La importancia de la informática forense.

Resumen: La ciberseguridad es un proceso que se encarga de proteger los activos informáticos, tales como computadoras, servidores y sistemas. Procura crear y mantener una infraestructura segura, tratando de no dejar brechas de seguridad. Pero ¿qué es lo que pasa si un sistema se ve comprometido por un ataque informático? ¿Cómo saber qué fue lo que sucedió? ¿Qué información estuvo comprometida? ¿Qué equipos estuvieron comprometidos? en estos casos es importante apoyarse de procesos investigativos que brinden con fundamentos lo sucedido y que permitan judicializar los resultados. Para ello está la informática forense la cual se encarga de buscar e identificar el origen de posibles ataques dirigidos hacia sistemas informáticos, identificar daños causados, analizar e interpretar resultados, proponer contramedidas que eviten que se repita un suceso de similar y finalmente presentar evidencia informática que puede ser utilizada en procesos judiciales.

Palabras Claves: ciberseguridad, informática forense, procesos, ataques.

Abstract: Cybersecurity is a process that is responsible for protecting computer assets, such as computers, servers and systems. Try to create and maintain a secure infrastructure, trying not to leave security gaps. But what happens if a system is compromised by a computer attack? How do you know what happened? What information was compromised? What teams were involved? In these cases, it is important to rely on investigative processes that provide justification for what happened and that allow the results to be prosecuted. For this, forensic computing is in charge of searching and identifying the origin of possible attacks directed at computer systems, identifying damage caused, analyzing and interpreting results, proposing countermeasures that prevent a similar event from being repeated and finally presenting computer evidence that can be used in legal proceedings.

Desarrollo:

La ciberseguridad como proceso para proteger los activos informáticos debe apoyarse de técnicas o disciplinas para mitigar riesgos, recuperar los procesos ante desastres, responder inmediatamente ante cualquier incidente de seguridad y por supuesto que permitan una investigación en distintos sistemas vulnerados o comprometidos, con el fin de obtener evidencia digital que pueda servir para realizar mejoras de los controles implementados o bien para sustentarla como prueba ante un juez, cuando se ha concretado un delito, como por ejemplo la fuga de información, destrucción de registros o archivos, entre otros.

Durante el año 2020, se registraron cerca de 32,000 incidentes de seguridad informática y casi 4,000 filtraciones confirmadas en todo el mundo, según datos obtenidos del Data Breach Investigations Report (DBIR) de Verizon. La informática forense como disciplina desde el ámbito técnico-científico, sirve como apoyo a la administración de justicia y el derecho.  (Ortíz, 2019). Es por ello por lo que la informática forense es un complemento importante en todo el proceso que comprende la ciberseguridad, mediante la cual se garantiza la integridad de registros y/o archivos que servirán como evidencia digital para la resolución de hechos cometidos en plataformas tecnológicas y para mejorar o robustecer los sistemas de seguridad informática de una organización.

Ciberseguridad y Defensa en Profundidad

Según Cisco “La ciberseguridad es la práctica de proteger sistemas, redes y programas de ataques digitales” (CISCO). Además “La ciberseguridad no es una técnica, sino un proceso integral” (Monzón, 2018). Esta afirmación indica que la ciberseguridad no simplemente se trata de instalar un antivirus o instalar un equipo de monitoreo, sino que es todo un proceso en el cual se complementan equipos, personas, procesos, políticas normativas, manuales, planes de contingencias y de recuperación, entre otros.

Como una de las estrategias de ciberseguridad, la empresa Northrop Grumman publica en el año 2017, en la IEEE 4th International Conference on Cyber Security and Cloud Computing (CSCloud), un marco de defensa de ciberseguridad por capas, que ilustra los componentes de la defensa en profundidad, este arquitectura “obliga a un ciberdelincuente o bien a un adversario a vulnerar o vencer distintos controles de seguridad para poder tener acceso a los activos de información”  (Ciberseguridad en Linea, 2020). La aplicación de estas capas, mediante marcos de trabajo, permite disminuir la brecha de seguridad de una infraestructura de red, tanto a nivel físico como lógico.

Este marco de defensa en profundidad permite proteger servidores, incrementar la posibilidad de rastrear o atrapar a un intruso (ciberdelincuente) y reducir en gran medida la perdida de información. Este se compone de al menos cinco perímetros de seguridad, que resguardan los activos de información críticos para una organización. Los perímetros de seguridad que componen el marco de defensa en profundidad son los siguientes: Seguridad Perimetral, Seguridad de Redes, Seguridad de Punto Final (endpoint), Seguridad de Aplicaciones y Seguridad de Datos

Asimismo hace referencia a la administración de políticas para la prevención y a las operaciones de monitoreo y respuesta. En el lado de Administración de Políticas para la Prevención, abarca Gobierno de TI, marcos de trabajo para la administración del riesgo, pruebas de penetración, políticas de seguridad y cumplimiento, entre otros. Y por el lado de las Operaciones de Monitoreo y Respuesta, incluyen los paneles de administración de seguridad, sistemas integrados de aseguramiento de la información, los centros de operaciones de seguridad (SOC), centros de operaciones de seguridad de redes (NOC), respuestas ante incidentes, informática forense, entre otros.

Imagen 1. Marco de Trabajo de Defensa en Profundidad

El Rol de La Informática Forense

La informática forense y la respuesta a incidentes informáticos son dos disciplinas que en muchas ocasiones se aplican al mismo tiempo, sin embargo existen diferencias que las separan totalmente.

La respuesta ante incidentes se denomina una disciplina que tiene como objetivo determinar el origen y el alcance de incidentes de seguridad, con lo que puede establecer mejoras para evitar que situaciones similares vuelvan a ocurrir.  (Rubio Alamillo, 2020). Esta trata a toda costa de identificar el incidente, contenerlo, erradicarlo y por último realizar actividades de recuperación.

Por otro lado la informática forense, es una disciplina que no necesariamente busca interrumpir o detener un incidente de seguridad, sino que tiene por objetivo responder las siguientes preguntas: ¿cómo sucedió? ¿Cuáles fueron los activos informáticos vulnerados y comprometidos? ¿Cuáles fueron las causas? ¿Quién y cómo se ejecutó la vulnerabilidad? y ¿Qué información fue vulnerada? Por lo general su ámbito de trabajo es post-mortem, lo que quiere decir que se realiza en sistemas apagados o bien cuando ya ha pasado el incidente, asimismo es esencial para la resolución de conflictos en procesos judiciales en donde estén relacionados dispositivos de procesamiento y/o almacenamiento digital.

Los modelos de trabajo para el análisis informático forense se resumen genéricamente en cuatro etapas o actividades:

1. Identificar y Adquirir: En donde se deben identificar aquellos dispositivos electrónicos de procesamiento y almacenamiento que pudieron haber sido afectados por un ataque de seguridad, generando una o más copias que sean lo más exactas posibles, para garantizar que el original no sea alterado accidental o intencionalmente.

Es importante hacer mención que en esta etapa se deben recolectar todas aquellas muestras que sean de relevancia para la resolución de un hecho, iniciando por los datos más volátiles como los registros de la caché y la memoria RAM, así como otros registros que permitan al analista obtener líneas de tiempo como los registros del sistema, listas de procesos activos, listas de puertos abiertos, programas instalados, programas desinstalados  recientemente y otros artefactos del sistema que puedan apoyar la reconstrucción del hecho.

2. Preservar: En esta actividad todo elemento que es adquirido es sometido a sumas de verificación o comprobación a través de algoritmos hash para garantizar su identidad, integridad y autenticidad, desde su adquisición, hasta la presentación ante un juez, asimismo en esta etapa se inicia la cadena de custodia de todos y cada uno de estos elementos.

Generalmente en la informática forense se utilizan los algoritmos MD5 y SHA1, sin embargo, a pesar de habérseles generado colisiones, se aplican para garantizar que la copia forense de un dispositivo y su contenido sean totalmente íntegros y auténticos.

3. Obtener: Se refiere a obtener resultados a través de la búsqueda, restauración, localización y extracción de archivos o registros que pueden formar parte de la evidencia digital, sin dejar por un lado la interpretación de los resultados. En esta etapa es necesario aplicar distintos programas, métodos y la suspicacia del analista para la búsqueda e interpretación de los registros digitales a analizar, por ejemplo: la cantidad de usuarios activos en la computadora, la línea de tiempo del último inicio y cierre de sesión, bases de datos del sistema operativo, historial de navegación de internet, contenedores de correos electrónicos, entre otros.
4. Presentar: Es la etapa en donde se plasma en un informe técnico o ejecutivo, el resultado de los análisis realizados y que serán puestos a la vista de los interesados, y en muchas oportunidades a la vista de un juez cuando se judicialice el proceso.

En estas cuatro etapas se resumen todas las actividades a realizar por parte de los expertos en esta disciplina, quienes deben de tener conocimientos sobre sistemas operativos, sistemas de archivos, dispositivos móviles, técnicas de adquisición, técnicas de preservación, tener conocimientos en distintos programas forenses y estar plenamente conscientes de que los resultados obtenidos en muchas ocasiones tendrán que defenderse en un tribunal de justicia.

A pesar que existan marcos de trabajo como el de defensa en profundidad, existe la probabilidad de que ocurra un hecho que se deba investigar, por lo que siempre es importante la disciplina de la informática forense que permita reconstruir archivos, obtener líneas de tiempo, analizar registros, identificar el origen de posibles ataques dirigidos hacia sistemas informáticos, identificar daños causados a los activos de información, interpretar resultados y presentarlos como evidencia digital, para la aplicación de contramedidas de seguridad o para proponer como prueba en un proceso judicial.

Conclusiones

La ciberseguridad permite la prevención, mitigación y detección de posibles ataques informáticos, mientras que la informática forense, se encarga de investigar las causas del ataque, responder ¿cómo sucedió?, ¿cuáles fueron los activos informáticos vulnerados y comprometidos?, ¿cuáles fueron las causas?, ¿quién y cómo se ejecutó la vulnerabilidad?, ¿qué información fue vulnerada? y proponer contramedidas para evitar que se repitan dichas acciones.

La informática forense como parte de un proceso integral del marco de trabajo de defensa en profundidad, cumple una función vital en la ciberseguridad, aportando pruebas informáticas en procesos judiciales o proponiendo posibles mejoras y soluciones para mitigar riesgos latentes.

Referencias bibliográficas

AVAST. (2020). Avast. Obtenido de https://www.avast.com/es-us/business/resources/defense-in-depth

Ciberseguridad en Linea. (28 de 04 de 2020). Defensa en Profundidad Video. Obtenido de https://www.youtube.com/watch?v=VaRXah6KTTA&t=173s

CISCO. (s.f.). CISCO. Obtenido de https://www.cisco.com/c/es_mx/products/security/what-is-cybersecurity.html

INCIBE. (29 de 12 de 2016). Inventario de activos y gestión de la seguridad en SCI. Obtenido de https://www.incibe-cert.es/blog/inventario-activos-y-gestion-seguridad-sci

INCIBE. (s.f.). Decálogo ciberseguridad empresas: Obtenido de https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_decalogo_ciberseguridad_metad.pdf

iniseg. (17 de 09 de 2019). INISEG. Obtenido de https://www.iniseg.es/blog/ciberseguridad/informatica-forense-digital/

Monzón, A. (2018). Curso de Introducción a la ciberseguridad, UMG Guatemala.

Ortíz, E. (2019). Evidencia Digital: Fundamentos aplicables para el abordaje de la Examinación. Research Gate, 10.

Rubio Alamillo, J. (28 de 05 de 2020). Perito Informático. Obtenido de https://peritoinformaticocolegiado.es/blog/diferencias-entre-la-respuesta-ante-incidentes-dfir-y-el-peritaje-informatico/

Semantic Scholar. (2017). Semantic Scholar.

VERIZON. (2020). Verizon. Obtenido de https://enterprise.verizon.com/resources/reports/2020-data-breach-investigations-report.pdf

Wittkop, J. (09 de 02 de 2020). InteliSecure. Obtenido de https://www.intelisecure.com/what-is-data-protection/Peiró, J., & Soler, A. (5 de Mayo de 2020). EL IMPULSO AL TELETRABAJO DURANTE EL COVID-19 Y LOS RETOS QUE PLANTEA. Obtenido de https://www.ivie.es/wp-content/uploads/2020/05/11.Covid19IvieExpress.El-impulso-al-teletrabajo-durante-el-COVID-19-y-los-retos-que-plantea.pdf