Son numerosos los servicios que ofrecen los peritos informáticos forenses, pero uno de los más importantes es el análisis forense digital. Pero ¿realmente sabemos en qué consiste este proceso, tan común para estos profesionales? Desde nuestra agencia queremos dar la información necesaria para poder conocer los detalles esenciales y el procedimiento a seguir.
¿Qué es el análisis forense digital?
El análisis forense digital consiste en un grupo de diferentes técnicas que comparten el objetivo de hallar información de valor sin modificar. Proveniente de un sistema o aparato electrónico. Esto nos da la opción de encontrar datos secretos, dañados o incluso eliminados.
Al realizar un análisis forense digital es esencial mantener, dentro de las posibilidades, la integridad del disco. Ya que la información que se extraiga en el análisis puede ser fundamental en procesos judiciales.
Origen del análisis digital
El origen de este campo tiene fecha en de la década de los ochenta. Los primeros análisis a dispositivos electrónicos se realizaron a manos del FBI, principalmente en las investigaciones criminales, dentro del Departamento de Justicia de EEUU.
Tiempo después comenzó a popularizarse analizar los dispositivos personales como ordenadores y servidores. Junto a otros componentes electrónicos que pudieran almacenar información.
¿Por qué es necesario un análisis forense digital?
Las nuevas tecnologías se encuentran en pleno auge, principalmente aquellas que incluyen información y comunicación, las cuales contienen una grandísima cantidad de datos privados almacenados en la red. Esto ha dado lugar a ataques informáticos a través de Internet, o también conocidos como ciberdelitos.
Recientemente el Centro de Cristología Nacional CNN ha realizado estudios que estiman que para cuando termine este año se produzcan casi un 50% más de ciberdelitos en comparación al año anterior. En 2017 se registraron cerca de 20 mil incidentes, de los cuales 450 fueron de alta peligrosidad, clasificados como “críticos”.
En España, dentro de la Constitución en el artículo 18.1 se encarga de garantizar el derecho a la intimidad personal. Donde tiene un apartado explícito en lo que refiere al uso de la informática, para garantizar el honor y la intimidad de los ciudadanos. Los ciberataques suelen vulnerar este derecho. Y, gracias a la figura de un perito informático forense, podremos recopilar pruebas para poder combatir este tipo de delitos.
Aunque es imposible garantizar la seguridad al 100%, podemos contar con la ayuda de profesionales. Estos nos ayuden a mantener y planificar estrategias de prevención como también medidas de seguridad.
Fases del análisis forense digital
La identificación
En esta primera etapa se llevará a cabo el análisis previo del dispositivo electrónico. Para así determinar la metodología que se debe de seguir durante el proceso. Cuando se está realizando este punto, se puede llegar a conocer el soporte en términos físicos, es decir, si existen partes dañadas, o si por otra parte nos estamos enfrentando a una posible eliminación de datos.
La adquisición
Después de diagnosticar el dispositivo se debe de realizar una copia de la información almacenada en una base segura. Esto quiere decir que se debe de tener una copia exacta a la del disco de origen. El encargado de llevar a cabo este proceso copiará bite a bite toda la información para transferirla a un soporte y analizarla.
La fase de la adquisición es una de las más importantes y de mayor dificultad. Ya que se debe de manipular el soporte con la seguridad de dejarlo en el mismo estado en el que estaba antes de empezar a trabajar con él.
La preservación
En esta fase se llevan a cabo acciones que son esenciales para la conservación de todos los datos asegurándose de no ser modificados. La información se podrá utilizar de forma inmediata o podrá ser almacenada durante el periodo de tiempo necesario.
Debido a todo lo anterior es completamente necesario que el soporte donde se realiza la copia esté capacitado para almacenar todo en buenas condiciones durante el tiempo que se necesite.
El análisis
El análisis se trata de la fase más técnica. Después de las anteriores fases, toda la información obtenida será sometida a un análisis de software y hardware desde el soporte original. El profesional extraerá toda la información y pasara determinados filtros para quedarse con los datos de verdadero valor, siempre sin eliminar nada.
Todo será analizado, desde archivos, usuarios, mensajes, historiales de conversaciones, documentos encriptados, archivos subidos a la nube, las conexiones con otros dispositivos, etcétera.
La documentación
Después de realizar las anteriores fases se pasará a realizar un informe. Que redactará, de forma completamente objetiva y ordenada, toda la información recogida en el dispositivo y todos los pasos seguidos durante el proceso.
Análisis forense digital para la prevención de ataques
El análisis forense digital nos da la opción de detectar ataques o fallos de seguridad en los sistemas informáticos cuando se están produciendo o incluso antes de que lo hagan. Esto nos ofrece la posibilidad de no tener que recuperar toda la información a base de copias de seguridad porque habremos solucionado el problema a tiempo.
Si disponemos de controles de seguridad lo suficientemente efectivos evitaremos la repercusión negativa en el trabajo que dependa de los sistemas informáticos. Vamos a dar ciertos trucos para poder mantener nuestros sistemas seguros:
- Tener una buena gestión de actualizaciones de hardware y software.
- Mantener controlados los servidores y con acceso restringido según el usuario. Disponiendo también de sistemas de notificación al administrados cuando se produzcan accesos no autorizados.
- Mantener la red segura configurando los filtros. Esto también incluye contar firewall, IDS (detectores de intrusos), monitores de red, VPNs (uso de redes privadas virtuales), etcétera.
- Métodos de prevención contra malware u otro tipo de programas maliciosos usando antivirus.
- Mantener informados a los usuarios para asegurar que se aplican todas las medidas de seguridad. La información es poder, ya que en el campo de la ciberseguridad los mayores problemas vienen dados, principalmente, del desconocimiento de los propios usuarios.
- Tener un plan de respuesta contra ataques y errores:
- Capacidad, metas y reglas del plan.
- Estructurar un equipo de respuesta contra errores o ataques que incluya responsabilidades, autoridad y los departamentos correspondientes.
- Contención del problema.
- Recuperación de sistemas o archivos eliminados.
- Realizar una valoración de los daños.
- Valorar contar con las autoridades.
- En caso de ser necesario contratar personal especializado externo.
- Establecer una investigación.
- Estudiar y monitorizar el funcionamiento de los sistemas. Como por ejemplo el tráfico de la IP, el consumo, los usuarios, etcétera.
- Realizar copias de seguridad.
- Tener conocimientos sobre los posibles ataques o incidentes para así poder diferencias un ataque de un error o problema técnico.
Análisis forense digital para diferentes sistemas operativos
Para realizar un análisis forense digital lo más completo posible, lo principal que debemos de saber es de dónde obtener toda la información posible.
Para Microsoft Windows
Este sistema operativo nos da la opción de analizar las aplicaciones para saber que nos encontramos seguros. Para poder adquirir toda la información podemos consultar la base de datos de Microsoft.
Para recopilar información dentro de Windows disponemos del sistema regedit.exe. Este dispone de una gran cantidad de datos almacenados. También podemos contar con herramientas del CD como por ejemplo reg, que nos da la opción de consultar el registro sin cambiarlo, o regdmp que nos da el registro en un formato de texto plano.
Para Linux
Linux cuenta con una serie de archivos de registros, conocidos como logs, que podemos encontrar de forma habitual bajo el escritorio (/var/log). Los cuales contienen registros de mensajes generales del sistema, información sobre los sistemas de autentificación y de seguridad, los historiales de inicio, los intento fallidos como también inflacionario sobre el cierre de sesión.
A parte de todo esto, las aplicaciones y programas crean por forma general sus propios archivos de registro, que podemos encontrar bajo el escritorio (/var). Dichos archivos los encontraremos en modo texto, por lo que podremos usar cualquier editor o visor para buscar posibles problemas o ataques.
Realizar un buen análisis digital
Los peritos informáticos forenses son profesionales capacitados y especializados en este tipo de servicios. Utilizan un software especializado en la recuperación de datos para asi poder obtener la información en su totalidad, independientemente del dispositivo donde se encuentre. Para garantizar un buen trabajo hay que asegurarse de contar con un equipo realmente profesional y con experiencia.
Disponer de las herramientas adecuadas es esencial para poder obtener las pruebas que sean válidas en procesos judiciales. Por ejemplo, los peritos informáticos son capaces de extraer información de imágenes realizadas a través de teléfonos móvil. Ya que estas almacenan información en Eif y en los metadatos de cada archivo. También tienen la capacidad de calcular el hash de un archivo para así poder averiguar si se han realizado modificaciones durante la investigación.
Hemos hablado en numerosas ocasiones de la recuperación de datos y sabemos que se trata de un proceso realmente delicado, pues en comparación, un análisis forense digital, lo es mucho más. Esto es debido a que este tipo de proceso puede ser empleado en juicios, llegando a ser lo más importante para tomar una decisión en la resolución.
Resumidamente, para poder obtener un análisis forense digital satisfactorio es necesario contar con las herramientas adecuadas y unos profesionales cualificados y con experiencia.
Datos adquiridos en el análisis
En el análisis forense digital se extrae gran cantidad de información, parte de ella podemos calificarla en dos grupos:
- Información volátil: Este tipo de información es aquella que, tras apagar el dispositivo electrónico se pierde. Aunque no es completamente cierto, ya que es posible recuperarla a través del almacenamiento RAM.
- Información no volátil: Por el contrario este tipo de información permanece en el disco duro incluso cuando el aparato electrónico se apaga indebidamente.
El perito informático debe realizar una imagen del disco duro a través de herramientas especializadas tipo dd. Si se emplean herramientas conocidas como tipo Ghost, se podrá perder información de bajo nivel y será prácticamente irrecuperable.
Conclusión
A la hora de sufrir un ciberataque es necesario conocer su naturaleza en profundidad, hay que ser meticuloso. Siguiendo una estructura y teniendo claro que la información que obtengamos hay que detallarla de la forma más precisa posible.
Nuestro equipo de peritos informáticos, ofrece servicios que garantizan los mejores resultados. Preservando la muestra original intacta. Ya que siempre trabajan con copias. Los resultados los presentaran de forma legal y si lo requiere en la institución que lo solicite.
Contamos con una amplia experiencia en el análisis forense digital, como en muchos otros tipos de servicios. Si tiene cualquier consulta no dude en ponerse en contacto con nosotros, le ofrecemos asesoramiento confidencial y completamente gratuito.