Artículo actualizado 12/12/2023, publicación original el 15/04/2015
El análisis forense digital se aplica en casos como delitos informáticos, fraudes, intrusiones en sistemas, robo de datos, y confección de auditorías, entre otros. Se basa en un conjunto de técnicas de recopilación y peritaje exhaustivo de datos, que pueden aplicarse para responder en algún tipo de incidente —evento en donde las políticas de seguridad de un sistema se ven corrompidas— con el objetivo de entender la naturaleza del ataque.
Esta disciplina está creciendo mucho en los últimos años, muy relacionada con casos de estudio de delitos financieros, evasión de impuestos, investigación sobre seguros, acoso o pedofilia, robo de propiedad intelectual, fuga de información y ciberterrorismo o ciberdefensa.
Para entenderlo, en el contexto de las Ciencias de la Criminalística, podemos resumir el análisis forense en cinco fases que facilitan la verificabilidad y la reproducibilidad del análisis.
1. Adquisición y recopilación de evidencias
En esta fase se obtienen copias de la información que se sospecha que puede estar vinculada con algún incidente. Hay que evitar modificar cualquier tipo de dato utilizando siempre copias bit a bit con las herramientas y dispositivos adecuados.
Este tipo de copia es imprescindible, porque nos dejará recuperar archivos borrados o particiones ocultas, arrojando como resultado una imagen de igual tamaño al disco estudiado.
Rotulando con fecha, hora y huso horario, las muestras deberán ser aisladas en recipientes que no permitan el deterioro ni el contacto con el medio. En muchos casos, esta etapa es complementada con el uso de fotografías con el objetivo de plasmar el estado de los equipos y sus componentes electrónicos.
Todo este proceso se debe llevar a cabo considerando la utilización de guantes, bolsas antiestáticas y jaulas de Faraday para depositar dispositivos que puedan interaccionar con ondas electromagnéticas, como los celulares, para asegurar la integridad y evitar cambios accidentales o maliciosos.
La adquisición de muestras debe respetar una regla fundamental que está ligada a la volatilidad de estas: de la más volátil a la menos. Podríamos indicar, por ejemplo, que el primer paso es recolectar datos relevantes a la memoria, contenidos del caché, y como último paso recolectar el contenido de documentos o información que esté disponible en el soporte de almacenamiento.
Como ya sabemos, las RFC son un conjunto de documentos que sirven de referencia para estandarizaciones, normalizaciones en comunicaciones y tecnología. De esta forma, consultando la RFC 3227, podremos relevar con mayor profundidad todo lo que compete a esta etapa.
2. Preservación
En esta etapa se debe garantizar la información recopilada con el fin de que no se destruya o sea transformada. Nunca debe realizarse un análisis sobre la muestra incautada, sino que deberá ser copiada y sobre la copia se deberá realizar la pericia.
Aquí es donde aparece el concepto de cadena de custodia, que es un acta en donde se registra el lugar, fecha, analista y demás actores que manipularon la muestra.
En muchos casos deberemos utilizar las técnicas de Hashes para identificar de forma unívoca determinados archivos que podrían ser de gran utilidad para la investigación.
3. Análisis
Finalmente, una vez obtenida la información y preservada, se pasa a la parte más compleja, la fase más técnica, donde se utilizan tanto hardware como software específicamente diseñados para el análisis forense.
Si bien existen métricas y metodologías que ayudan a estructurar el trabajo de campo, se podrán obtener grandes diferencias dependiendo de las herramientas que se utilicen, las capacidades y experiencia del analista.
Además, es muy importante tener en claro qué es lo que estamos buscando, debido a que esto dará un enfoque más preciso a la hora de ir a buscar pruebas. Sin embargo, el estudio de la línea de tiempo (timeline), logs de accesos y una descarga de la memoria RAM será muy útil para la mayoría de las pericias.
Es muy importante en esta instancia la evaluación de criticidad del incidente encontrado y los actores involucrados en él.
4. Documentación
Si bien esta es una etapa final, recomendamos ir documentando todas las acciones, en lo posible, a medida que vayan ocurriendo. Aquí, ya debemos tener claro por nuestro análisis qué fue lo sucedido y poner énfasis en cuestiones críticas y relevantes a la causa.
En esta etapa debemos citar y adjuntar toda la información obtenida, estableciendo una relación lógica entre las pruebas obtenidas y las tareas realizadas, asegurando la repetibilidad de la investigación.
5. Presentación
Normalmente, se suelen usar varios modelos para la presentación de esta documentación. Primero se entrega un informe ejecutivo que muestre los rasgos más importantes de forma clara, certera y concisa y que pondere por criticidad en la investigación, sin entrar en detalles técnicos.
Luego un segundo informe, llamado "Informe Técnico", detalla en mayor grado y precisión todo el análisis realizado, resalta técnicas y resultados, dejando de lado las opiniones.
Esta es solo una manera de presentar la documentación y no debemos olvidar que la misma debe poder soportar un escrutinio legal, por lo que es importante guiarse por el método procedimental que plantea la teoría de la criminalística.
Conclusiones
A la hora de auditar un incidente de seguridad, hay que tener muy en claro su naturaleza, ser meticulosos, estructurados, muy claros en las observaciones y detallar con la mayor precisión posible.
Asegurando preservar la muestra en estado original y siempre trabajando sobre copias realizadas bit a bit, lograremos ir alineados a las metodologías estandarizadas internacionales, las cuales nos darán pie a presentar nuestros resultados con un soporte legal ante alguna Institución que lo requiera.