En los últimos tiempos, en el mundo de la informática forense, se ha puesto muy de moda lo que se conoce como respuesta ante incidentes (Incident Response), siendo que, aunando esta disciplina con el análisis forense (Digital Forensic), se obtendría la disciplina conocida como DFIR (Digital Forensic & Incident Response). Existen diferencias muy importantes entre esta disciplina y la disciplina del peritaje informático, resumiéndose en que el DFIR pretende dar una respuesta rápida a un incidente de seguridad, mientras que el peritaje informático tiene como objetivo conseguir que una evidencia informática que contiene cierta información relevante para un procedimiento judicial, entre a formar parte de dicho procedimiento como prueba.
Ambos, el DFIR y el peritaje informático, comparten el análisis forense como disciplina central. El análisis forense permite determinar el origen y las causas de un incidente de seguridad, para en el caso de tratarse del ámbito DFIR, atajar el incidente y tomar medidas para evitar que se repita en el futuro y, en el caso del peritaje informático, convertir las evidencias analizadas en pruebas válidas en un procedimiento judicial.
Definición de “respuesta ante incidentes”
La “respuesta ante incidentes”, se define como aquella disciplina que pretende determinar el origen y el alcance de un incidente de seguridad y establecer mejoras para evitar que el mismo vuelva a repetirse. Este incidente de seguridad podría ser, por ejemplo, una intrusión, una fuga de información, la instalación no autorizada de un programa espía que envíe información al exterior, una infección de ransomware, un spoofing de correo electrónico, o, en general, cualquier otro tipo de incidencia que afecte a la seguridad de la organización. Un incidente puede afectar gravemente a la organización e impactar en su política de protección de datos, pudiendo llegar incluso a ser sancionada, si no se llevan a cabo las directrices legalmente establecidas en virtud de la normativa de seguridad de la información, aprobada por el Parlamento Europeo y el Consejo de la Unión Europea, conocida como Reglamento General de Protección de Datos, que ha sido traspuesto a la legislación española en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Cuando se descubre un incidente de seguridad, la organización, en base a su política de seguridad, intentará, en primer lugar, atajarlo y, en segundo lugar y, normalmente, en paralelo, descubrir su origen y evitar que vuelva a producirse. Para ello, lo habitual es que se encargue al “Blue Team” -un equipo de especialistas en ciberseguridad de la organización-, el análisis y resolución del incidente de seguridad. Este proceso de análisis y resolución se produce “al vuelo”, es decir, sobre las mismas evidencias afectadas por el incidente. Se produce, por tanto, una “contaminación” de las evidencias por parte de los analistas de ciberseguridad, que impedirá, con una probabilidad muy alta, que dichas evidencias puedan llegar a ser válidas en un procedimiento judicial. Obviamente, en el caso de un incidente de seguridad muy grave, con una importante afectación en la organización, especialmente si existen varias decenas o centenares de máquinas afectadas, lo prioritario para la organización será la resolución del incidente y no la judicialización del mismo.
En cualquier caso, la organización deberá tener presente que, una vez resuelto el incidente, si se consigue determinar el origen del mismo y se desea presentar una denuncia contra el o los responsables (por ejemplo, una empresa de la competencia), muy posiblemente, esas evidencias no podrán convertirse en pruebas, ya que la parte denunciada, probablemente alegará, a través de su defensa y en base al informe pericial de un perito informático, que las evidencias fueron contaminadas en el proceso de resolución del incidente.
Definición de peritaje informático
El peritaje informático, a diferencia de la “respuesta ante incidentes”, no pretende, al menos de manera genérica, atajar un incidente de seguridad. El objetivo del peritaje informático es la conversión de una evidencia informática en una prueba informática. Cuando una organización, o un particular, advierten que determinada información que se encuentra en una evidencia informática (un disco duro, una memoria de almacenamiento masivo, un DVD, un terminal móvil, etc.), es vital para la resolución favorable de un conflicto, es fundamental que dicha información entre, de alguna manera, en el procedimiento judicial como prueba. Para ello, deben contratarse los servicios de un perito informático que, mediante un procedimiento estandarizado de identificación, adquisición y análisis de la evidencia, la convertirá en una prueba, certificando que la información que contiene no ha sido alterada. Se puede leer el artículo sobre la preservación de la cadena de custodia en un disco duro para obtener una idea de este procedimiento, así como el artículo sobre la realización de un análisis forense y peritaje informático a un disco duro.
En primer lugar, para evitar que la evidencia sea contaminada, el primer paso del perito informático, deberá ser la realización de una adquisición de la misma ante fedatario público (notario o secretario judicial), sin que la evidencia original sea accedida, en ningún momento, por el perito informático. Obviamente, de ello deberá dar cuenta el fedatario público, que anotará en su acta o diligencia, que el perito informático conecta la evidencia a una herramienta forense determinada para llevar a cabo el volcado o clonación de la información, sin entrar a analizar la misma. Al final del proceso, el fedatario público anotará en el acta o diligencia la huella digital de la evidencia original.
Finalmente, para llegar a la constitución de la prueba, el perito informático, habitualmente (aunque no siempre, ya que dependerá de cada caso particular), realizará un análisis forense al volcado de la evidencia. Este análisis forense podrá determinar el origen y las causas del incidente de seguridad, plasmando todo el procedimiento en un informe pericial informático que deberá ser ratificado ante la autoridad judicial.
Diferencias entre el análisis forense en la “respuesta ante incidentes” y en el peritaje informático
Existen notables diferencias entre el análisis forense practicado en la “respuesta ante incidentes” y el practicado en un peritaje informático.
Respuesta ante incidentes (DFIR)
En la “respuesta ante incidentes” se trabaja sobre sistemas o máquinas “vivas”, es decir, en funcionamiento, necesitándose una respuesta, habitualmente, muy rápida, para encontrar el origen del problema y una solución. Para ello, es necesario utilizar programas informáticos capaces de realizar lo que se denomina como “triaje”, es decir, obtención de información vital del sistema que, posteriormente, pueda ser analizada por el perito informático. Estos programas informáticos, capaces de realizar “triaje”, pueden ser ejecutados desde la memoria RAM de la máquina, al objeto de dejar el menor rastro posible. También se pueden llegar a realizar capturas o volcados de la memoria RAM, que podrán ser analizados posteriormente con herramientas como Volatility, al objeto de determinar los procesos en ejecución en el sistema, decantar la información que estuvieren obteniendo y enviando al exterior y/o las acciones que estuvieren ejecutando en perjuicio del sistema.
Existen suites informáticas muy útiles para técnicas DFIR, como NirSoft o BriMor Labs, o programas de propósito específico como Bulk Extractor o MFTDump, entre otros. La ejecución de cualquiera de estas herramientas, deja rastro en el equipo analizado, por lo que el perito informático deberá ser muy cuidadoso.
Es muy importante señalar que el mantenimiento de la cadena de custodia es muy dificultoso utilizando técnicas DFIR, ya que es necesario trabajar con las máquinas directamente (al contrario que en el peritaje informático, en el que se trabaja con copias clónicas de los discos duros y/o evidencias, obtenidas ante fedatario público, que otorga fe de las huellas digitales de las mismas). El trabajar con las máquinas e instalar programas en éstas, contamina las evidencias e implica la pérdida en la cadena de custodia de las mismas, por lo que judicializar el procedimiento será muy difícil o, más concretamente, será muy difícil que dicha judicialización prospere, ya que siempre se tendrá enfrente un peritaje informático que señale que las evidencias fueron contaminadas durante el análisis forense. Si un perito informático utiliza técnicas DFIR para la realización de un análisis forense, podrá ser acusado por la parte contraria, de haber alterado las evidencias al trabajar directamente sobre las mismas, por lo que se hace necesaria la adopción de medidas de carácter técnico y legal para que el profesional quede cubierto, como la firma de un acuerdo de descarga de responsabilidades con la parte contratante.
Las técnicas DFIR son muy útiles y necesarias cuando se necesita dar una respuesta rápida a la incidencia (es decir, resolverla), sin detener los equipos y con la mínima afectación posible al negocio. Es necesario tener en cuenta, como se ha insistido, en que la judicialización de la causa será muy dificultosa acudiendo a este tipo de técnicas, por lo que, si no se puede detener el negocio y se desea acudir a los tribunales, lo más importante es que los analistas DFIR encargados de la detección y resolución del incidente, aíslen el paciente cero y, seguidamente, sea el perito informático el que proceda a protocolizar la situación.
Peritaje informático
En el peritaje informático, el profesional (perito informático), trabaja, habitualmente, con sistemas “muertos”, es decir, apagados, siendo que dichas evidencias deben ser adquiridas o clonadas ante un fedatario público (habitualmente, un notario, aunque también podría ser un secretario judicial), que otorgue fe de la huella digital de las evidencias. Nunca se puede trabajar directamente con las evidencias originales. La clonación de las evidencias ante fedatario público garantiza la preservación de la cadena de custodia en el marco del peritaje informático.
La huella digital sólo garantiza la cadena de custodia de la evidencia desde el instante en que se calcula, no antes, por lo que un agente externo (de confianza, como un notario, aunque podría ser un aplicativo certificado), debe certificar ese instante de tiempo. El perito informático no podrá ser acusado de haber manipulado la evidencia, siempre y cuando exista un registro, datado mediante fe pública, de la fecha en la que se calculó la huella digital y, siendo que ésta no se demuestre como alterada al ser recalculada sobre la evidencia original.
En este caso, el perito informático realiza la clonación de las evidencias y trabaja con copias idénticas de las mismas para la realización del análisis forense y del ulterior peritaje informático. Las herramientas utilizadas no deben contaminar las evidencias, siendo que lo habitual es “montar” los volúmenes, obtenidos de los discos duros o pendrives originales, o de cualquier otra evidencia, en modo de “sólo lectura”, para posteriormente ser indexados en herramientas como Autopsy, OsForensics, X-Ways o EnCase.
Para la realización del peritaje informático, es aconsejable seguir diversos estándares de realización de análisis forense e informes periciales informáticos. En sistemas Windows, es asimismo aconsejable analizar artefactos como la MFT, los Eventos, el Registro, las Shellbags, el Prefetch, las Shadows Copies o el timeline.