Anunciese Aquí

Registro automático

Acceder con Twitter

top articulo
twitter
facebook
Rss
Wednesday 08 de February del 2023
Lea, publique artículos gratis, y comparta su conocimiento
Usuario Clave ¿Olvidó su clave?
¿Iniciar sesión automáticamente en cada visita?
Inserte su correo electronico

El forense digital: La figura clave para la respuesta ante incidentes de seguridad informática

veces visto 3125 Veces vista   comentario 0 Comentarios

Las siglas DFIR (Digital Forensics Incident Response, en inglés), se aplican al procedimiento realizado para investigar alertas de seguridad o sospechas de actividad maliciosa en una red informática.

El informático forense será la persona responsable de aplicar este procedimiento de forma correcta, y deberá ser un profesional formado adecuadamente en la metodología de investigación de incidentes.

Como resultado de su trabajo, el experto en respuesta ante incidentes, siempre emitirá un informe siguiendo un procedimiento que no difiere demasiado de lo que ocurre en el ámbito militar. Cuando los pilotos de combate regresan de una misión operativa, inmediatamente realizan un informe, que cubre los objetivos, lo que funcionó y lo que no, y exactamente cómo se mejorará la próxima misión para completar cada objetivo.

El análisis digital forense no es diferente y a continuación explico por qué…

Al examinar las pruebas de un delito informático o la infiltración de un atacante en un sistema, se puede llegar a comprender qué fue lo que permitió detectar al atacante, qué configuraciones erróneas o la falta de medidas de seguridad pudieron permitir que se produjera el ataque, y qué conclusiones pueden extraerse, con el objetivo de que un ataque similar no pueda volver a producirse. Además, en ciertos casos, el informe podrá tener relevancia judicial, si el forense actúa como perito en un caso.

El arte de la recolección de evidencias.

Como el objetivo de cada investigación es comprender mejor un suceso, es importante investigar detalladamente los hechos y artefactos generados durante el proceso. El arte de la recolección de evidencias es muy importante por sí misma. Es el primer paso en cada investigación, y básicamente consiste en el proceso de identificación de las posibles fuentes de datos, y la adquisición de los datos relevantes de estos recursos, y la correlación de toda la información adquirida.

Esta no es una tarea fácil ya que en cualquier sistema informático existe una gran variedad de fuentes de datos que pueden ser analizadas. Una pequeña cantidad de información no localizada puede llevarte a omitir puntos clave o eventos importantes y eso creará "agujeros" en la línea de tiempo del incidente. La existencia de demasiados datos es otro escollo común dado que la actividad maliciosa se oculta entre montones de datos generados por la actividad habitual de los usuarios del sistema. Por lo tanto, un equilibrio entre estas dos situaciones es crítico: Hay que separar el grano de la paja, pero sin omitir la información clave. Por eso la metodología aplicada juega un papel esencial en todo este proceso.

El “factor tiempo” es la clave de todo.

El tiempo es clave en la disciplina de la recopilación de datos. Si el tiempo de reacción ante un incidente es lento y manual, las posibilidades de perder datos volátiles son muy altas, como procesos en ejecución, conexión de red, etc. Además, la recopilación de pruebas debe incluir siempre una “marca de tiempo”, que luego ayudará a la creación de un cronograma organizado que pretenderá explicar el orden exacto de ocurrencia de las cosas.

Las pruebas deben recolectarse siempre por orden de volatilidad: Si el sistema está encendido, se debe realizar primero un proceso denominado “triage”, en el que se adquiere información de todo lo que está ocurriendo en ese mismo instante en ese equipo. A continuación, se realizará una imagen de memoria, dado que la memoria del equipo es una fuente inagotable de información, en la que muchas veces podremos encontrar las evicencias clave en una investigación. Finalmente (o si el equipo a analizar se encuentra apagado) realizaremos una imagen del disco o discos del equipo, que nos permitirá investigar qué es lo que está almacenado en ese equipo (o aquellas cosas que hayan podido ser borradas)

Etiquetar cada categoría de evidencia

Cada incidente es distinto del resto y requiere que se recopilen diferentes datos, de diferentes recursos. Por ejemplo; Un empleado que quiere robar documentos de un servidor de archivos, un ransomware que intenta encriptar archivos en una computadora local o un adversario que realiza un movimiento lateral a través de la red para llegar a un activo específico, dejan rastros diferentes que deben categorizarse de manera única.

Espero que con estas pequeñas líneas, os ayude a comprender la labor del informático forense y a qué nos enfrentamos día a dia.

Clasificación: 2.6 (7 votos)
Está prohibido copiar este artículo. Artículo.org no permite la sindicación de sus artículos.
Acerca del autor

Pablo Espada Bueno es Perito Informático Judicial. Experto en realización de Informes Periciales, Ciberseguridad y Hacking Etico Web http://www.peritotecnologico.net

¿Tiene comentarios o preguntas para el autor?
Artículos recomendados
Los 10 Gusanos más Peligrosos de Internet
Escrito por Mark_Kol, Añadido: 03 de Mar, 2011
Hagamos una breve reseña de estos pequeños animales que en algunas ocasiones se han metido en nuestros ordenadores y nos han atacan sin ninguna consideración. El primer gusano informático de Internet que llamó la atención de las firmas de seguridad y de los medios de comunicación nació el 2 de noviembre de...
veces visto 2586 Veces vista:   comentarios 0 Comentarios
Alarma ante la aparición del Virus Stuxnet, altamente sofisticado
Escrito por Miguelx2, Añadido: 25 de Sep, 2010
El “gusano” informático, conocido como Stuxnet, parece ser el primer virus diseñado para atacar estaciones de energía, plantas de agua y otras unidades industriales (por cada una de las topologías de red de estas empresas). Hasta ahora los programas maliciosos sólo buscaban robar datos de tarjetas de...
veces visto 2644 Veces vista:   comentarios 1 Comentarios
Los diferentes tipos de software para la seguridad online
Escrito por Zerep, Añadido: 02 de Mar, 2011
Existen muchos diferentes tipos de software para la seguridad online. Algunos de ellos son un paquete completo de más de un tipo de software, mientras que otros se pueden comprar o descargar fácilmente ofreciendo una protección más personalizada. Un software para seguridad online puede incluir firewalls,...
veces visto 3664 Veces vista:   comentarios 0 Comentarios
La amenaza nuclear, una constante
Escrito por ARMOnia, Añadido: 20 de Mar, 2011
  A pesar de que los expertos afirmaron en un comienzo que los niveles de radioactividad en Japón no eran significativos, con el paso de los días el peligro se ha ido cerniendo sobre Japón de una forma dramática y difícilmente predecible, tal es el caso que algunos países en la costa oeste americana, temen...
veces visto 1434 Veces vista:   comentarios 0 Comentarios
Los escáneres y su uso indiscrimando
Escrito por anaverna, Añadido: 13 de Ene, 2010
Los escáneres de retrodispersión emiten una radiación de 0, 1 microsevert.Si consideramos que una tomografía computada irradia 10.000 microsevert podemos considerar que la posibilidad de que produzcan cáncer es nula, aun en aquellos individuos que viajen frecuentemente.Este sistema permite detectar por debajo...
veces visto 1528 Veces vista:   comentarios 0 Comentarios