El análisis forense se lleva a cabo después de examinar el ciberdelito, ya que este proceso es específicamente para conocer como ha sido posible el mismo y la debilidad informática por la que se ha podido ejecutar ese ataque.
Su principal objetivo es lograr reconstruir los hechos y así determinar las cuestiones más a fines a la investigación, para ello es indispensable conocer donde se alberga la información más relevante, actualmente podemos decir que las fuentes más conocidas de información son correros electrónicos, conexiones a internet, archivos y sistemas etc.
Siempre antes de llevar a cabo un análisis hay que preparar el terreno de estudio y preservar cada elemento, es decir que lo más importante es proteger la evidencia central para ello hay que analizar y clasificar las evidencias para identificarla, posteriormente se debe buscar posibles métodos para analizar.
Es indispensable acondicionar el espacio laboral, es recomendable hacer uso de archivos o archivos de imágenes que sean copias para evitar que el sistema se vea afectado.
Los medios de almacenamiento deben estar totalmente listos para acoger la información, se recomienda por lo menos tener dos medios de almacenamiento para los análisis.
En el tratamiento de evidencias so en base a un sistema operativo concreto o software para ejecutar la investigación, uno de los medios de almacenamiento va a contener el sistema, así también preparar el espacio utilizando otro sistema operativo idéntico al del dispositivo afectado para evitar incidentes y primero usar como prueba para luego aplicar al sistema y hacerlo de igual forma con los medios de almacenamiento, esto va a evitar obtener resultados no esperados.
Sin embargo, también hay que preparar el espacio utilizando otro sistema operativo idéntico al del dispositivo afectado para evitar incidentes, esto va a evitar obtener resultados no esperados.
Para ello es necesario utilizar software o programas que permitan llevar a cabo una investigación en un terreno seguro, siendo un análisis de forma directa o live comúnmente conocido.
Es decir hacer uso del material almacenado sin modificar o alterar los mismos a través de vista previa y continuar con el análisis en este caso sería en caliente, pero ello solo será posible cuando se este ante sistemas UNIX o Linux, ya que con sistemas como Windows no será posible.
Una vez que se lleve a cabo este primer paso va a ser más orientativo el análisis ya que se conoce la debilidad y vulneración en donde los autores van a volver a atacar.
Como segunda fase es verificar el incidente, es decir verificar el estado y características de cada uno de los sistemas e identificar en que ámbito se produjo el incidente.
Por ejemplo, se identificará la intromisión de correos, acceso de desconocidos y la presencia de virus, códigos dañinos, interrupción del funcionamiento de sistemas y servicios o robo de información.
Para iniciar con el análisis hay que contar con información como día del ataque, fecha y hora de notificación, persona que ha dado el aviso, ante que tipo de incidente se esta, si las partes afectadas son hardware y software.
Así también obtener información de la ruta que siguió el incidente y las características de los archivos que han sido los medios de ejecución, tanto los bytes como el tipo, también verificar las cuentas de usuario ingresadas.
En idénticas circunstancias es necesario organizar cada uno de los archivos con fechas y con la fecha específica del sistema instalado, el objetivo es hallar archivos de duda procedencia, ya sean archivos en papelera de reciclaje, ocultos o modificados, generalmente utilizarán software o programas que les permita atacar y luego eliminarlos.
Primero es importante conocer el archivo, su ubicación y la ruta de ataque, es compleja la búsqueda ya que son varios archivos y se encuentran en todo el sistema. Seguidamente hay que analizar con detalle cada uno de los identificados y hallar la relación existente entre ellos.
El objetivo principal es llegar al origen del ataque e identificar todos los elementos que han sido utilizados para ser aplicados los mismos. Teniendo en cuenta que cada archivo esta formado por fragmentos y contienen información relevante de como fecha, ubicación y hora, permitiendo así conocer su hora de creación, o a su vez identificar archivos fueron eliminados y pueden encontrarse en la lista de recuperados.
Conocer la ruta por la que se ha dirigido el delito o incidente será útil para identificar su objetivo y funciones, a través de este análisis se va a conocer su punto de ingreso y salida al igual que la debilidad en el sistema por la cual penetraron en sus estructuras o cualquier otra posibilidad de vulneración.
Todos aquellos procesos del análisis van ahondar en el mismo punto, es decir que para continuar de forma individual con el objetivo planteado deberán tener en cuenta, archivos, contraseñas, claves y más información.
En otro aspecto, los incidentes pueden llegarse a detectar a través de alarmas y avisos de sistemas, antivirus o de forma manual verificar alguna incidencia, muchas veces los incidentes no han sido detectados con brevedad y se pierde información valiosa para conocer a los posibles autores.
Posteriormente hay que elaborar una respuesta inmediata de forma inicial, es decir analizar la misma y empezar a elaborar técnicas de recuperación, ello se obtendrá de declaraciones del equipo responsable, revisiones al sistemas y entrevistas.
En este proceso se verificará cada una de las estructuras de la evidencia volátil, para ello se analizan las conexiones que permanecieron conectadas durante el funcionamiento del sistema.
De igual forma se analiza todas las actividades sospechosas sobre el delito, para ello servirá indagar los navegadores y a través de las búsquedas dar con el punto de central de vulneración.
En el caso que se conozca la debilidad y como se produjo la vulnerabilidad, hay que continuar analizando todas las esferas más cercanas a obtener la realidad del incidente de modo que se buscaran navegaciones y ejecuciones de días anteriores.
Toda la investigación forense esta orientada a obtener una hipótesis y la misma ser cumplimentada con varios análisis siendo capaz de conocer la motivación y modus operandi del autor, para ello es indispensable contar con un dispositivo alterno que se mencionó anteriormente para hacer varias pruebas y luego aplicarlas.
En el momento que se descubre varias piezas del puzle que organizo el autor para ejecutar el delito, va a ser posible su identificación y la de los demás participes, como se ha expresado previamente las evidencias temporales o volátiles y todas las conexiones iniciales, archivos, imágenes, datos albergados en archivos eliminados, va a ser posible obtener indicios que dirijan al autor.
Una vez que se cuente con la información suficiente, se procede a investigar la ubicación del posible autor, en este caso la conexión a internet o red IP va a especificar el lugar de ejecución, así también se revisaran conexiones y todas las evidencias presentes en memorias temporales y fijas, es decir discos de almacenamiento y memoria interna del dispositivo.
De modo que al obtener una conexión IP sospechosa se procede a verificar a través de las coordinaciones de estructura de internet, a quién pertenece esa dirección, no obstante, el análisis e investigación va a continuar a pesar de conocer el nombre del sospechoso, tal motivo es porque varios autores utilizan otras direcciones para encubrirse y evitar que les encuentren.
A través de varias herramientas útiles para analizar no obstante a través de la herramienta NMAP útil para rastrear conexiones y las posibles debilidades por las que se inició el ataque, mediante aquello se va a identificar nombre, tipo de la aplicación utilizada, estado, así como actualizaciones, versiones y conexiones de los dispositivos.
Los tipos de autores en esta tipología delictiva son varios, los más destacados son:
- Personas capacitadas: Es decir gente que tiene conocimientos profesionales en informática y todo lo que con lleva a redes, conexiones, programación y conocen la forma, herramientas y equipos necesarios para ejecutar este tipo de delito. Generalmente se trata de estudiantes que continuamente practican y realizan pruebas intentando no dejar rastros.
- Hackers: De igual forma son personas con grandes conocimientos en esta área incrementándose su lucha por una ideología o creencia, de modo que llevan a cabo varios eventos enfocados en mejorar e integran sus argumentos en la sociedad.
- ScriptKiddies o delincuentes informáticos: Se trata de jóvenes con conocimientos en este campo y lo emplean para perpetuar delitos en internet, no tienen un conocimiento similar al de los otros perfiles, pero eso no es un impedimento ya que existen mentores o las propias paginas de navegación que permiten conocer y realizar cualquier acto delictivo.
El análisis forense permite identificar el plan de acción del autor a través de las alteraciones e impacto en el sistema dependiendo el tipo de ataque. Existen dos tipos de ataques.
Primero de tipo activos los cuales afectan gravemente el servicio y sistema en el caso de ataques pasivos no se ve alterada la funcionalidad del sistema e información.
Sin embargo, para verificar el daño causado hay que recurrir a otros factores técnicos o estructurales que han afectado de forma interna el sistema.
Karol Hernández, Sec2crime
