- Seguridad Informática - Análisis forense - Introducción -

La informática forense se ocupa con la investigación de acontecimientos sospechosos relacionados con sistemas informáticos, el esclarecimiento de situaciones creadas y sus autores, a través de la identificación, preservación, análisis y presentación de evidencias digitales. Los servicios de la informática forense no se limitan a aportar pruebas en procesos judiciales o administrativos. También se aplica a recuperar evidencias para su estudio y a la reconstrucción de determinados hechos con fines privados, empresariales, etc.
Con la aplicación de métodos científicos en la informática forense es posible estandarizar los procedimientos y dotarlos de mayor consistencia.
La informática forense se aplica allí, donde:
- se presume una actividad delictiva en Internet, en entidades económicas o sociales o en el ámbito privado
- cuando existen sospechas el robo datos, espionaje industrial, sabotaje o delitos por el estilo
- tenencia, producción y difusión de pornografía prohibida
- así como otras actividades ilícitas, las cuales se ejecutan con la ayuda de computadoras.
El objetivo de una investigación forense tras una agresión son en general las siguientes:
- reconocimiento de los métodos o los puntos débiles que posibilitaron la agresión
- determinación de los daños ocasionados
- identificación del autor
- aseguramiento de las evidencias

De la formulación de estos objetivos se derivan las siguientes cuestiones:
- ¿Como puede verificarse el ataque?
- ¿Como debe asegurarse el sistema comprometido y su entorno?
- ¿Cuales métodos deben emplearse para la captura de evidencias?
- ¿En que secuencia deben preservarse las evidencias?
- ¿Donde deben buscarse puntos de referencia y como pueden ser encontrados?
- ¿Como puede analizarse lo desconocido?

Identificación
La investigación forense comienza con la descripción exacta de la situación encontrada.
Junto con la toma de los elementos existentes relativos al caso y las primeras presunciones, tienen que definirse los aspectos que deban ser esclarecidos.
A continuación deberá estructurarse el material existente.
Hecho esto deberán tomarse las decisiones inherentes a los medios necesarios para la preservación del material.
Todo esto debe ser debidamente documentado.

Preservación
El primer paso en la preservación es el aseguramiento del lugar, el/los sistemas, los medios de almacenamiento de datos externos y otras posibles fuentes de evidencias.
El objetivo fundamental es garantizar la integridad de las pruebas digitales.

Análisis
Tras la toma de datos probatorios relevantes y haberlos asegurado en los medios previstos, deberá procederse a los primeros análisis.
Aquí se requerirá de conocimientos sobre topología de red, aplicaciones, vulnerabilidades del sistema y una gran capacidad de improvisación.
El análisis forense es una metodología de estudio que se aplica una vez ocurrido un incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema y se valoran los daños ocasionados.
Mediante el análisis forense es posible conocer los detalles de lo ocurrido y proponer la tomar de medidas oportunas para prevenir futuros ataques, descubrir las vulnerabilidades que han hecho posible la intrusión, el origen, las acciones realizadas y las herramientas utilizadas.
En última instancia, es capaz de identificar al autor, el motivo y recomendar acciones legales.
En caso de dudas, el proceso de análisis debe poder ser reproducido por expertos independiente (terceros).
El análisis no se realiza nunca sobre el sistema original y exige una documentación exhausta.

Presentación
La presentación constituye la conclusión de la investigación forense y el ella se prepara y redactan los resultados de todo el proceso. Estos deben ajustarse a la motivación de la investigación y a quien está dirigido.
Su contenido apuntará a la determinación del autor o autores, la fecha y hora, la descripción de los hechos, las proporciones alcanzadas y sus causas.

Respeto a la intimidad individual de los usuarios
La investigación forense debe tener en cuenta las leyes y regulaciones existentes en cada país, así como las directivas internas de la organización relativas al respeto de la intimidad individual de los usuarios.
Datos privados o personales deben ser respetados e incluirse en la investigación solo, cuando existan indicios concluyentes de su vinculación con el caso.

Documentación
La documentación de todo el proceso forense es de vital importancia.
Todas las acciones ejecutadas deben ser pormenorizadamente protocolizadas. Esta protocolización debe ser oportuna, inmediatamente después de las acciones. Deben servir de garante de la actividad efectuada y facilitar la comprensión de la investigación.
Las actividades que no se documentan inmediatamente, generalmente no se registran.
Al salvar datos volátiles en un sistema que se mantiene activo mientras se realiza el trabajo forense, debe hacerse con testigos, los cuales pueden corroborar que la preservación de los datos se realice correctamente y se eviten errores.
La importancia de mantener una protocolización detalladas del proceso queda demostrada cuando los resultados del análisis forense son presentados y surgen dudas sobre algún aspecto. Además, la presentación se efectúa mucho después de haberse ejecutado las acciones, quizás uno o varios participantes en la investigación no puedan estar presentes, o simplemente alguien no pueda recordarse de algún detalle relevante.
Los protocolos deben recoger informaciones como:
- persona o grupo de personas que detectaron el caso
- hora y fecha de la comunicación
- el contenido exacto de la comunicación
- nombre de las personas y organizaciones que ejecuten la investigación
- nombre de quien dirige la investigación
- definición del procedimiento
- causa de la investigación
- lista de todos los sistemas, aparatos y aplicaciones incluidos en la investigación
- lista de todos los servicios y aplicaciones activos
- lista de todos los administradores relacionados con el sistema
- lista detallada de todos los pasos acometidos para encontrar evidencias, analizarlas y preservarlas
- registro de las personas que tienen acceso a las evidencias, incluida fecha y hora
previo
Imprimir..
Ultima actualisación: Tue, 24 ▪ May ▪ 2011
próximo