10 Tips para entender el Análisis Forense Informático en Chile

Introducción

En estos tiempos donde la Ciberseguridad acaparó la preocupación del gobierno, vemos que la generación de incidentes aumenta día a día, y en ocasiones, las organizaciones sienten la necesidad natural de investigar lo ocurrido.

Este proceso de investigación puede definirse desde la base de ocurrencia de un delito, el que según nuestra legislación actual, puede corresponder a un sabotaje o espionaje informático. Afortunadamente existe un ánimo de modernización de dicho cuerpo legal con nuevos tipos penales, discusión que está fuera del alcance de este artículo.

El presente documento tiene la intención de otorgar al lector una pincelada de la realidad nacional respecto al análisis forense informático (o digital), incorporando una visión desde el aspecto procesal penal y cómo influye el desempeño de la tecnología en la obtención de resultados. Lo anterior bajo una mirada simplificada y práctica, centrando el enfoque en las soluciones o técnicas, más que establecer una discusión de la visión legal.

Más adelante agregaré artículos con detalles técnicos usados en la resolución forense de algunos incidentes interesantes, incorporando parte de la metodología utilizada y la presentación de sus resultados.

Finalmente, quiero excusarme y comentar que la mayoría de estos temas pueden ser analizados en detalle, incluso cada etapa del proceso forense puede ser expuesta profundamente, pero la idea es dar una pincelada en favor de la comprensión de esta ciencia.

1. ¿Qué es el Análisis Forense Informático?

El Análisis Forense Informático (AFI) se define como el proceso de identificación, preservación, recolección, transporte, análisis y presentación de la evidencia digital acorde a los procesos legalmente aceptados y sus procedimientos. 

En nuestro país comúnmente se le denomina peritaje, y quienes realizan dichos informes son los peritos, aunque también se les puede nombrar como “testigos expertos” por el fiscal en una causa penal.

En general, es considerada una ciencia forense ya que utiliza procesos verificables (tal como el método científico) para determinar hechos en materias civiles, criminales o administrativos. En este sentido, el proceso debe ser reproducible y obtener los mismos resultados tal como lo indica la ciencia.

Respecto a las etapas de AFI, puedo decir que existe bastante literatura en las que algunos autores sostienen que son menos etapas y otros más. En este artículo, definimos una mayor cantidad de etapas, las que pueden ser realizadas por la misma persona, o lo que es habitual en lo penal, por distintos intervinientes (así lo define el Código Procesal Penal Chileno) a quienes tienen acceso a la evidencia.

Otras definiciones de AFI: forense digital, forense de sistemas, forense de computadores, computo forense, examinador de computadores e informática forense, entre otros.

2. ¿Cuál es el objetivo de hacer un peritaje?

El objetivo principal es aclarar un evento o incidente técnicamente en el cual se vean involucrados soportes de almacenamiento de información digital.

Con ello se espera obtener una interpretación de lo ocurrido para terceras personas que no son necesariamente del área. Por ejemplo, un objetivo podría ser el determinar responsabilidades en caso de malas conductas de un empleado, mal funcionamiento de un sistema informático producto de un virus, malware, código malicioso, etc. e intentar atribuir dichas faltas hacia las personas o la tecnología.

Bajo otra mirada, se podría intentar determinar la inocencia o culpabilidad de una persona acusada de un delito. La realización de peritajes no tan sólo tiene que ver con delitos informáticos, sino también con delitos tradicionales cometidos con medios computacionales.

Por esta razón, hoy en día el forense juega un papel determinante para la toma de decisiones en un espectro muy amplio de la sociedad, ya sea en el caso de autoridades o superiores jerárquicos que necesitan conocer los hechos ocurridos en un delito, así como empresas que requieren establecer qué sucedió con la información contable de su organización, incluso hasta la recuperación de archivos eliminados.

3. ¿Existe alguna base legal al respecto? 

Es difícil encontrar legislación específica al respecto, pero lo más aproximado puede ser el Código Procesal Penal Chileno (CPP). No quiero copiar y pegar los artículos 314 y 315, pero versan de forma clara sobre el informe de peritos y su contenido. Sólo me quiero detener en algunos puntos, tal como el primer artículo que señala: “los demás intervinientes podrán presentar informes elaborados por peritos de su confianza”

La confianza es fundamental en la realización de peritajes, ya sea en el mundo público o en el privado. En este sentido, y de aquí en adelante, a sector público me refiero a los peritajes en causas penales/criminales (que es el área de donde provengo) y privado, bueno al empresarial. No obstante, estas dos áreas se conectan frecuentemente y es habitual que un informe pericial privado termine en manos de un fiscal.

En ambos casos, debe existir una buena comunicación con el fiscal y/o cliente, ya que se podría hacer la analogía entre la realización de un AFI con la Ingeniería de Software al momento de definir el requerimiento previamente a un buen desarrollo. Tal vez suena exagerado, pero en ocasiones nos encontraremos con peritajes bastante complicados y tardaremos días en resolverlos, pero al llegar al momento de exponer nuestras bellas conclusiones el cliente nos dirá ¡eso no era lo que yo necesitaba!. 

“Los informes deberán emitirse con imparcialidad”… ¡y es muy importante que así sea!. Recuerdo haber visto varias instrucciones de fiscalía para realizar un “contra” peritaje de la defensa. En estos casos es conveniente buscar la evidencia original y hacer un peritaje desde cero. En este punto hay que ser firme, muchas veces a la parte privada le solicitan que el informe diga A o B, o piden explícitamente que los resultados apunten al nombre de una persona en particular, o que se refiera exclusivamente a un párrafo específico obviando el resto, situación que no se puede establecer ya que la mirada siempre va desde lo técnico.

El artículo 315 nos da una pista importante de la forma y contenido que debe tener nuestro peritaje: descripción del objeto, del estado y modo en que se encuentra, la relación circunstanciada de todas las operaciones practicadas y su resultado (tal vez esto si lo copié y pegué del CPP). Más adelante veremos cómo se traducen estas etapas en la metodología para el desarrollo de un análisis forense, lo cual, combinado con lo que dicta la ISO 27037 y los diversos manuales de buenas prácticas existentes, permiten entender aún más el proceso de análisis forense informático.

4. ¿Por dónde comenzar?

Bueno hasta el momento todo ha sido texto y más texto, ¡y lo seguirá siendo! (por ahora). 

Quiero referirme a la ISO 27037/2015 ya que establece dos figuras importantes que podrían traducirse en capacidades presentes en profesionales que intervienen en los procesos de análisis forense. Y por qué es interesante este documento, bueno básicamente porque el año 2017 el Instituto Nacional de Normalización de Chile (INN) adaptó dicho documento bajo la Norma Chilena NCh 27037:2015, el cual según mi parecer es una buena adaptación de Google Translate. Además, en mis años de búsqueda de la verdad sobre el análisis forense digital, encontré una serie de documentos que muestran buenas prácticas recopiladas en el mundo de las fuerzas de orden. Por ejemplo, la norma se refiere al “sitio del incidente”, lo cual es análogo al “sitio del suceso”. En dicha sección también se sugieren algunos cuidados que se deben adoptar en el lugar del incidente tales como mantener precaución con personas “propensas a la violencia” o, analizar la posible existencia de “armas en el área”. Claro, hoy en día cualquier cosa puede suceder pero es difícil imaginar un CERT, CSIRT, o un incluso SOC, en el cual un empleado se manifieste violentamente y utilice armas de fuego frente a un phishing o un evento similar… ¡salvo que tenga otro tipo de problemas por supuesto!

Estas expresiones provienen del mundo de las fuerzas de orden y seguridad, en donde las órdenes judiciales permiten el ingreso a domicilios de imputados que sí podrían tener armas y sí podrían ser violentos en su actuar ya que producto de la revisión de sus computadores se pone en juego su libertad. Pero por supuesto no está demás considerar esas sugerencias con el fin de preservar la evidencia digital porque, ya sea dentro de una empresa como en la vivienda de una persona, fácilmente se podrían ejecutar acciones para eliminar los datos claves de una investigación.

En otro orden de cosas, esta norma establece lineamientos para los procesos de identificación, recopilación, adquisición y preservación de evidencia, lo cual se complementa con las etapas de “identificación, preservación, recolección, transporte, análisis y presentación” señaladas numeral primero de este artículo. Las adicionales se explican básicamente por la experiencia en terreno y las actividades necesarias para adquirir una evidencia. 

La ISO utiliza las figuras de Digital Examiner First Responder (DEFR) y Digital Examiner Specialist (DES). El primero, DEFR corresponde a la persona encargada de dar primera respuesta, identificar evidencia, recolectar y preservar. 

Por otra parte, el perfil DES apunta a la adquisición y se requiere su participación en aquellas actividades más complejas o en las que el DEFR no se siente capacitado para ejecutar ciertas acciones.

Afortunadamente estas figuras ya se están implementando en nuestro país mediante un trabajo realizado por la Fiscalía Nacional, quienes a través de una mesa de trabajo conformada por los distintos cuerpos policiales y fiscales, establecieron las bases de las buenas prácticas para el manejo de evidencia en las causas penales. Espero que pronto se publique ese trabajo y se de a conocer a la comunidad.

5. ¿Cómo realizar el proceso de identificación?

La gente del mundo informático no tendrá problemas en identificar un soporte de almacenamiento de información. Lo que sí es relevante es poder prepararnos adecuadamente para ir al lugar del incidente o hacer una adquisición remota de él.

No hay texto alternativo para esta imagen

Debemos hacernos algunas preguntas para intentar conocer el escenario al que nos enfrentamos. Ello será de utilidad para ver qué herramientas necesitaremos tanto en hardware como software, con quien deberemos conversar, que prioridades sobre la evidencia debemos establecer y que autorizaciones obtener. Algunos tips podrían resolver estas incertidumbres:

  • Conseguir una adecuada entrevista.
  • Tomar el control de la situación y super vigilar el acceso a la evidencia potencial.
  • Determinar quién es el responsable del lugar.
  • Documentar la escena, fotografía o video. Detallar conexiones, cables y periféricos conectados.
  • Si el dispositivo está encendido, no apagarlo y si está apagado no encenderlo. 
  • Si el encargado del área lo permite, buscar notas, documentación o papelería con contraseñas y apuntes vinculados al incidente o evento.
No hay texto alternativo para esta imagen

 Además usted debe considerar los siguientes aspectos según indica la ISO 27037:

  • Resguardar su integridad física.
  • Aislar el lugar del incidente.
  • Trabajar acompañado de alguien que sirva de testigo.
  • Evaluar la existencia de riesgos o peligros para su personal.
  • Discernir sobre el tipo de evidencia que se está obteniendo. Por ejemplo, documentos secretos, reservados, pornografía infantil, etc.

La imagen de la derecha muestra un conjunto de decodificadores satelitales los cuales formaban parte de una distribuidora ilegal de señales de TV Cable. Hasta ahí no había mucho trabajo forense que realizar, pero nos pidieron colaboración en caso de encontrar algo más sofisticado.

El problema que enfrentamos fue al percatarnos el alto voltaje existente en las conexiones de dichos dispositivos. Todos ellos convergían en una especie de concentrador que transmitían las diversas señales directo al tendido eléctrico.

No hay texto alternativo para esta imagen

En síntesis y, de forma sugerida, el proceso de identificación debería estar asociado a:

No hay texto alternativo para esta imagen

6. ¿Existe alguna dificultad al realizar un análisis forense?

Claramente el aspecto técnico puede revestir un grado de dificultad dependiendo del caso así como la obtención de resultados. Por lo general, el forense enfrenta una dificultad mayor que resolver el origen del incidente y esto es poder satisfacer la opinión del cliente.

Existen analistas que son demasiado técnicos en sus conclusiones y la verdad es que literalmente concluyen poco o nada. El caso más evidente ocurre con el material pornográfico infantil o imágenes abusivas de menores de edad. Por ejemplo, en un caso de almacenamiento de ese tipo de archivos, es importante que el forense detalle la cantidad de archivos encontrado, la ubicación de los mismos, el tipo de material y si éstos corresponden o no a menores de edad. Ello se contrapone con algunos peritajes que extraen la totalidad de imágenes, las exportan a un DVD o BluRay y dejan en manos del investigador o cliente, la tarea de revisar cientos de archivos que tienen ninguna relación con la investigación.

Por otra parte, el investigador, fiscal, cliente, abogado o quien solicita el peritaje también necesita que el caso sea resuelto y junto con eso poder confirmar las hipótesis que tiene sobre el usuario o responsable de la evidencia. Y acá viene una importante aclaración, sin contar con una cámara de video vigilancia sobre el usuario del equipo, la cual esté perfectamente sincronizada y monitoreadas sus acciones, es prácticamente imposible atribuir responsabilidades a una persona con nombre y apellido. La mayoría de las veces el forense se refiere al “usuario del equipo” que, siendo las “19:00 horas”, ejecutó “x aplicación”, la cual provocó “el eliminado de archivos”. Lo anterior sólo por dar un ejemplo.

7. ¿Qué tipo de equipamiento se necesita?

Armar una estación forense es relativamente sencillo. El problema se genera cuando debemos cumplir plazos acotados y analizar evidencias de forma masiva. Podemos tener 1 caso con una evidencia de 500 GB, o 1 caso con 50 equipos de 500 GB cada uno, y el asunto es ¿cómo lo resolvemos a tiempo?.

Sabemos que la comunidad informática está divida entre herramientas Open Source y las de pago. Y el software forense de pago es extremadamente costoso al parecer porque quien cubre los gastos son los estados, gobiernos, fuerzas de orden o empresas. En el caso de Estados Unidos, algunos fabricantes de software son aprobados por el NIST, y el resultado de los peritajes puede ser presentado en juicio, según lo acordado por el Departamento de Justicia.

Sin embargo, en nuestro país no tenemos esos problemas del primer mundo y podemos realizar peritajes con las herramientas que estimemos pertinentes. Será positivo o no, el tiempo lo dirá. Solo debemos estar seguros de que si vamos a utilizar alguna herramienta libre, los resultados puedan ser cotejados con alguna aplicación similar a fin de eliminar cualquier duda razonable sobre el funcionamiento de la misma.

Pero bueno, hay mucho que hablar al respecto, así como ventajas y desventajas, marcas específicas, rendimientos, resultados, reportes y un sinfín de características que, al final del camino, el forense opta por tratar de tener el máximo de herramientas posibles, como si fuese un arsenal de guerra para atacar ciertas dificultades de la mejor manera.

En lo que se refiere a performance o rendimiento del hardware bajo tareas de procesamiento exhaustivo, prefiero explicarlo con un gráfico. Intentaré se lo más sencillo posible y no caer en especificaciones precisas, ya que lo que se pretende demostrar es cómo influye el hardware en los tiempos de respuestas.

No hay texto alternativo para esta imagen

 ¿Qué es lo que hicimos? Una de las herramientas que más recursos consume es Forensic Toolkit de AccessData. Procesamos 2 evidencias diferentes con el fin de ser justos con el hardware. Según el gráfico, el Caso C,corresponde a una evidencia que fueron detectados, procesados e indexados, 4.7 millones de elementos, los que en su totalidad tardaron 12,6 horas en un computador marca Edas Fox Ultimate Investigator. Este equipo tiene diversos arreglos de discos, 128 GB en RAM, doble CPU físico Intel Xeon con 8 core cada uno, es decir, gran poder de procesamiento.

En cambio, en el Caso D, fue procesada una evidencia de 1.2 millones de elementos los que demoraron 43,5 horas en finalizar. El computador utilizado fue un Lenovo Workstation de la Serie P, con 16 GB en RAM, procesador i7 y disco Sata.

Insisto, no quise entrar en detalles técnicos acerca de procesadores y otras condiciones, lo que se pretende demostrar es que a mayor cantidad de hardware más se reducen los tiempos de procesamiento automatizados. Lo anterior pensando en la utilización de software forense tipo FTK o Internet Evidence Finder, los cuales mantienen la característica de leer todo el contenido del disco e indexarlo para búsquedas posteriores. Para una indagación puntual de un archivo, registro de windows, o algo muy sencillo, se puede utilizar cualquier computador.

8. ¿Qué se necesita para un gran laboratorio forense?

Continuando la idea del punto anterior, si pensamos en crear un laboratorio dedicado a los peritajes debemos pensar en la automatización. A continuación se presenta un esquema muy simplificado de los requerimientos de hardware:

No hay texto alternativo para esta imagen

Sala de adquisición. Es ideal contar con una sala de desarme de evidencia a fin de extraer sus soportes de almacenamiento y transmitir dichos archivos en formato testigo experto (E01 o similar) a un gran repositorio central.

Storage de evidencia. Las clonaciones forenses se deberán almacenar acá, en discos de estado sólido mientras el software comienza el procesamiento. Luego, al dejar de ser utilizados, estos archivos se deben trasladar automáticamente a discos más lentos tipo SATA (esta solución la entrega la tecnología que se adquiera).

Blade Servers. Pueden ser del tipo Blade u otros, no obstante la idea es conseguir poder de procesamiento para el software forense. Existen aplicaciones como AccessData Lab o Nuix Lab, que permiten explotar al máximo el rendimiento del hardware, con ello se logra reducir sustancialmente los tiempos de procesamiento.

Storage de Casos. A medida que transcurre el tiempo necesitaremos almacenar el histórico de nuestros casos para no volver a procesarlos otra vez. La ventaja principal es que esta característica permite recurrir nuevamente al caso cuando el cliente/fiscal lo solicite, además de tener acceso a los respaldos de información obtenidos de la evidencia original.

Data Base Server. Dependiendo de la solución comercial adquirida será necesario contar con un servidor para la gestión de la base de datos y su correspondiente storage. De igual forma, si se considera la implementación de un orquestador entre identificadores de casos y software forense, se requerirá un servidor para dicha tarea.

Estación de Trabajo. Corresponde básicamente a las estaciones de trabajo de los analistas forenses. Recordemos que los aplicativos LAB permiten distribuir la carga de análisis entre los funcionarios del laboratorio, es decir, una persona puede revisar imágenes, mientras otros analizan archivos de texto, planillas de cálculo, todo dentro del mismo caso.

Existen muchas ventajas respecto a la configuración de este entorno, pero tal vez la más importante es la auditoria presente en el control de acceso a la evidencia. Por otra parte, definir las dimensiones de la solución implican conocer al detalle el volumen de información a procesar durante el año, lo cual requiere establecer ese calculo previamente.

9. ¿Debemos tener experiencia previa para ir a un juicio oral?

Recordemos el numeral tres y el concepto de la confianza. En el caso de la fiscalía, la mayoría de las veces los informes periciales son presentados en juicio (¡siempre y cuando sean un aporte claro!). Esto hace que el analista forense informático tenga un grado mayor de dificultad ya que, por una parte debemos prestar nuestro testimonio en juicio oral jurando o prometiendo frente a los jueces, y por otra, podemos ser cuestionados por el abogado defensor del imputado. En ambos casos faltar a la ética o moral, puede quedar expuesta en público y más aún, registrada en audio para la eternidad. 

En general, en Chile, la mayoría de los peritos informáticos son Ingenieros en Computación/Informática. Claramente los cursos y certificaciones mejoran el currículum, pero al momento de la presentación en el estrado, tanto el abogado defensor como el fiscal, apuntan sus primeras interrogantes hacia la experiencia que tiene el testigo sobre su labor como forense. Da la impresión que el resto pasa a segundo plano y cobran importancia los artículos 314 y 315 del CPP que espera del perito conocer “los principios de su ciencia o reglas de su arte u oficio”.

Otros aspectos que los intervinientes en la causa pueden preguntar en juicio es sobre de la cadena de custodia. Quien incautó la evidencia, si fue el perito, que acciones realizó sobre ella y si hubo un correcto tratamiento de la misma, ya sea en favor de la fiscalía, o a fin de encontrar algún punto débil que pueda ser explotado por la defensa. 

Uno de los problemas que personalmente he enfrentado son las fechas de realización de los informes versus las presentaciones en juicio oral. Cuando ya han transcurrido casi 2 años, es difícil recordar qué trabajo se realizó sobre la evidencia, cómo se obtuvieron los resultados y, por sobretodo, traer a memoria números de serie, modelos, características y cantidad de archivos encontrados. Por esta razón decidí (ya mucho tiempo atrás), hacer mis reportes lo más completo posibles, redactando una buena metodología y detallando cada paso ejecutado durante el proceso de análisis. Incluso es muy relevante incorporar las versiones del software utilizado ya que a medida que pasa el tiempo, los programas incorporan mejoras sustanciales y nos pueden hacer caer en dudas del por qué no hice esto o lo otro en aquella fecha, siendo que la aplicación no realizaba dichas tareas.

10. ¿Qué otras referencias pueden ser útiles?

A continuación les dejo un listado de documentos que podrían ser útiles:

  • Decreto 83 del 12/01/2005 de la Secretaría General de la Presidencia, que aprueba norma técnica para los organismos de la administración del estado sobre seguridad y confidencialidad de los documentos electrónicos.
  • Ley 19223, que tipifica figuras penales relativas a la informática.
  • Código Penal Chile, que, en lo que se refiere a estas materias, tipifica figuras penales relativas a la infidelidad en la custodia de documentos, violación de secretos y cohecho, entre otros, que aplican a los empleados públicos. Asimismo, sanciona el almacenamiento, distribución y producción de material pornográfico utilizando menores de edad.
  • Código Procesal Penal Chileno, que indica que el personal policial deberá recoger, identificar y conservar bajo sello los objetos que pudieren ser utilizados como medio de prueba y deberán ser entregados al Ministerio Público a la Brevedad.
  • NIST, Guide to Integrating Forensic Techniques into Incident Response.
  • NIST, Computer Security Incident Handling Guide.
  • Association of Chief Police Officers, Good Practice Guide for Digital Evidence (UK).
  • Department of Justice, Prosecuting Computer Crimes (USA).
  • Department of Justice, Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations (USA).
  • Official ISC2 Guide to the CCFP Common Base Knowledge.
  • US Department of Homeland Security, Best Practices por Seizing Electronic Evidence.
  • Cloud Security Alliance, Mapping the Forensic Standard ISO/IEC 27037 to Cloud Computing.
  • ISO/IEC 27037 Guidelines for identification, collection, acquisition and preservation of digital evidence.

Palabras finales

Tal como se indicó a lo largo del artículo, hay mucho que profundizar respecto al análisis forense y cada uno de los tips entregados. Sé que tal vez extrañarán referencias a la cadena de custodia o preservación de evidencia, por mencionar algunos, e incluso profundizar en la nueva Norma Chilena 27037.

El objetivo principal de los futuros artículos es presentar casos forenses que hayan sido resueltos y que puedan ser publicados en internet. Lo anterior no podrá ser logrado sin antes hacer una introducción a esta ciencia forense, lo cual espero se haya cumplido.

Más adelante publicaré un artículo sencillo acerca del proceso de adquisición con herramientas open source y de pago.

La información aquí planteada no necesariamente responde a la realidad de alguna institución o empresa en la cual haya trabajado, sino más bien es un compendio de experiencias adquiridas a lo largo del tiempo y/o aprendidas desde otras latitudes.

Creado por Andres Godoy https://www.linkedin.com/pulse/10-tips-para-entender-el-an%C3%A1lisis-forense-inform%C3%A1tico-andr%C3%A9s-godoy/

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: