Introducción
La informática forense se ha convertido en una parte cada vez más importante de la seguridad de TI. Según la revista Dinero, “datos de Kaspersky indican que en diciembre de 2017 los ataques con malware para robar datos financieros se incrementaron 22,4 %, en tanto que la compañía de seguridad RSA calcula en US$9.100 millones al año las pérdidas por phishing (páginas web falsas para robar información financiera)”.
Dadas estas estadísticas, a muchas empresas no les resultaría tan difícil presentar un caso de negocios convincente para asegurarse de que tanto los datos como los sistemas estén lo más seguros posible.
¿Qué es el Análisis informático forense?
Es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional. Es además la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal o de una investigación.
El análisis informático forense implica recopilar y examinar datos de una variedad de medios electrónicos, no solo computadores, y estos datos pueden tomar la forma de fotografías, imágenes descargadas, textos, documentos, correos electrónicos, páginas de Internet y cualquier otra información que se almacene en un disco duro. Estos datos o pruebas se pueden utilizar como una muestra de pruebas para presentar a un individuo bajo sospecha.
Te podría interesar: ¿Qué es el análisis informático forense?
Los investigadores informáticos forenses a menudo trabajarán tomando una copia o “imagen digital” de medios electrónicos sospechosos utilizando herramientas especializadas de software de examen forense que busca y extrae datos particulares de interés para un investigador. Con la increíble cantidad de información que se conserva en los medios electrónicos, sería prácticamente imposible (y tomaría una gran cantidad de tiempo) investigar datos si el software no estuviera disponible.
Beneficios y ventajas de la informática forense
Beneficios de la informática forense:
- Disminución de pérdidas (trasversal, humano, costos, etc).
- Imagen y Reputación.
- Optimización del recurso.
- Continuidad de negocio.
- Cumplimiento de la normatividad legal.
- Efectividad en el cumplimiento de los objetivos estratégicos de la compañía.
- Generación de cultura preventiva.
- Ambiente de control.
Ventajas de la informática forense:
Dentro de los aspectos relevantes encontramos en estas soluciones elementos de valor para las organizaciones:
- En Litigación civil: Recolección y análisis de evidencia incriminatoria, la cual puede ser usada para procesar una variedad de crímenes cometidos en contra de la organización y personas. Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser ayudados por la informática forense.
- Investigación de seguros: La evidencia encontrada en computadores, puede ayudar a las compañías de seguros a disminuir los costos de los reclamos por accidentes y compensaciones.
- Elementos corporativos: Puede ser recolectada información en casos que tratan sobre acoso sexual, robo, mal uso o apropiación de información confidencial o propietaria, o aún de espionaje industrial y suplantación de marca.
Incluso con investigaciones de software adecuadas puede llevar mucho tiempo, pero también puede producir algunos resultados sorprendentes e inesperados. ¿Quiere saber cuáles? Le mostramos:
1. Informática forense para descubrir el mal uso y fraude de los empleados
El mal uso de los datos por parte de empleados inescrupulosos y los delitos de fraude aumentan y pueden variar desde el mal uso de los sistemas informáticos hasta el robo de datos corporativos y financieros.
Estos delitos pueden ocurrir debido a empleados disgustados que buscan vengarse si han sido despedidos, empleados que buscan aprovechar su situación o simplemente que participan en actividades delictivas.
Puede evitar tener en su empresa a personas inescrupulosas si contrata un examen de poligrafía. En Atlas le ayudamos. Conozca este tipo de evaluación previo a la incorporación de personal en su empresa y hogar.
La posibilidad de que el empleado que está sentado a su lado pueda estar cometiendo delitos mientras trabajan es muy real y no es necesario que la prensa local o nacional tenga que mirar muy lejos para leer los casos de empleados atrapados mirando pornografía, accediendo a información confidencial de la compañía o el robo de datos.
- Combatir estos tipos de delitos informáticos puede ser muy costoso, especialmente para las pequeñas empresas; sin embargo, ser proactivo e invertir la cantidad correcta en la seguridad de los sistemas y los datos es el comienzo adecuado.
- El monitoreo efectivo y regular de los sistemas también es una buena idea para tratar de hacer más difícil que las personas cometan delitos (y se salgan con la suya). Sin embargo, con todas las técnicas de seguridad y prevención en el mundo, a las empresas les resulta muy difícil tener un éxito del 100% en detener a los empleados que participan en estos delitos, ya sea un uso indebido o una actividad delictiva, y aquí es donde la informática forense es una herramienta muy útil.
- La informática forense generalmente se requiere después de que se haya producido un incidente y es una opción muy efectiva para proporcionar evidencia de uso indebido o delito. El trabajo forense es eficaz para detectar o identificar actividades sospechosas, ya que los métodos utilizados se centran en el uso individual del equipo durante un período de tiempo. Las computadoras registran automáticamente cuándo y cómo se crearon, vieron o modificaron por última vez las imágenes, el texto y los documentos y, junto con la actividad física de fecha y hora, el investigador puede relacionar una actividad con una persona.
2. Informática forense para evidencia y recopilación de datos
Asegurar la continuidad y la validez de los datos electrónicos y la evidencia para probar el uso indebido de la computadora y la actividad delictiva puede ser un problema real. Los problemas a menudo surgen dentro de las empresas cuando el personal de TI o la gerencia superior no logran resistir la tentación de investigar el equipo y esto puede tener graves consecuencias.
Te sugerimos leer: Informática forense para descubrir el mal uso de los datos y fraude
Uno de los elementos más cruciales de las investigaciones forenses informáticas es la preservación de la evidencia y los “no expertos” pueden sobreescribir fácilmente la información de fecha y hora (la huella digital) al acceder al material. La información de esta fecha y hora es vital para comprobar cuándo se modificaron o se vieron los datos o las imágenes. Los elementos de la marca de fecha y hora son particularmente importantes en entornos de trabajo donde más de una persona tiene acceso a un equipo, por ejemplo,
Un experto en informática forense podrá limitar el potencial de daño a los datos o pruebas siguiendo las pautas adecuadas Esto debería asegurar que el investigador sepa cómo y dónde buscar información sin comprometer ninguna evidencia potencial; por lo tanto, es muy importante que los “no expertos” se resistan a la tentación de mirar datos o evidencia sin contactar a un experto.
Necesidad de emplear expertos forenses
Las compañías que se enfrentan a un caso sospechoso de criminalidad o mal uso de los datos deben saber cómo seguir los pasos correctos para preservar la evidencia y evitar alertar a la persona en cuestión.
Las buenas prácticas de las directrices de Informática Forense en Colombia, establecen que la mayoría de los investigadores forenses informáticos deben seguir rigurosamente unos pasos pero para los no expertos, algunas reglas simples son importantes para preservar los datos con fines de evidencia:
Recuerde
Una vez que se haya identificado una actividad sospechosa es una buena idea comenzar a tomar notas sobre las fechas y las horas en que una persona ha estado usando la computadora o el equipo en cuestión. Esto reduce e identifica todos los usuarios posibles y las horas en que que un sospechoso puede haber tenido acceso.
Los pasos aconsejables a seguir son:
- Llame a un experto para que le asesore sobre posibles cursos de acción.
- No avise a la persona ni a ninguna otra persona.
- No manipule ni intente investigar, puede interferir con la evidencia.
- No encienda o apague la máquina, aísle la fuente de alimentación.
- Asegúrese de que todos los equipos auxiliares, unidades de memoria y equipos de PC estén almacenados de forma segura.
Los expertos en informática forense son especialistas y también pueden proporcionar asesoramiento sobre cuestiones de seguridad. El uso indebido de la computadora se ha vuelto tan común que la detección y el monitoreo efectivo de la actividad electrónica, que tener una política sólida de uso y monitoreo de los sistemas informáticos de una empresa deben ser la piedra angular de cualquier política de TI o de personal.
Todos los empleados deben saber que están sujetos a las políticas de uso de computadoras y deben saber que el empleador tiene cierto derecho a monitorear este uso (las leyes de protección de datos y privacidad están involucradas aquí y el tema debe abordarse con precaución).
Un ejemplo de informática forense en acción
Si se pregunta si la informática forense es para usted, le presentamos este caso real para concientizarse de la necesidad que puede tener:
Un gerente senior de operaciones sospechó de un individuo que a menudo trabajaba hasta tarde sin producir resultados que hablaran muy bien de su productividad.
El gerente decidió pedirle a su gerente de TI que examinara algunas de las actividades en la red en general fuera del horario normal de oficina para ver si había alguna irregularidad. Este análisis de red mostró cierta actividad de correo electrónico de gran volumen durante las horas en que la persona estaba trabajando.
Te invitamos a leer: ¿Cuándo emplear un Laboratorio de Informática Forense?
Sin alertar a la persona, el gerente comercial llamó a un experto en informática forense local para evaluar la situación. El experto tomó una imagen de la computadora de la persona (fuera del horario de oficina) y luego trabajó durante el día siguiente para ver los datos. Los resultados fueron convincentes.
Allí, encontró correos electrónicos y documentos que se enviaron a una empresa rival en relación con una nueva oferta de trabajo. Posteriormente, el individuo comenzó a enviar información al rival sobre ventas, presupuestos y planes de marketing.
Se solicitó al experto un informe formal sobre los datos, que se presentó al empleado, quien, como era de esperar, se sorprendió de que lo hubieran descubierto y lo despidieron en el acto.
En esta ocasión, después de evaluar la información que se había enviado al rival, la compañía decidió no continuar con el asunto, aunque podría haber acudido a la ley para demandar por el robo de información de la compañía. Sin embargo, decidió hacer una revisión completa de sus sistemas, procedimientos y políticas de permisos para buscar dónde se podrían realizar mejoras (con la ayuda del experto en informática forense).
Cómo funciona el Laboratorio de Informática Forense en Atlas
Nos concentramos en la gestión de incidentes. Esos incidentes pueden ser un delito o puede ser cualquier problema que ocurre con la informática como el robo de información, pérdida de datos o ataques informáticos. Eso puede ser o no ser delito. El objetivo de identificar la evidencia es saber qué fue lo que pasó y quién lo hizo. Muchas veces, cualquiera de estos problemas, puede presentarse por ignorancia y no por mala intención de un empleado.
¿Cómo lo hacemos? Por medio de 4 pasos:
1. Identificación
Es muy importante conocer los antecedentes, situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y la estrategia de investigación.
Incluye, en muchos casos:
- La identificación del bien informático
- Su uso dentro de la red
- El inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia)
- La revisión del entorno legal que protege el bien y del apoyo para la toma de decisión con respecto al siguiente paso una vez revisados los resultados.
2. Preservación
Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para poder realizar el análisis. Dicha duplicación se realiza utilizando tecnología de punta para poder mantener la integridad de la evidencia y la cadena de custodia que se requiere.
Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia “bit-a-bit” de todo el disco, el cual permitirá recuperar en el siguiente paso, toda la información contenida y borrada del disco duro.
Para evitar la contaminación del disco duro, normalmente se ocupan bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura con el disco, lo que provocaría una alteración no deseada en los medios.
3. Análisis
En este punto se sigue el proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas.
Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios de la máquina como son
- Uso de dispositivos de USB (marca, modelo).
- Búsqueda de archivos específicos.
- Recuperación e identificación de correos electrónicos.
- Recuperación de los últimos sitios visitados
- Recuperación del caché del navegador de Internet, entre otros.
4. Presentación
En este punto se hace la recopilación de toda la información que se obtuvo a partir del análisis para realizar el reporte y la presentación a los abogados, la generación (si es el caso) de una pericial y de su correcta interpretación sin hacer uso de tecnicismos.
¿Qué servicios tiene el Laboratorio de Informática Forense en Atlas?
Recolección y Preservación
de Evidencia Digital
La evidencia digital es materia prima para los investigadores donde la tecnología informática es parte fundamental del proceso. Esta solución incluirá la recolección de dicha evidencia mediante las técnicas y procedimientos establecidos para garantizar una adecuada cadena de custodia, cumpliendo con los estándares, y garantizando la presentación de dicha evidencia ante estrados judiciales.
Fases para la Presentación del Servicio
1. Identificación de las evidencias
discos duros, pendrives, teléfonos móviles.
2. Recolección y adquisición
de las evidencias. Clonado en dispositivos higienizados.
3.Búsquedaespecifica
de palabras clave y documentos (ficheros borrados, registros de llamadas, SMS…)
4. Investigación forense completa
determinación de procedencia, correlación de fechas, uso de la información, envío a terceros.
5. Generación de informe pericial
con todo el proceso de la investigación y las conclusiones a las que se llegas.
6. Cadena de custodia
preservación de todas las evidencias.
Captura de imágenes Forenses
Solución orientada a la recolección de evidencia con fines de investigación interna, sin el componente de la cadena de custodia, ya que algunos casos las organizaciones no buscan presentar denuncias ante un incidente, sino determinar el origen del incidente.
Para una investigación interna en una organización se requiere:
–Obtener una copia idéntica del origen para análisis sobre seguridad y protección de datos.
–Recuperar la información que haya podido haber sido eliminada.
–Efectuar búsqueda de archivos específicos necesarios en la investigación.
–Generar una copia idéntica de la información para su preservación y análisis.
Recuperación de Datos
Solución orientada a la recuperación de información de vital importancia para la organización, alojada en discos duros y que pudo ser eliminada de manera intencional o accidental de los dispositivos de almacenamiento digital.
Respuesta ante incidentes y casos de fraude o extorsión
Ante las bondades de los avances de la tecnología y comunicaciones que nos permiten depositar en ellas todo tipo de información, también se generan oportunidades para los ciberdelincuentes o a aquellos que buscan ocultar su identidad para por medio de esta tecnología generar afectación de cualquier tipo a personas y organizaciones a tratar de identificar aquellas fuentes generadoras del ataque.
Tipo de incidentes de seguridad informática:
-Extorsión, amenaza, intimación desde un email.
–Uso de un email falso para fraude.
–Fuga de información de la compañía
–Robo y uso de una identidad falsa en Internet.
Fases de la investigación:
1. Análisis
2. localización IP.
3. Identificación.
Borrado Seguro de medios de almacenamiento
Los dispositivos digitales en los que se aloja la información, frecuentemente son desechados o entregados a terceros, sin percatarse que la información alojada en los mismos puede ser recuperada a pesar que el disco haya sido sometido a la eliminación de los archivos o a un proceso formateado.
TIPS para el borrado seguro:
La información que tiene un disco duro o USB cuando ya no se usa se deben borrar de forma segura.
Los equipos que se venden, retiran o dan de baja se deben formatear de forma segura.
Cuando se borra o elimina un archivo…éste realmente no desaparece.
Queremos ayudarle. Resolvemos cualquier que tengas acerca del laboratorio de informática forense