Educación Seguridad

Análisis forense: desentrañando los cibercrímenes

analisis-forense
Escrito por Redacción TICbeat

Al igual que la policía científica busca huellas dactilares y sangre en el escenario de un crimen, cuando se produce un ciberataque hay expertos especializados en descubrir su origen e identificar al autor.

Según la Policía Nacional, 2016 será el primer año de la historia en que se producirán más delitos cibernéticos que crímenes violentos en España. Se trata de una muestra más del imparable ascenso de las amenazas que acechan en la Red y de las que ningún particular ni empresa está a salvo.

Habitualmente se habla acerca de cómo prevenir estos ciberataques y cómo reducir su impacto (tanto económico como reputacional y de fuga de información confidencial). Sin embargo, es más desconocida la pata que subyace bajo todos los cibercrímenes: su análisis forense. Y es que, al igual que sucede con los asesinatos y otros delitos físicos, cuando se produce un incidente informático de cierta entidad, es esencial analizar las causas del ataque y su origen, para poder evitar nuevas réplicas y, por supuesto, detener al hacker culpable del mismo.

Para ello, los analistas informáticos emplean distintas técnicas y metodologías de análisis forense, así como software especializado que permiten a la Policía o a los equipos de seguridad de las empresas conocer todos los detalles del atacante y su ‘modus operandi’ (patrones de comportamiento, vectores de entrada, etc.). En nuestro país existen, de hecho, universidades como U-tad, (Las Rozas, Madrid) que oferta un  Máster Indra  en Ciberseguridad, el cual incluye un apartado específico para este tipo de enseñanzas.

Cómo trabaja un forense informático

Ya sea en la empresa privada o como parte de una investigación oficial, los expertos en informática forense siempre actúan siguiendo unos pasos comunes. El primero de ellos es el aislamiento del equipo o la red infectada, para prevenir la expansión del virus a otros sistemas. La segunda es conseguir muestras, sustituyendo la sangre o las huellas dactilares del mundo real por imágenes forenses (copias de todo el contenido almacenado en el equipo y de todos los ficheros y configuraciones involucradas en el ataque) en el caso de los cibercrímenes.

Una vez realizado este procedimiento, entramos ya en la fase de análisis, donde sí varían mucho las metodologías: existen tantas variantes de análisis como tipos de ciberataques. En este punto, el experto en seguridad suele analizar parámetros como las fechas en que se han producido o abierto determinados archivos, si alguno de ellos ha producido alguna modificación en el sistema operativo, los permisos de cada fichero, la actividad reciente en Internet o los archivos descargados desde el correo electrónico.

Software especializado

Para ayudarles en esta titánica misión, los expertos en ciberseguridad emplean software especializado para el análisis forense, que les ayuda a acceder de forma más rápida y en un mayor nivel de profundad a los parámetros clave del equipo afectado.

Una de las herramientas más empleadas es PlainSlight (usada también en entornos particulares por su extrema sencillez de uso), que nos permite recuperar archivos y carpetas eliminadas, examinar la configuración del firewall de Windows o conocer los últimos movimientos del disco duro y unidades externas -como dispositivos USB- en el equipo.

Para el paso justo anterior al análisis, el de generar una copia exacta del disco duro, contamos con soluciones como Bulk Extractor, que generan una imagen exacta del contenido de cualquier unidad para su posterior examen. Un test que se realiza, como es obvio, en un entorno de seguridad para evitar que la infección afecte también al equipo que lo investiga, para lo cual se emplean montadores de imágenes especiales (como P2 eXplorer), que solo otorgan permisos de lectura al disco.

Y para aquellos expertos en seguridad que buscan una alternativa que englobe en una única solución todo un marco de análisis forense, existen propuestas interesantes como DFF (Digital Forensics Framework). Se trata de una API que nos permite inspeccionar todo tipo de discos duros y unidades externas, recuperar ficheros borrados o, incluso, llevar a cabo análisis de la memoria volátil del equipo.

TICbeat para U-Tad

Sobre el autor de este artículo

Redacción TICbeat

Actualidad y análisis en tecnología, tendencias, aplicaciones web, seguridad, educación, social media y las TIC en la empresa.