En la actualidad nos desarrollamos en un mundo digital relativamente globalizado en donde IoT, smartphones, servidores y computadores personales pueden ser víctimas de los más diversos ataques cibernéticos apuntados en contra de negocios, personas o instituciones. En muchas ocasiones y de la mano de la informática forense estos hechos son denunciados ante la justicia, en la cual se deberán presentar evidencias digitales que serán de gran ayuda la hora de esclarecer un ilícito.

La evidencia digital es todo lo que pueda almacenar información de forma física o lógica que logre ayudar a esclarecer un caso

Es importante entender que se define a la evidencia digital como el conjunto de datos o información en formato binario, como por ejemplo ficheros, su contenido o referencias a éstos (metadatos), capturas de tráfico o conexiones de red, imágenes de discos o tarjetas, o memoria volátil del sistema atacado, entre otros, que puedan ser utilizados en una corte para esclarecer un hecho o incidente de seguridad. En otras palabras, es todo aquel elemento que pueda almacenar información de forma física o lógica que logre ayudar a esclarecer un caso.

Esta debe ser relevante, es decir que tenga relación con el delito bajo investigación y que haya sido obtenida en un modo legal. Además, debe estar correctamente identificada (respetando su cadena de custodia) y ser confiable es decir que no haya sido modificada.

Existen varias metodologías, entre las cuales podemos mencionar la RFC 3227; en ella se explica detalladamente el modo correcto de preservar una evidencia digital, pero no está de más recordar las siguientes cuestiones con el objetivo de no invalidar el proceso de recolección de información.

1. No cambiar el estado del dispositivo

apagar-dispositivo

Básicamente, si se encuentra prendido no se debe apagarlo, ya que se perderían todos los datos volátiles como por ejemplo procesos activos, y todo lo que esté cargando en la memoria RAM.

En caso contrario, cuando el dispositivo se encuentre apagado no debe encenderse, debido a que al cargarse nuevamente el sistema podría sobrescribir información útil e inclusive podría tener algún código malicioso que destruya las evidencias de forma automática, borrando así las huellas del incidente.

2. Recopilar evidencias siguiendo el orden de mayor a menor volatilidad

Los datos volátiles (aquellos que perdemos cuando se apaga el equipo) ofrecen muchísima información, desde malware que reside únicamente en memoria hasta las contraseñas de sitios web que están contenidas en su interior o conexiones en curso. Este tipo de información resultará muy valiosa y por eso debe ser tenida muy en cuenta, además de porque puede ser destruida con facilidad.

3. No confiar en la información proporcionada por los programas del sistema

Es muy común que los sistemas comprometidos puedan haber sido manipulados por los atacantes o algún código malicioso, con el fin de entorpecer la investigación de los analistas forenses ocultando o falseando evidencias (esto se conoce como técnicas antiforenses). Este es uno de los principales motivos por los cuales se aconseja capturar la información mediante programas desde un medio protegido. De este modo, se asegurara que las herramientas utilizadas no puedan haber sido comprometidas ni modifiquen la evidencia.

4. No ejecutar aplicaciones que modifiquen la fecha y hora de acceso de los archivos del sistema

investigacion-forense

Como es sabido, las líneas de tiempo son unas de las técnicas de análisis forense más potentes para entender el paso a paso de los incidentes. Realizando una línea temporal basada en los tiempos MAC (Modificado, Accedido, Cambiado) de cada fichero y correlacionando distintos logs, puede identificarse el cómo de muchos hechos o incidentes. Por tal motivo, ejecutar aplicaciones que cambien los metadatos de los archivos sería un gran error que perjudicaría de manera catastrófica la investigación.

5. Si no está seguro de lo que está haciendo, ¡no realice ninguna acción!

En muchas ocasiones llega el momento de decidir, sabiendo que ha ocurrido una intrusión, si restablecer el sistema o comenzar un análisis forense. Es importante tener en cuenta que si se reestablece el sistema es muy probable que se destruyan todas las evidencias, dejando nuevamente una ventana abierta para que los atacantes vuelvan a invadir el sistema del mismo modo.

Por otra parte, si esta intrusión genera un impacto en el negocio de la empresa, como por ejemplo por una caída del servicio, es muy probable que se esté obligado a restablecer el sistema cuanto antes. Es por esta problemática que se recomienda tener un plan de contingencias, que ayudará a resolver este tipo de encrucijada.

Para concluir, debemos agregar que en caso de sospechar de un incidente que pretenda ser llevado a una corte judicial, se recomienda contactarse con un perito especializado en la materia, quien seguramente tendrá en cuenta todos estos consejos para le preservación de la evidencia digital.