¿A dónde va el cómputo forense?

Andrés Velázquez
Andrés Velázquez

Tiempo de lectura aprox: 3 minutos, 12 segundos

Por Andrés Velázquez – @cibercrimen

Andrés Velázquez
Andrés Velázquez

Cada día se escucha más sobre la posibilidad de ser defraudado por medio de Internet, de la posibilidad de que un empleado haya robado información confidencial o un secreto industrial dentro de la empresa en la que labora. El cómputo forense, una disciplina relativamente nueva, ha servido como una herramienta reactiva para poder determinar qué y cómo sucedieron los ejemplos anteriores. Esto nos hace recordar aquella excelente frase del profesor Eugene Spafford: “El único sistema totalmente seguro es aquel que está apagado, desconectado, guardado en una caja fuerte de Titanio, encerrado en un búnker de concreto, rodeado por gas venenoso y cuidado por guardias muy armados y muy bien pagados. Aun así, no apostaría mi vida por él”.

Y es que no es un secreto, ni una situación de telenovela, que en países de América Latina los fraudes –haciendo uso de la tecnología- se han incrementado. Simplemente, recuerdo un par de casos en los cuales hemos estado involucrados: contadores que no pagan correctamente los impuestos y realizan transferencias a números de cuenta bancarios de un familiar; personal de almacén coludidos con proveedores para recibir mercancía defectuosa, gracias a los mensajes de texto (SMS) que intercambian entre ellos; el empleado que antes de renunciar decide conectar una memoria de USB para respaldar su información y de paso la base de datos de los clientes de la empresa; hasta la ya tradicional amenaza vía correo electrónico.

Las tendencias son claras, hacemos más uso de la tecnología para diferentes situaciones dentro de nuestra vida diaria: pago de impuestos, transferencias interbancarias, llamadas y mensajes de texto desde nuestros celulares y muchas otras cosas más. Sin embargo, esa misma tecnología también se está usando para poder obtener un provecho, el cual no recuerdo haber escuchado o discutido con alguien un par de años atrás, y menos mientras estudiaba mi carrera en la universidad.

La seguridad de la información es un elemento clave y preventivo que nos permite disminuir el riesgo de que alguna situación, como las que acabo de mencionar, pueda explotar dentro de la organización; aunque normalmente se considera desde una perspectiva de “protegernos de los externos”, hay una situación importante que pocas veces se toma en cuenta: LOS INTERNOS; aquellas personas que se encuentran dentro de la organización, y quienes tienen acceso con un simple clic a la información, hacen buen o mal uso de la infraestructura y cuentan con acceso a casi todo lo que hace que sea considerada “una organización”.

Si consideramos lo anterior, sería más común de lo que actualmente se hace, encontrar políticas internas del uso de Internet y del correo electrónico corporativo; así como firewalls internos; cartas de asignación de equipos de cómputo, teléfonos celulares y contratos de confidencialidad que establezcan claramente la protección a la información en formato digital.

Cuando toda salvaguarda, control y elemento de seguridad implementado de forma preventiva no permite detener o evitar un incidente, es momento de incorporar al cómputo forense para poder determinar qué paso y aprender del mismo. Muchas son las organizaciones que simplemente contienen y reparan –lo cual no digo que esté mal-; no obstante, tiene mucho más valor el aprender y resolver de tal manera que el incidente no vuelva a pasar, o que en caso de ocurrir, deje la información suficiente para poder reaccionar.

Pero, ¿qué se necesita para poder crear un laboratorio de cómputo forense dentro de una organización?

La respuesta en sí, muchas veces es compleja, porque depende de muchos factores; sin embargo, se requiere de recursos humanos, hardware, software y procedimientos a la medida para poder atender los tipos de casos según la organización. Los recursos humanos no necesariamente tienen que estar dedicados al 100% a esta actividad, pero si requieren de un proceso de capacitación y entrenamiento continuos para poder reaccionar al nivel requerido de la organización. El resto de elementos sí debe ser dedicado y a la medida para poder reaccionar correctamente. No es lo mismo un laboratorio que realizará únicamente análisis a equipos Windows, que si requiere analizar diferentes sistemas operativos o teléfonos celulares.

Los procesos deben cumplir con las mejores prácticas internacionales en la disciplina, como el sobrescribir (wipe) todo disco duro antes de usarlo, a fin de confirmar que no tiene ningún elemento que pueda comprometer la imagen forense -copia bit a bit del contenido de un medio de almacenamiento- que se va a generar. Los formatos de cadena de custodia, de adquisición de evidencia y de seguimiento son parte de los procedimientos para poder tener control de cada uno de los elementos que se analizarán. Y es que, aunque un análisis forense se realice de forma interna, es imprescindible contar con elementos de integridad que permitan proteger a quien realiza el cómputo forense, y así, éste no se vea involucrado en una acusación.

Son muchos los retos a los cuales se enfrenta el cómputo forense, van desde el cambio constante de la tecnología, que requiere de la atención continua por parte de los investigadores para poder conocer y saber a lo que se enfrentan, así como al uso del cloud computing y los procedimientos para poder realizar análisis sobre ellos hasta el tiempo de procesamiento de discos duros de grandes capacidades.

El cómputo forense es una gran herramienta, tanto para realizar investigaciones internas como para poder usarlo para un procedimiento legal.


* Andrés Velázquez, CISSP, GCFA, IEM, ACE, Presidente y Director de Investigaciones Digitales de MaTTica, el primer laboratorio dedicado a la investigación de delitos informáticos en América Latina con presencia en México y Colombia.

Nota cortesía de MaTTica, el primer laboratorio de investigación de delitos informáticos en América Latina
Twitter: @csi_mattica