Table of Contents

Toggle

Introducción

La metodología mostrada a continuación fue generada en base a bibliografía y la experiencia adquirida durante los años de trabajo en el área. En tal sentido, para el armado de las fases se tomó como referencia bibliográfica la norma ISO 27037/2012 «Norma para la recopilación de evidencias», la obra de Lázaro Domínguez Francisco denominada “Introducción a la informática forense”, adicionándole los conceptos expuestos en la página web www.forensiccontrol.com; dando como resultado las fases mostradas en la siguiente figura:

Consideraciones 

Una vez intervenido el material, o habiendo obtenido los permisos necesarios dados por la autoridad competente, se comienza con las fases. 

Cabe aclarar que al trabajar en una estación de trabajo que está encendida, “antes de apagar” se debe extraer toda la información desde la memoria RAM (volátil), los archivos log, y de todo repositorio de archivos que se considere necesario. En contraposición, si la estación de trabajo está apagada, “no debe encenderse”, esta acción podría modificar archivos del sistema. También se puede sacar fotografías, realizar grabaciones de video, y llenar formularios o actas describiendo el proceso, preferentemente con testigos y/o escribano público. 

Al trabajar con discos rígidos, los clones toman una relevancia importante a la ahora del análisis de datos, se deben realizar tantas copias como herramientas se utilicen, es decir, una copia por cada programa utilizado para el análisis. Esto se debe porque al utilizar la copia con cualquier programa se realizan alteraciones propias de la ejecución de dicho programa.

Si bien es difícil mencionar los distintos contextos con los que se puede encontrar, debe tener en cuenta estas recomendaciones básicas para preservar  la evidencia:  

• Asegurar y delimitar la escena

Solo debe tener acceso el investigador forense y personas autorizadas. Evitar la desconexión de equipos, y la manipulación no autorizada de dispositivos. La evidencia e indicio es importante, sensible y volátil (si apago el equipo se borra). Puede utilizar cintas para delimitar el lugar. Asegurarse de realizar actas

• Fijación e identificación 

No modificar la ubicación de los dispositivos en cuestión, tomar fotografías, identificar todos los datos técnicos de los elementos (marca, modelo, números de serie, etc). Para la manipulación se debe utilizar guantes y bolsas antiestáticas. 

Todas las acciones llevadas a cabo servirán para preservar la cadena de custodia de los elementos de evidencia, cualquier alteración aunque no sea significativa será muy difícil defender si la tesis opuesta indica que los elementos de evidencia están alterados.

Fase de Preparación

El requerimiento puede generarse desde una causa judicializada, desde un cliente (profesional independiente / estudio jurídico), o de un jefe / gerente (profesional en relación de dependencia).  

Contactos y acuerdos necesarios

Se debe definir precisamente las tareas, los responsables, y las fases del proceso. También se consulta sobre los tiempos que se tiene para la realización de las tareas, y los recursos que se pondrán a disposición. Además, se realizan reuniones con los responsables de las áreas involucradas informando las etapas y metodología de trabajo.

Las primeras definiciones siempre se modifican a medida que avanza el proceso. En consecuencia, se vuelve a ésta fase para realizar el agregado, modificación o eliminación que sea necesaria. No obstante, siempre es mejor tener una planificación base y modificarla, que no tener nada y avanzar a ciegas.

Definir el requerimiento

Resulta de suma importancia la definición clara de los alcances y límites, precisando que resultado se esperan, y que está fuera de los objetivos. Un objetivo mal definido o mal consensuado puede llevar a que el trabajo sea refutado o anulado. El no definir límites, puede hacer que el trabajo no tenga un fin. El dejarlo plasmado en formato digital (por correo electrónico) o papel (documento firmado) con el consenso de los actores responsables, resulta necesario para evitar malos entendidos.    

Fase de Evaluación

Analizaremos 2 conceptos importantes antes de continuar, la viabilidad y factibilidad. La RAE define a lo “viable” como: Que, por sus circunstancias, tiene probabilidades de poderse llevar a cabo. Y lo “factible” como: Que se puede hacer.

En esta fase se realiza un estudio de viabilidad (probabilidad) de distintas áreas, para determinar la factibilidad (poder hacer) del proyecto. También permite conocer si los resultados serán favorables o desfavorables, permitiendo establecer estrategias para alcanzar el éxito. En otras palabras, el estudio de factibilidad permite conocer si se puede o no se puede hacer el proyecto, cuáles son las condiciones ideales para realizarlo, y cómo podría solucionar las dificultades que se puedan presentar (Quiroa, 2020).

• Factibilidad operativa

Se refiere al contar con el recurso humano y sus competencias laborales necesarias para abordar el proyecto en todas las tareas.

Puede generar un Gantt con las etapas, recurso humano, y las tareas a realizar. Si bien seguro que habrá modificaciones conforme avanza el tiempo, siempre es importante tener una idea base de trabajo, que luego puede ser adaptada al nuevo escenario. 

• Factibilidad técnica

Se refiere a los recursos necesarios como herramientas, conocimientos, habilidades, experiencia, que son necesarios para efectuar las actividades o procesos que requiere el proyecto.

Debe considerar que de acuerdo al caso puede necesitar herramientas con licencia, donde el costo de adquisición deberá ser tenido en cuenta.   

• Factibilidad económica

Se debe realizar un análisis exhaustivo de la relación costo – beneficio del proyecto, y luego sopesar ambos aspectos. Si en la evaluación se observa que los costos superan a los beneficios será conveniente no avanzar en su desarrollo.

No obstante, hay veces que aunque el costo sea más alto que el beneficio, el proyecto debe realizarse igual. Un ejemplo es cuando a través de una orden judicial, se deben realizar actividades que exigen tareas extras, causando un incremento en las horas de trabajo. Por otro lado, hallar ciertas vulnerabilidades puede ser muy beneficioso, ahorrando en costos operativos.     

• Factibilidad política y legal

Se verifica que el tipo de proyecto no atente o incumpla alguna ley o norma interna de la organización, municipal, estatal o mundial.  De suceder, dificultaría la ejecución caratulando al proyecto como “no viable”.

También debe tenerse en cuenta el concepto de ecología, y desarrollo sustentable. El uso consciente y responsable de los recursos, sin agotarlos o exceder su capacidad de renovación, y sin comprometer el acceso a estos por parte de las generaciones futuras.

• Factibilidad de tiempo

El tiempo planificado debe coincidir con el tiempo real que se tiene para terminar el proyecto. En caso de necesitar más tiempo para alcanzar las metas establecidas, si el proyecto lo permite, se deben realizar las gestiones necesarias para solicitar ampliación de plazo. 

Fase de Adquisición

Es el procedimiento que permite obtener los medio digitales que han de ser analizados posteriormente.

Cuando se analiza el medio de almacenamiento nunca se debe trabajar con el medio original, se realiza una copia a bajo nivel del mismo. El archivo no debe interpretarse como un simple copia de seguridad/Backus, sino una imagen completa del medio de almacenamiento, incluyendo espacio no almacenado, particiones, espacios no utilizados, tabla de particiones, sector de arranque, zonas reservadas como el HPA (Host Protected Area)/DCO (Device Configuration Overlay) generalmente inaccesibles al sistema y utilizadas por el fabricante para incluir información especial. Se realizan tantas copias como herramientas pretenda utilizar. Al realizar la copia asegúrese que el medio original esté configurado como solo lectura.  Evite realizar todas las copias en un mismo medio de almacenamiento, si falla, se quedará sin copias.

Fase de Preservación

La RAE indica que evidencia es una certeza clara y manifiesta de la que no se puede dudar, para el proceso es una prueba determinante.

El objetivo de esta fase es resguardar los elementos que tengan valor de evidencia, de manera que sean completos, claros y verificables.

En ese marco, se debe obtener el certificado digital para la validación del elemento de evidencia de las copias realizadas. El certificado se obtiene por medio de una hash aplicando el algoritmo MD5 o SHA que son los admitidos por la comunidad. El código hexadecimal emitido por el hash debe ser igual para cada una de las copias, alguna diferencia en el código indicaría modificación en la copia quedando invalidado el elemento de evidencia.       

Fase de Análisis

Con diversas herramientas se procede a la identificación, estudio e interpretación de los elementos de evidencia existentes en el soporte de datos. Se detallan los sistemas de archivos, intenta detectar archivos sospechosos y analizarlos, realizar búsquedas, estadísticas, y toda tarea de investigación que considere necesaria. Las herramientas utilizadas deben ser conocidas por la comunidad, esto dará mayor validez a los resultados obtenidos.

Además, si el trabajo se realiza en una organización / empresa,  se puede solicitar documentación de uso interno, tales como manuales de procedimiento, directivas, normativas de cualquier índole; que permita una mayor contextualización técnica. Cuanta más información se tenga, mayor será el marco técnico, permitiendo un informe más completo.

Las certificaciones de la organización / empresa, y la capacitación del personal, también son parte del análisis, y pueden aumentar el grado de calificación en cuanto a medidas de seguridad.

Fase de Presentación

Es conveniente documentar durante el proceso, es decir, a medida que avanza con cada fase debe redactar la secuencia con el detalle necesario que permita justificar técnicamente cada paso realizado.

La presentación consiste en realizar el informe mostrando el proceso en detalle de los resultados, para luego ser entregados al requirente. Pudiendo ser una cuestión judicial, o propia de la organización / empresa.

En esta fase, toma fuerza la hipótesis con mayores elementos de evidencia.  

Advierta que hasta el momento no se habló de evidencia, sino de elementos de evidencia. La razón es por el carácter acumulativo de la prueba. No debe dejarse llevar por la suposición que la tarea realizada es para descubrir la pista para resolver el caso. Todo lo contrario, su tares consiste en encontrar indicios y señales que se irán agregando a un inventario de artefactos con el objeto de interpretarlos de modo profesional y circunspecto dentro del contexto técnico en el que desempeña su labor.

No olvide que para cualquier caso donde se deba presentar el informe, es probable que se requiera la presencia del investigador forense a fin de justificar sus respuestas.

Ejemplo

A continuación se realiza un ejemplo de una reconstrucción, donde de acuerdo a los indicios y evidencia se generan 2 hipótesis, que luego del análisis se comprueba que una de ellas fue validada.

Incidente: En la empresa abc hay 5 estaciones de trabajo del sector de finanzas encriptadas, se pide 10.000 DAI para desencriptar la información.     

Hipótesis: Conforme a los indicios se plantean 2 hipótesis: 

1. La primera, el ataque puede haber provenido de la apertura de un correo electrónico. 
2. La segunda, el ataque puede haber sido por haber ingresado un pendrive infectado en el dispositivo.

Evidencia obtenida: 

• Se verifica la PC, resultando que tienen deshabilitado el puerto para usar pendrive; por lo tanto, se descarta esta hipótesis. 
• Se analizan los correos electrónicos recibidos desde el servidor de correo, se encuentra el correo electrónico con el archivo malicioso. Esta prueba fue realizada en un ambiente controlado, produciendo la réplica del incidente. 
• Por medio de la dirección ip del correo electrónico se puede identificar desde donde provino el correo electrónico. También el dominio usado, el horario en el que se realizó, los servidores por donde pasó, y el tiempo desde el envío hasta su recepción.
• Además, se ingresó a la página de https://www.virustotal.com donde se obtuvo como resultado que el archivo es malicioso.  

Estructuras de informe

Seguidamente se presentan 2 estructuras para realizar informes:

Estructura sugerido por INCIBE

• Resumen ejecutivo
  1. N caso
  2. Información de los analistas
  3. Objetivo y alcance de la investigación
  4. Información general del incidente
  5. Conclusiones generales
• Información Inicial / Antecedentes
  1. Detalle del incidente
  2. Fecha del incidente
  3. Información de notificación o hallazgo del incidente
• Evidencias
  1. Información relativa a las evidencias adquiridas
  2. Ubicación
  3. Listado de evidencias adquiridas
  4. Herramientas utilizadas (versión)
  5. Preservación de las evidencias
• Análisis y evaluación
  1. Evolución o investigación inicial
  2. Análisis de evidencia
  3. Herramientas utilizadas
• Conclusiones (con detalle)
  1. Hechos relevantes y conclusiones
• Anexos
  1. Documentación
  2. Log’s
  3. Metodología de los atacantes
  4. Recomendaciones

 Estructura sugerida por revista COORDENADAS

La Prof. Ing. Darahuge María Elena y el Prof. Ing. Arellano González Luis Enrique en una publicación de la revista COORDENADAS del COPITEC, sugieren la siguiente estructura de un informe pericial:

Presentación del experto (Rol del experto, datos filiatorios, direcciones legal y de correo electrónico, CUIL/CUIT, identificación de la causa, tribunal interventor)

I – OBJETO DE LA PERICIA: Contiene los puntos de pericia solicitados.

II – ELEMENTOS OFRECIDOS: Describe exhaustiva y detalladamente los elementos a ser peritados y los instrumentos que se emplearán en dicho análisis pericial

III – OPERACIONES REALIZADAS: Debe detallar la totalidad de los procedimientos utilizados para resolver los puntos de pericia y sus resultados comprobados y comprobables. Estos procedimientos deben ser factibles de repetir por cualquier otro profesional, en similares condiciones y en cualquier momento posterior, arribando a idénticos resultados.

IV – CONCLUSIONES: Afirmación, negación o probabilidad de certeza del punto de pericia considerado.

Fuente:

• Quiroa, M. (2020). Tipos de factibilidad. Obtenido de Economipedia.com: https://economipedia.com/definiciones/estudio-de-factibilidad.html
• www.forensiccontrol.com. (2020). What is Computer Forensics? Recuperado el 2021 de 02 de 17, de https://forensiccontrol.com/2020/11/26/what-is-computer-forensics/
• Rivas López, J. L. (2009). Introducción al análisis forense. Barcelona: Eureca Media, SL.
• RAE. (2021). Real Academia Española. Recuperado el 17 de 02 de 2021, de https://dle.rae.es
• ISO/IEC 27037:2012. (2012). Norma para la recopilación de evidencias. Obtenido de https://www.iso.org/standard/44381.html