3.6.1 Ciber crimen, recuperar información, análisis forenses, metodología, situación legal. Ejemplo de aplicaciones, herramientas, aspectos legales en computación forense, atención de incidentes de seguridad, estándares internacionales, evidencia digital.

El análisis forense digital se define como un conjunto de técnicas de recopilación y exhaustivo peritaje de datos, la cual sin modificación alguna podría ser utilizada para responder en algún tipo de incidente en un marco legal. Un incidente es un evento en donde las políticas de seguridad de un sistema se ven corrompidas, siendo entonces el objetivo entender la naturaleza del ataque.

Dentro del fraude profesional generado en la web, considerado por muchos un crimen organizado, existen infinidad de términos, sin embargo, aquí mencionamos los más comunes:

****Ciberocupación: es el hecho de reservar un dominio en Internet, sobre todo un nombre que se asocia con la marca de una empresa, y luego tratar de sacar provecho de la venta o concesión de licencias de este nombre.

****Acoso cibernético: es el acto de amenazar y acosar a alguien a través de múltiples mensajes de correo electrónico. Sobre todo, con la intención de invadir de temor al destinatario o a un familiar del destinatario, bien sea a través de un acto ilegal o una lesión.

****Ciberrobo: es la acción de utilizar un servicio informático en línea, para robar la propiedad de otro o para interferir con la otra persona en el uso y disfrute de una propiedad.

****La interceptación de correo electrónico: es el acto de leer y almacenar e-mails, sin el permiso del destinatario.

****Fraude por Internet: es cualquier tipo de uso fraudulento de una computadora y el Internet, incluyendo el uso de las salas de chat, correo electrónico, foros, grupos de discusión y sitios web, para llevar a cabo transacciones fraudulentas, transmitir los beneficios del fraude a las instituciones financieras, o para robar, destruir o inutilizar los datos informáticos esenciales para el funcionamiento de un negocio (por ejemplo, a través de la proliferación de un virus).

****Fraude por telemercadeo: es un término que se refiere a privar a las víctimas de una forma deshonesta de sus bienes o dinero, e inclusive falsear los valores de estos bienes o servicios.

Este tipo de técnica está creciendo mucho en los últimos años y normalmente se encuentra relacionada a casos de estudio en donde ocurrió un delito financiero, evasión de impuestos, investigación sobre seguros, acoso o pedofilia, robo de propiedad intelectual, fuga de información y ciberterrorismo o ciberdefensa, entre muchos otros campos.

Usualmente es divido en cinco fases que nos ayudan a mantener un estudio estructurado, facilitando la verificabilidad, la reproducibilidad del análisis. Profundizaremos estas etapas del análisis forense:

1. Adquisición

En esta fase se obtienen copias de la información que se sospecha que puede estar vinculada con algún incidente. De este modo, hay que evitar modificar cualquier tipo de dato utilizando siempre copias bite a bite con las herramientas y dispositivos adecuados. Cabe aclarar este tipo de copia es imprescindible, debido a que nos dejara recuperar archivos borrados o particiones ocultas, arrojando como resultado una imagen de igual tamaño al disco estudiado.

Rotulando con fecha y hora acompañado del uso horario, las muestras deberán ser aisladas en recipientes que no permitan el deterioro ni el contacto con el medio. En muchos casos, esta etapa es complementada con el uso de fotografías con el objetivo de plasmar el estado de los equipos y sus componentes electrónicos.

Recomendamos la utilización de guantes, bolsas antiestáticas y jaulas de Faraday para depositar dispositivos que puedan interaccionar con ondas electromagnéticas como son los celulares.

La adquisición de muestras debe respetar una regla fundamental que está ligada a la volatilidad de las muestras, por lo que se deberán recolectar en el orden de la más volátil en primera instancia a la menos, sobre el final. A modo de ejemplo, podríamos indicar que primero deberíamos recolectar datos relevantes a la memoria, contenidos del caché y como último paso recolectar el contenido de documentos o información que esté disponible en el soporte de almacenamiento.

Como ya sabemos las RFC son un conjunto de documentos que sirven de referencia para estandarizaciones, normalizaciones en comunicaciones y tecnología. De esta forma consultando la RFC 3227, podremos relevar con mayor profundidad todo lo que compete a esta etapa.

2. Preservación

En esta etapa se debe garantizar la información recopilada con el fin de que no se destruya o sea transformada. Es decir que nunca debe realizarse un análisis sobre la muestra incautada, sino que deberá ser copiada y sobre la copia se deberá realizar la pericia.

De este modo, aparece  el concepto de cadena de custodia, la cual es un acta en donde se registra el lugar, fecha, analista y demás actores que manipularon la muestra.

En muchos casos deberemos utilizar las técnicas de Hashes para identificar de forma unívoca determinados archivos que podrían ser de gran utilidad para la investigación.

3. Análisis

Finalmente, una vez obtenida la información y preservada, se pasa a la parte más compleja. Sin duda, es la fase más técnica, donde se utilizan tanto hardware como software específicamente diseñados para el análisis forense. Si bien existen métricas y metodologías que ayudan a estructurar el trabajo de campo, se podrán obtener grandes diferencias dependiendo de las herramientas que se utilicen, las capacidades  y experiencia del analista.

Además, es muy importante tener en claro qué es lo que estamos buscando, debido a que esto dará un enfoque más preciso a la hora de ir a buscar pruebas. Sin embargo, el estudio de la línea de tiempo (timeline), logs de accesos  y una descarga de la memora RAM será muy útil para la mayoría de las pericias.

Es muy importante en esta instancia la evaluación de criticidad del incidente encontrado y los actores involucrados en él.

4. Documentación

Si bien esta es una etapa final, recomendamos ir documentando todas las acciones, en lo posible, a medida que vayan ocurriendo. Aquí ya debemos tener claro por nuestro análisis qué fue lo sucedido, e intentar poner énfasis en cuestiones críticas y relevantes a la causa. Debemos citar y adjuntar toda la información obtenida, estableciendo una relación lógica entre las pruebas obtenidas y las tareas realizadas, asegurando la repetibilidad de la investigación.

5. Presentación

Normalmente se suelen usar varios modelos para la presentación de esta documentación. Por un lado, se entrega un informe ejecutivo mostrando los rasgos más importantes de forma resumida y ponderando por criticidad en la investigación sin entrar en detalles técnicos. Este informe debe ser muy claro, certero y conciso, dejando afuera cualquier cuestión que genere algún tipo de duda.

Un segundo informe llamado “Informe Técnico” es una exposición que nos detalla en mayor grado y precisión todo el análisis realizado, resaltando técnicas y resultados encontrados, poniendo énfasis en modo de observación y dejando de lado las opiniones personales.