El forense digital: La figura clave para la respuesta ante incidentes de seguridad informática

Las siglas DFIR (Digital Forensics Incident Response, en inglés), se aplican al procedimiento realizado para investigar alertas de seguridad o sospechas de actividad maliciosa en una red informática.

El informático forense será la persona responsable de aplicar este procedimiento de forma correcta, y deberá ser un profesional formado adecuadamente en la metodología de investigación de incidentes.

Como resultado de su trabajo, el experto en respuesta ante incidentes, siempre emitirá un informe siguiendo un procedimiento que no difiere demasiado de lo que ocurre en el ámbito militar. Cuando los pilotos de combate regresan de una misión operativa, inmediatamente realizan un informe, que cubre los objetivos, lo que funcionó y lo que no, y exactamente cómo se mejorará la próxima misión para completar cada objetivo.

El análisis digital forense no es diferente y a continuación explico por qué…

Al examinar las pruebas de un delito informático o la infiltración de un atacante en un sistema, se puede llegar a comprender qué fue lo que permitió detectar al atacante, qué configuraciones erróneas o la falta de medidas de seguridad pudieron permitir que se produjera el ataque, y qué conclusiones pueden extraerse, con el objetivo de que un ataque similar no pueda volver a producirse. Además, en ciertos casos, el informe podrá tener relevancia judicial, si el forense actúa como perito en un caso.

Como el objetivo de cada investigación es comprender mejor un suceso, es importante investigar detalladamente los hechos y artefactos generados durante el proceso. El arte de la recolección de evidencias es muy importante por sí misma. Es el primer paso en cada investigación, y básicamente consiste en el proceso de identificación de las posibles fuentes de datos, y la adquisición de los datos relevantes de estos recursos, y la correlación de toda la información adquirida.

Esta no es una tarea fácil ya que en cualquier sistema informático existe una gran variedad de fuentes de datos que pueden ser analizadas. Una pequeña cantidad de información no localizada puede llevarte a omitir puntos clave o eventos importantes y eso creará "agujeros" en la línea de tiempo del incidente. La existencia de demasiados datos es otro escollo común dado que la actividad maliciosa se oculta entre montones de datos generados por la actividad habitual de los usuarios del sistema. Por lo tanto, un equilibrio entre estas dos situaciones es crítico: Hay que separar el grano de la paja, pero sin omitir la información clave. Por eso la metodología aplicada juega un papel esencial en todo este proceso.

El tiempo es clave en la disciplina de la recopilación de datos. Si el tiempo de reacción ante un incidente es lento y manual, las posibilidades de perder datos volátiles son muy altas, como procesos en ejecución, conexión de red, etc. Además, la recopilación de pruebas debe incluir siempre una “marca de tiempo”, que luego ayudará a la creación de un cronograma organizado que pretenderá explicar el orden exacto de ocurrencia de las cosas.

Las pruebas deben recolectarse siempre por orden de volatilidad: Si el sistema está encendido, se debe realizar primero un proceso denominado “triage”, en el que se adquiere información de todo lo que está ocurriendo en ese mismo instante en ese equipo. A continuación, se realizará una imagen de memoria, dado que la memoria del equipo es una fuente inagotable de información, en la que muchas veces podremos encontrar las evicencias clave en una investigación. Finalmente (o si el equipo a analizar se encuentra apagado) realizaremos una imagen del disco o discos del equipo, que nos permitirá investigar qué es lo que está almacenado en ese equipo (o aquellas cosas que hayan podido ser borradas)

Cada incidente es distinto del resto y requiere que se recopilen diferentes datos, de diferentes recursos. Por ejemplo; Un empleado que quiere robar documentos de un servidor de archivos, un ransomware que intenta encriptar archivos en una computadora local o un adversario que realiza un movimiento lateral a través de la red para llegar a un activo específico, dejan rastros diferentes que deben categorizarse de manera única.

Espero que con estas pequeñas líneas, os ayude a comprender la labor del informático forense y a qué nos enfrentamos día a dia.