Ver Suplemento Temático...


Seguridad de la Información y Protección de Datos.

 

 Expertos

Diofanor Rodríguez Lozano

Oficial de la Policía Nacional de Bogotá en excedencia.
Certificado Profesional en Protección (CPP), por ASIS Internacional
Especialización en Seguridad Física y de Informática por la Escuela de Comunicaciones Militares de Bogotá

Gerente de Seguridad de Agroindustria UVE, S.A. (Colombia)

Cómo contribuye la informática forense a la seguridad


La seguridad en los tiempos modernos ha evolucionado mucho y de diferentes maneras. Al mismo tiempo, casi de manera simultánea, los delincuentes han venido mutando sus modus operandis en el ejercicio de sus quehaceres.

Los delincuentes cada vez más se familiarizan con las tecnologías, sus posibilidades y sus limitaciones, lo que hace que, en muchas ocasiones, en especial en el campo de la información, el tener que desplazarse para cometer una felonía no es realmente necesario y solo se necesitan de un buen equipo de computo y unos conocimientos medios sobre el tema informático para tratar de vulnerar los sistemas en las organizaciones.

A ello se suma que muchos de los “agujeros” o posibilidades que los delincuentes aprovechan, son los que nuestros empleados dejan por descuido o por que son  parte de las bandas dedicadas a estos ciberdelitos. Un estudio reciente generado por la empresa Donostiarra Servicios S21sec muestra que el 85% de los delitos a través de los sistemas son cometidos por los empleados de las empresas y de allí se deduce que muchos de los empleados tienen una segunda actividad para lograr otros ingresos, que paradójicamente es  delinquir en contra de la empresa que les da el trabajo.

Como vemos, el escenario es poco alentador. La situación es peor, si consideramos el hecho de que muchos de los dedicados a la seguridad corporativa en las organizaciones desconocemos, sino en su totalidad si en gran parte, el como prevenir los delitos informáticos y como hacer búsqueda, recuperación y reconstrucción de la información a través de las computadoras. 

Es aquí donde la informática  forense juega un papel primordial como soporte, ayuda a nuestra labor de seguridad.

Empecemos por decir que la informática forense es una ciencia sistémica, que se basa en hechos premeditados para luego buscar pruebas y proceder a su análisis. Se reconoce generalmente a Dan Farmer y Wietse Venema, los creadores del Forensics Toolkit, como los pioneros de la informática forense. Actualmente, Brian Carrier es probablemente uno de los mayores expertos mundiales en el tema En el sentido informático, son las aplicaciones las que cumplen un papel protagónico en el recaudo de las pruebas y la información que se necesita.

En la Informática Forense, la escena del crimen no solo está referida a un lugar físico específico, sino que está dada por el computador y la red a la cual se encuentra conectado, llámese LAN o WAN. Como se puede observar, el escenario es complejo, pues la escena puede ser un mundo de sitios visitados, varios correos y en general gran parte del ciberespacio.

Es  de mucho interés para el hombre de seguridad integral saber que en el momento de reconstruir una escena del crimen a través de los computadores, ello se puede hacer a través de los registros que dejan los sistemas y que nos pueden indicar si las operaciones se realizaron mediante una modificación parcial o total de la información, cual fue el PC utilizado, cuales fueron las herramientas y que tipo de información fue enviada por medio de los correos electrónicos, solo para mencionar algunas de las cosas que se pueden hacer.  

Es necesario entender que cuando se encuentra un equipo de computo donde se presume que se cometió el ilícito se debe dejar como se encuentra. Esto es, si está apagado debe quedarse de esa manera y si se encuentra encendido debe dejarse de esa forma, toda vez que existen unas pruebas o unos registros en la memoria volátil del equipo que se perderán si se modifica la forma en que fue encontrado.

Es importante traer a colación una pregunta hecha al Doctor Jeimy Cano, Ingeniero de Sistemas y Computación de la Universidad de los Andes (Colombia) realizada por Virusprot en el año 2002 que textualmente dice: ”¿cuanto se puede tardar en reunir las suficientes pistas que den con el autor de un ataque? . La respuesta a esa pregunta fue contundente pues el doctor Jeimy Cano respondió que: “Es una pregunta bastante complicada de responder, pues muchas veces el informático forense se debe preparar para fallar en la identificación de la persona real  que cometió el ataque. Pues la versatilidad que ofrece el Internet para enmascarar direcciones IP, correos electrónicos, entre otros sugiere un gran conocimiento técnico y paciencia por parte de los atacantes, los cuales consideran también estrategias “anti-forenses” que limitan las investigaciones y la efectividad de las mismas.  Luego, la   recolección de las pistas puede ser demorada, en algunos casos se puede tardar años en esta labor”  Como podemos observar, las cosas no son fáciles, pero se puede llegar a las soluciones cuando realmente se conoce quien nos puede ayudar.

Debemos recordar que lo que siempre se quiere y necesita es mantener la escena del crimen sin alteraciones, pues ello resulta de vital importancia para las investigaciones del tipo informático.

El Doctor Jeimy Cano en una conferencia realizada en la Facultad  de Derecho de la Universidad de los Andes manifestaba que para realizar una pericia del tipo informático se debe por lo menos respetar siete pasos para hacerla valida:

  • Se deben utilizar medios forenses estériles.
  • Mantener la integridad de medio original.
  • Identificar las posibles evidencias en la escena del delito.
  • Etiquetar, controlar y transmitir adecuadamente las copias de los datos, impresiones y resultados de la investigación.
  • Análisis de los datos identificados.
  • Presentación y sustentación de los resultados.
  • Validación y verificación de los procedimientos aplicados

El no mantener correctamente estos pasos nos lleva a  que sucedan  eventos como eliminar cualquier posibilidad de persecución del agresor, toda vez que se modifica la escena del crimen y no se podrían calcular los daños estimados con un grado de certeza.

Es importante además que cuando se trabaje en discos duros se haga una copia clon, es decir uno idéntico al original copiado bit a bit. De hecho, es aconsejable realizar tres copias del disco original y es muy importante hacer un buen aseguramiento de las pruebas en cajas fuertes y en el caso de discos evitar los lugares de interferencia magnética que puedan afectarlos.

Es importante trabajar en  el análisis de la comunicación de datos. Lo interesante en esto son dos cosas: La primera es la intrusión en una red de computadoras o el mal uso de las mismas y la segunda es la interceptación de datos.

Como hemos visto, las posibilidades que se tienen para contribuir en el esclarecimiento de un fraude, un hurto de información sensible, una adulteración parcial o total de archivos y hasta el simple hecho de perdidas de tiempo por hacer mal uso del Internet y el correo corporativo, son altas.  Lo interesante es que podamos saber que existen las herramientas y los expertos que hacen más sólida nuestra labor de seguridad.

En este contexto, es absolutamente vital que la persona que maneja la seguridad corporativa de las organizaciones trabaje mancomunadamente con el encargado de IT para generar valor agregado en nuestras organizaciones. Pues no podemos estar siempre diciendo eso no es problema mió.

El desafío está pues en el entender la tecnología para darle las aplicaciones que se necesitan dentro de nuestro trabajo diario en la seguridad. Esta ciencia que es la informática forense nos esta mostrando muchos beneficios si la aplicación es la correcta, aunque obviamente el tema no es sencillo, pero si por lo menos logramos entender sus fundamento estaremos contribuyendo desde nuestros puestos de trabajo al logro de los objetivos de esta ciencia. Y… recordemos, que la escena del crimen no debe ser movida bajo ninguna circunstancia.

Referencias:

Artículos y entrevistas del Doctor Jeimy J. Cano, Ph.D, CFE. Es egregado del Programa de Ingeniería y Maestría en Sistemas y Computación de la Universidad de Los Andes.

 


Fuente: Diofanor Rodríguez
Fecha: 15/11/06

   Mas artículos de Diofanor Rodríguez Lozano       Otros Expertos   

Este experto ha sido visto por 1946 personas.