• Fecha: Oct 03, 2005
  • Comentarios: no hay comentarios
  • Categorias: Sin categoría

Fuente: B:Secure Autor: Andrés Velázquez, CISSP, GCFA

Una vez que se habla de delitos cibernéticos, es importante entender que una red bajo ataque se convierte en la escena de un crimen. El análisis forense de los sistemas permite conocer la naturaleza de los incidentes y deslindar responsabilidades

La palabra forense de inmediato remite a cadáveres. En el mejor de los casos, los fanáticos de la serie de Jerry Bruckheimer, CSI –en cualquiera de sus tres versiones–, piensan en detectives brillantes y guapas investigadoras, capaces de resolver hasta el crimen más difícil con la ayuda de la tecnología y un poco de cultura general.

Por ende, el concepto sigue flotando en el aire como algo inalcanzable, o que no aplica para cualquier mortal. Sin embargo, es mucho más simple de lo que parece. En el caso particular de Associated Brokers Mexico (Abromex), el análisis forense les permitió aclarar un incidente de negocios. Thomas Dufour, gerente general de Abromex, narró a b:Secure que su empresa de corredores marítimos debía comprobarle a un cliente en Alemania el envío de un correo electrónico, pues su socio en aquel país negó haberlo recibido.

Básicamente, el correo contenía información que permitiría al cliente prorrogar la renta de un barco a buen precio; pero días antes hubo algunas modificaciones comerciales en Alemania que en realidad hacían el servicio más caro. Así pues, el socio nunca envió el correo al cliente y éste último tuvo que pagar más.

“El análisis permitió determinar que los correos se enviaron en la fecha indicada, sin haber sido modificados. Se llevó la prueba ante notario y se mandó al cliente”, explicó Dufour, quien temía haber perdido una oportunidad de negocio porque creía que únicamente el fax o telex tienen valor probatorio. “En internet obtuve información de Andrés Velázquez, y él me explicó que el correo electrónico también tiene valor jurídico.”

De acuerdo con información proporcionada durante el b:Secure Conference 2004 por el abogado Jorge Navarro Isla y los investigadores forenses Adolfo Grego y Andrés Velázquez, el cómputo forense se refiere al proceso de aplicar técnicas científicas y analíticas a infraestructura de cómputo para identificar, preservar, analizar y presentar evidencia de manera que sea aceptable en un procedimiento legal.

La evidencia es todo aquello que involucre a la computadora de manera directa o indirecta, y el objetivo es la reconstrucción de eventos pasados. Jorge Plascencia, xxx de seguridad de CA, explicó que tras un incidente las primeras inquietudes son saber qué pasó y cómo; pero el cómputo forense no se queda ahí: este proceso de análisis e investigación ayuda a delimitar lo que ocurrió y evitar que vuelva a suceder.

Sherlok Holmes de la tecnología

De acuerdo con Adolfo Grego, director general de Grupo RF, el propósito del cómputo forense es encontrar evidencia, no solo tapar el pozo una vez ahogado el niño. Andrés Velázquez, director general de Evidencia Digital, añade que este proceso permite conocer cómo se realizó el incidente y qué medidas se pueden tomar para que no vuelva a ocurrir, “se trata de aprender de los errores”, dijo.

Entre otras cosas, el cómputo forense permite determinar cómo se penetró el sistema; qué daño se cometió; qué tipo de iinformación quedó expuesta y el nivel de sensibilidad de la misma (tarjetas de crédito, contraseñas, números de cuenta, secretos industriales; si hubo robo de información o daños a terceros. Evidencia en mano, el análisis permite deslindar responsabilidades y seguir un proceso legal.

De acuerdo con Velázquez, en México los delitos más graves para los que se utiliza un proceso forense son robo de información, secuestro y fraude en portales financieros, pero no son los únicos usos del cómputo forense. Según estadísticas proporcionadas por Velázquez, la labor pericial es más solicitada para examinar el contenido de una unidad de almacenamiento, rastrear correos electrónicos y evaluar la alteración de contenidos o sistemas con fines económicos (ver gráfica).

En este sentido, Grego narró un ejemplo de su experiencia personal. Hace aproximadamente un año fue contactado por el abogado de una familia que había sufrido el asesinato de una integrante. Una hermana de la víctima recibió un correo que se interpretó como una amenaza por parte del esposo de la víctima (el contenido decía: Today is a good day to die). Su responsabilidad se centró en determinar si la amenaza era legítima y si en verdad lo envió el viudo.

Al analizar el contenido de la laptop, se determinó que efectivamente el correo había sido enviado desde la computadora del esposo de la víctima, pero se detectó que el correo traía anexo el virus [email protected], y una de las opciones de contenido con el que se reenvía este código malicioso es el texto «today is a good day to die». Tras conocer que el coreo fue creado y enviado por un virus, y que nunca existió intención por parte del viudo, la familia recobró la calma.

Como en este caso, en muchos organizaciones el punto de contacto es un abogado, y no personal de sistemas. De hecho, de acuerdo con Velázquez, en más de 90% de los casos los administradores de sistemas lo primero que hacen es tratar de remediar el problema y esto puede llegar a ser un problema, porque en primera instancia se notifica a los investigadores una vez que se manipularon los datos y ya no pueden presentarse como evidencia, y en segunda instancia porque al no determinar el origen del incidente y las consecuencias del mismo, la empresa seguirá con las mismas vulnerabilidades que tenían en un principio.

¿Quién podrá ayudarlo?

Una vez reconocido el problema, el dilema es decidir si lo hace la empresa, asistida por herramientas de análisis forense, o contrata los servicios de un especialista. La respuesta dependerá del tipo de incidente, el presupuesto de la compañía y hasta dónde se quiere llegar en el seguimiento del delito.

Velászquez comenta, por un lado, que muchos proveedores de seguridad prestan servicios de este tipo sin tomar en cuenta algunas cuestiones que no permiten que al final del proceso se pueda dar seguimiento del delito hasta sus últimas consecuencias. Obviamente, aunque el análisis forense puede estar al alcance de todos, se usa más en medianas empresas y grandes corporativos, pues se deben considerar los alcances de la investigación y los recursos a destinar en un proceso judicial, de acuerdo con el directivo de Evidencia Digital.

Por su parte, Plascencia comenta que los análisis independientes se realizan de forma posterior a los eventos, pero que herramientas como las que ofrece CA se pueden implementar de forma preventiva para realizar análisis forense en cualquier momento, ante cualquier incidente o comportamiento anormal de la red, lo que permite mitigar riesgos y reducir costos. “Cuando una compañía usa nuestra solución no solo se ahorra el costo de una consultoría, también adquiere tecnología para su infraestructura”, dijo.

No obstante, reconoció que el personal a cargo de la administración de la herramienta sí requiere ciertos conocimientos para utilizarla entenderla. Velázquez opina que el cómputo forense implica la aplicación de inteligencia, pues las herramientas no lo hacen solas. “Se requiere de conocimiento técnico que respalde el análisis y permita obtener información de calidad”, dijo.

Leyes, dinero y futuro

Velázquez opina que, aunque el cómputo forense es una disciplina sumamente nueva, tiende a cobrar auge porque no existen fronteras para cometer los crímenes por medio de las telecomunicaciones.

En este sentido, Plascencia comentó que ya hay una propuesta de ley y que organismos como la Policía Federal Preventiva (PFP) están actuando, pero las sanciones aún no están del todo tipificadas y no se sabe cuál es el procedimiento a seguir una vez que se deslinda la información.

En lo que respecta al poder judicial, Velázquez comentó que organismos como la Agencia Federal de Investigaciones (AFI) y la PFP están capacitando personal, pero en lo que toca al poder legislativo se necesitan reformas para que se reconozca a los medios electrónicos como un medio de comisión de delitos y, por ende, se genere un código que establezca cómo mantener y tratar la evidencia. Asimismo, la Procuraduría debe contar con peritos que sepan qué puede presentarse como evidencia válida y qué no.

“Entiendo que hay pocos notarios que conocen del tema y los servicios de los investigadores son caros –opina Dufour– pero creo que en la medida en que crezca la demanda los costos disminuirán. También creo que la gente tomará mayor conciencia de los riesgos de internet y adoptarán las medidas necesarias para protegerse.”

La experiencia de Dufour con el proceso de análisis fue rápida y efectiva, pero espera no tener que volver a utilizarlo. “Ahora estamos estudiando la implementación de firmas electrónicas como herramienta para comprobar que hicimos nuestra parte y que no cuestionen nuestra integridad o capacidades”, explicó.

Las pérdidas por robo de información ascienden a $2.7 millones de dólares, de acuerdo a la Encuesta de Seguridad y Crímenes Computacionales 2004 del CSI y FBI

Los más buscados

De acuerdo con cifras proporcionadas por Andrés Velázquez, director general de Evidencia Digital, los puntos donde se requiere labor pericial con más frecuencia son:

Contenido de unidad de almacenamiento 94.12%
Rastreo de correos electrónicos 88.24%

Dictaminar la alteración de contenidos o sistemas con fines económicos 76.47%

Verificación de ataques a la propiedad intelectual 70.59%

Determinación de falsedades documentales realizadas por computadora 60.40%

Verificación de obtención de información comercial, contable u otra almacenada en medios electrónicos 58.82%

Verificación de cumplimiento de contratos informáticos 52.94%

Determinación de si un periférico fue utilizado para generar determinada impresión, imagen, etc. 47.06%

Verificar intrusiones a una red informática 46.26%

Verificación de obtención de información sensible a través de medios electrónicos 29.41%

Pedofilias por internet, pornografía infantil a nivel mundial – a través de la red 5.88%

Fuente: Evidencia Digital

Compartir:

No Comments Yet.

Deja un comentario

Your email address will not be published.