La evidencia digital
Los dispositivo digital que forma parte de
la vida de una persona es capaz de generar información que puede
convertirse en evidencia valiosa en caso de presentarse un incidente
de seguridad; ya sea en forma de una fotografía, documento, registro
de geolocalización GPS, mensaje de texto, correo electrónico o
incluso un número telefónico registrado como parte de una llamada.
Esta evidencia es útil para investigar casos relacionados con
actividades cibercriminales o de ataques informáticos, el problema
es que muchas veces la recolección y el manejo de esta información
no se realizan de manera adecuada.
Procedimientos para realizar una investigación forense digital
La realización de una investigación forense digital se puede dividir en 4 fases principales:
- Adquisición
- Preservación
- Análisis
- Presentación
Adquisición
Preservación
Análisis
Presentación
Importancia de la evidencia digital
Como podemos observar, en todo este procedimiento la evidencia juega un papel fundamental ya que para poder demostrar un supuesto se debe contar con todos los elementos de prueba que respalden la forma como se dio el incidente y permitan responder 6 preguntas clave: Qué, Quién, Cómo, Cuándo, Dónde y Por qué.
Por esa razón es muy importante que se lleven a cabo los procedimientos adecuados en la obtención y manejo de la evidencia ya que su confiabilidad representa nuestro único elemento de prueba para demostrar algo.
Los retos
Referencia
Correo: Roberto.Martinez@kaspersky.com
Esta fase es sumamente importante y contempla la obtención de
información por medio de copias desde los dispositivos donde se
sospeche que pudiera existir evidencia que ayude a la investigación
del caso. Estas copias deben realizarse con herramientas especiales
que permitan la transferencia bit a bit de la información y la
generación de una firma digital basada en un algoritmo hash para
garantizar la integridad de la evidencia obtenida.
Preservación
Una vez que se ha obtenido la información de los dispositivos es
muy importante mantener y preservar dicha información. Para ello
debe realizarse un procedimiento denominado “Cadena de Custodia”
que consiste en generar un documento que contenga la información de
los dispositivos de los cuales se realizaron copias digitales como
números de serie, marcas, modelos, firmas digitales, persona que
realizo el procedimiento, además de incluir el nombre y firma con
fecha de la persona que entrega el dispositivo original, así como de
la persona que lo recibe.
El objetivo de la Cadena de Custodia es documentar el traslado y
posesión de los dispositivos digitales o medios de donde se obtuvo
la información para la realización de la investigación, desde que
inicia el proceso, durante la investigación y hasta que finalice el
juicio o la investigación para garantizar que no exista
contaminación, daño, alteración o manipulación de la evidencia y
de esta forma mantener la confiabilidad en el proceso.
Análisis
Ya en el laboratorio forense, comienza la fase de análisis de
evidencia en el laboratorio. Éste es un proceso que puede ser
laborioso y la duración de esta fase depende de la complejidad del
caso y el alcance de lo que se esta buscando.
Adicional mente se presentan varios inconvenientes para poder
realizar la investigación, por ejemplo, el equipo o alguna
información pudieran estar protegidos con contraseña, cifrados o
manipulados para ocultar sus contenidos mediante técnicas como
estenografía o incluso algo tan simple como cambiar las extensiones
de los archivos para hacer creer que estos están dañados.
En esta etapa es fundamental contar con las herramientas adecuadas
así como el conocimiento, experiencia e intuición del investigador.
Presentación
Una vez concluida la investigación se preparan los informes
correspondientes con los hallazgos encontrados respaldados con
evidencia robusta y confiable.
Existen diferentes tipos de informes y mucho dependerá del tipo
de investigación realizada, por ejemplo, el informe puede ser
dirigido hacia los directivos de la empresa que solicitó la
investigación pero que no están considerando darle un cauce legal,
o puede ser un informe detallado que incluya términos legales para
ser presentado en una corte para un juicio.
Existen informes que incluyen contenido altamente técnico o
aquellos que sólo resaltan los aspectos más importantes de la
investigación sin contener información muy técnica y en un
lenguaje más cotidiano.
Como podemos observar, en todo este procedimiento la evidencia juega un papel fundamental ya que para poder demostrar un supuesto se debe contar con todos los elementos de prueba que respalden la forma como se dio el incidente y permitan responder 6 preguntas clave: Qué, Quién, Cómo, Cuándo, Dónde y Por qué.
Por esa razón es muy importante que se lleven a cabo los procedimientos adecuados en la obtención y manejo de la evidencia ya que su confiabilidad representa nuestro único elemento de prueba para demostrar algo.
Los retos
Los ciberdelincuentes utilizan, cada vez con mayor frecuencia,
herramientas y técnicas antiforenses con la idea de confundir,
complicar y entorpecer la labor de los investigadores.
Con la masificación de Internet, el uso de dispositivos móviles
y las operaciones financieras en línea, el número de amenazas e
incidentes crecerá de manera importante. El cibercrimen genera
ganancias cada vez más grandes y se extiende por todo el mundo.
actividades desde una perspectiva forense. Esto permitirá
facilitar la labor de investigación al momento de utilizar esa
información en busca de evidencia.
Es importante que los profesionales en seguridad se preparen y
conozcan acerca de la importancia en la obtención y manejo de la
evidencia ya que cualquier error u omisión puede entorpecer la
validez de la información encontrada.
Referencia
Correo: Roberto.Martinez@kaspersky.com
http://www.bsecure.com.mx/opinion/la-importancia-de-la-evidencia-y-el-analisis-forense-digital/
No hay comentarios.:
Publicar un comentario