Saltar la navegación

2.11. Análisis forense

El análisis forense es un proceso científico que elabora y verifica hipótesis, mediante el cual:

  • Se identifican las fuentes de las evidencias.
  • Se preservan las evidencias.
  • Se analizan las evidencias.
  • Se presentan las conclusiones y las evidencias que las sustentan.

El análisis forense de sistemas pretende averiguar lo ocurrido y busca la respuesta a preguntas tales como:

  • ¿Quién?
  • ¿Qué activos se vieron afectados?
  • ¿Cuándo?
  • ¿Dónde?
  • ¿Por qué?

En España existen organizaciones como ESCERT que realizan análisis forenses para organismos privados y públicos. Estos servicios se prestan a aquellas organizaciones que han sufrido ataques informáticos y también se emplean para colaborar en la resolución de investigaciones donde existan datos digitales involucrados. Puedes acceder a la web de ESCERT pulsando aquí.

Este tipo de análisis en sistemas informáticos toma, cada día que pasa, más relevancia, puesto que muchos conflictos son resueltos gracias a la información tratada por sistemas informáticos. Es común ver intervenidos los ordenadores de delincuentes cuando se produce su detención, sean del tipo que sean.

El análisis forense informático siempre está presente en:

  • Delitos donde se actúa directamente contra los equipos informáticos.
  • Delitos donde los equipos informáticos contienen las evidencias.
  • Delitos donde los equipos informáticos son utilizados para cometer el crimen.

En todos los países las fuerzas de seguridad poseen unidades dedicadas al análisis forense informático, tanto para delitos informáticos, como para delitos donde se ha utilizado el equipo informático para cometerlos. En España:

Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía.

Grupo de Delitos Telemáticos de la Guardia Civil.

Objetivos

Los objetivos principales de todo análisis forense son:

  • Recrear lo que ha ocurrido en un dispositivo digital durante el incidente de seguridad.
  • Analizar las incidencias para impedir que se repitan en el futuro.

Los objetivos se deben conseguir sin dañar la información que se investiga, en la medida de lo posible. Si la investigación obliga a duplicar la información, se debe asegurar una destrucción de la información duplicada al final del proceso.

Los objetivos se han cumplido cuando:

  1. Se sabe cómo se produjo el incidente de seguridad.
  2. Se conocen las circunstancias bajo las que ocurrió.
  3. Se conoce la identidad de los atacantes.
  4. Se sabe cuando ocurrió el incidente.
  5. Se conocen los objetivos de los atacantes.
  6. Se tienen las evidencias que lo demuestran.
  7. Se ha destruido totalmente cualquier información duplicada para realizar la investigación.

La metodología empleada para alcanzar estos objetivos de estar compuesta al menos de los siguientes pasos:

  1. Analizar el funcionamiento del sistema para extraer toda la información posible sobre el mismo.
  2. Respetar rigurosamente el marco legal establecido.
  3. Recopilar todas las evidencias posibles.
  4. Autenticar las evidencias recogidas.
  5. Proteger las evidencias para que no se alteren, si es posible, realizar copias para poder trabajar con ellas y así preservar las originales.
  6. Analizar las evidencias.
  7. Presentar el informe final lo más detallado posible.
  8. Destruir la información duplicada si es necesario.

Recogida de Evidencias

Las evidencias digitales respecto a las evidencias físicas tienen tres ventajas muy importantes:

  • Pueden ser duplicadas con total exactitud.
  • Existen herramientas para verificar si la evidencia ha sido modificada.
  • Se pueden recuperar, en la mayoría de los casos, después de un borrado.

La recogida de evidencias debe seguir un orden de acuerdo al grado de volatilidad.

Los datos volátiles son aquellos que se pierden cuando se pierde la alimentación eléctrica del sistema (memoria RAM, procesos en ejecución, usuarios conectados). La evidencia volátil es la primera que debe ser recogida.
Una secuencia posible de recogida de información volátil sería:

  • Registros caché.
  • Tabla de enrutamiento.
  • Caché ARP.
  • Archivos temporales del sistema.

La captura de la evidencia no debe alterar la prueba ni el entorno, al proceso de recogida y análisis de evidencia se le denomina: Cadena de custodia.

En la cadena de custodia, se debe dejar muy claro:

  • ¿Dónde, cuándo y por quién ha sido descubierta y recogida la evidencia?
  • ¿Dónde, cuándo y por quién ha sido examinada y verificada la evidencia?
  • ¿Quién custodia o ha estado custodiando la evidencia?
  • ¿Cuándo y cómo ha cambiado de custodia?

Lo que se busca son evidencias digitales, que se pueden clasificar en:

  • Físicas.
    • Soportes de almacenamiento (HD, CD, DVD).
    • Dispositivos electrónicos (teléfonos, tabletas, portátiles).
    • Dispositivos de comunicaciones (routers, conmutadores, concentradores).
  • Lógicas.
    • Registros generados por el sistema (archivos log).
    • Registros almacenados en el sistema (texto, imágenes, vídeos).
    • Registros de servidor (generados por servidores como Apache).

La recogida de evidencias debe hacerse en la medida de lo posible sin utilizar programas del propio sistema, por ejemplo, ejecutando algún software desde una unidad de CD o memoria flash.

Entre las acciones que se pueden emplear para esta recogida están las siguientes:

  1. Obtener la fecha y la hora del sistema.
  2. Realizar una instantánea del estado actual del sistema.
  3. Utilizar comandos de consola.
  4. Ver los puertos TCP y UDP abiertos y las aplicaciones que los están utilizando.
  5. Listar los usuarios conectados.
  6. Enumerar los procesos activos.
  7. Ver la configuración de direcciones IP.
  8. Ver la tabla de correspondencias de las direcciones MAC.
  9. Buscar ficheros ocultos o borrados.
  10. Ver registros log del sistema.
  11. Analizar el tráfico de red.
  12. Hacer copias bit a bit de los discos duros.