalla en mayor grado y precisión todo el análisis realizado, resalta técnicas y resultados, dejando de lado las opiniones. Esta es solo una manera de presentar la documentación y no debemos olvidar que la misma debe poder soportar un escrutinio legal, por lo que es importante guiarse por el método procedimental que plantea la teoría de la criminalística.

“A la hora de auditar un incidente de seguridad, hay que tener clara su naturaleza, ser meticulosos y estructurados en las observaciones y detallar con la mayor precisión posible. Asegurando preservar la muestra en estado original y siempre trabajando sobre copias realizadas bit a bit, lograremos ir alineados a las metodologías estandarizadas internacionales, las cuales nos darán pie a presentar nuestros resultados con un soporte legal ante alguna Institución que lo requiera”, sentencia Micucci.

NOTICIAS

Últimas actualizaciones en el ámbito de la Seguridad

Buscar en el portal