Ha llegado pues el momento
de iniciar el análisis propiamente dicho. No es objetivo de este post
realizar un exhaustivo estudio de cómo analizar evidencias digitales.
Este aspecto daría lugar a un estudio de mayor calado técnico y cuyo
contenido sería indudablemente más extenso. Sí se pretende sin embargo
ofrecer toda una serie de buenas prácticas y consideraciones generales,
que permitan, teniéndolas en consideración, la obtención de unos
correctos resultados en el proceso de análisis.
Evidentemente será necesario valorar que cada escenario presenta sus peculiaridades y no todos pueden analizarse de la misma forma. Las diferencias son significativas de unas situaciones a otras. Poco tiene que ver un caso donde es necesario localizar en un equipo una conversación mantenida a través de Messenger, con otros donde existen indicios de accesos ilícitos a cuentas de correo electrónico corporativo o donde se intenta detectar la posible acción de aplicaciones maliciosas en un caso de espionaje industrial. Los posibles ejemplos objeto de análisis pericial y sus diferencias podrían completar un listado interminable.
¿Porqué no decirlo? El término “forense” conlleva un cierto aire de misterio que puede resultar atractivo. Se asocia a la idea de investigación y descubrimiento y esto también ocurre en el ámbito de la informática. Sin embargo, en la mayoría de las ocasiones, las tareas de análisis no resultan nada edificantes, sino más bien todo lo contrario. Pueden incluso llegar a ser tediosas y requieren de un gran esfuerzo personal para no caer en la desidia. Muchos de los casos forenses que finalizan en un proceso judicial, demandan como tareas fundamentales el análisis de interminables log (registros de actividad) o la búsqueda de cadenas de carácteres entre el gran volumen de ficheros que pueden estar alojados en un determinado servidor o equipo de trabajo. Labores habitualmente poco gratificantes.
Es cierto que hay otros muchos tipos de actividades forenses más atractivas que las citadas anteriormente, sin embargo es inusual que las investigaciones basadas exclusivamente en estás técnicas deriven en un juicio. Los casos relacionados con aplicaciones maliciosas, los análisis de memoria, el descubrimiento de técnicas antiforenses o de ocultación (esteganografía) son algunos ejemplos de los muchos posibles. No debe obviarse que la información y conclusiones a las que el perito debe llegar tienen que ser rotundas y difícilmente refutables y éstas interesantes técnicas no suelen aportar el nivel de certeza requerido.
Frente a lo anterior, lo habitual es que sean aquellas investigaciones donde sea necesario analizar correos, ficheros de registros o ficheros de datos los que terminen en un proceso judicial. En definitiva hay que hablar de interpretaciones, ante lo cual serán los datos más simples y asequibles, alejados de complejos planteamientos técnicos los más útiles para la labor tanto de peritos como abogados.
Frente a lo anterior, lo habitual es que sean los procedimientos de análisis de correos, logs o ficheros los que aporten datos de valor para una investigación que tenga un fin judicial. En definitiva estamos hablando de interpretaciones, ante lo cual serán los datos más simples y asequibles, alejados de complejos planteamientos técnicos los más útiles para la labor tanto de peritos como abogados. Planteemos un ejemplo ilustrativo de lo anterior, la necesidad de explicar a un juez que a través de la identificación de una dirección de memoria se tiene constancia de la manipulación de un proceso del sistema que interfiere en las pulsaciones del teclado. Además dicha manipulación se produjo por la instalación de una aplicación que aunque en el registro del sistema aparezca realizada por el usuario demandante, se estima que en realidad fue llevada a efecto por el demandado, mediante una intrusión en el sistema a través de una vulnerabilidad en la máquina virtual de Java del equipo del demandante. Como es fácil deducir la posibilidad de transmitir esta información a un juez es una labor casi imposible.
Regularmente, y más en la coyuntura económica actual, son muchos los casos relacionados con despidos que buscan una causa justificada que los convierta en procedentes. De igual modo la gran competitividad hace que sean numerosas las investigaciones por espionaje industrial o robo de propiedad intelectual. Pues bien, este tipo de casos se resuelven habitualmente escarbando entre los registros de los sistemas o en ficheros de datos.
En la actualidad, los casos de investigación forense suelen presentar desde sus inicios objetivos concretos. No suelen ser habituales los análisis realizados en función de la posibilidad de estar afectado por una aplicación maliciosa o sospechas similares poco definidas. Cuando se adopta la decisión de iniciar un proceso, que además puede desembocar en un juicio, es porque existe una clara sospecha o al menos indicios razonables como punto de partida de la investigación. Los análisis realizados con ausencia de objetivos concretos, además de ser más complejos y costosos en el tiempo, suelen dar resultados poco tangibles y en muchas ocasiones incluso denotan falta de coherencia en la sospecha.
Adicionalmente estos resultados finales no suelen satisfacer al cliente, que ha visto “fantasmas donde no los hay”, y que no es inusual que ante ello presente dificultades para abonar los servicios prestados.
En el momento de afrontar el análisis de evidencias, deberán tenerse en consideración una serie de criterios y obtener del cliente unos datos fundamentales para la investigación:
- Definición de la línea temporal. Es crítico en cualquier análisis definir tiempos, tanto para acotar temporalmente la investigación como para definir las conclusiones siguiendo para ello patrones claramente definidos. Muchas de las conclusiones a las que se puede llegar se apoyarán en información de fechas y horas.
- Búsqueda de elementos o palabras clave. En ocasiones los indicios no estarán definidos con claridad, pero resulta totalmente indispensable tener una orientación respecto de qué buscar. Un nombre, una web o una dirección de correo suelen ser datos que el cliente puede llegar a facilitar y que suponen un buen punto de origen para desarrollar el análisis. Sin estos datos es realmente complicado realizar una investigación rápida y fructífera.
- ¿Quién es quién? Es vital conocer los máximos datos posibles de las personas involucradas. Usuarios afectados, direcciones, teléfonos, etc., son elementos que en determinados escenarios son determinantes. A veces en la búsqueda de conversaciones almacenadas en un equipo no aparecen nombres directamente pero sí “alias” de las personas involucradas. Definir un cuadro relacional puede resultar esclarecedor en este tipo de circunstancias. No sería el primer caso en el que tras una investigación pueden salir a la luz relaciones personales, incluso sentimentales, desconocidas hasta el momento por la persona u organización que había solicitado la investigación.
El analista en su labor de investigación debe tener en todo momento amplitud de miras y evitar la posible pérdida de evidencias por haber circunscrito la investigación al marco operativo e indicios originales exclusivamente. Nunca debería descartarse la posibilidad de incorporar nuevas evidencias a un escenario. Cuando la existencia de un caso pasa a ser pública de forma inevitable ante acciones que no pueden efectuarse con discreción, como son la retirada de un ordenador o la comunicación a los investigados, es habitual la eliminación de evidencias por parte de los afectados. En este sentido y en la medida de lo posible, es importante haber sido previsor, planteando al cliente una estrategia de adquisición de evidencias de mayor alcance del que podría considerarse inicialmente. Es por ello que ante la existencia de algún tipo de sospecha, aunque no totalmente fundada sobre una persona, debería procederse a clonar el disco de su equipo desde el momento inicial. De este modo si en el desarrollo la investigación fuese necesario, sería posible realizar un análisis posterior del disco recogido.
No debe olvidarse que este aspecto puede resultar especialmente conflictivo. Poner en guardia o crear supuestos sospechosos de personas que a larga pudieran no estar involucrados en el caso, genera una desestabilidad palpable en el ambiente laboral. Situación nada deseable en ninguna organización. Por ello, es importante desde un primer momento valorar con el cliente las prioridades, definiendo hasta que punto la correcta adquisición y preservación de las evidencias prevalece sobre el resto de circunstancias.
A la hora de analizar un disco, las búsquedas realizadas sobre el mismo deben ser exhaustivas, incluyendo la localización de información que inicialmente podría parecer inexistente. Mas allá de los escenarios donde se han implementado técnicas antiforense, muchos casos requieren de la recuperación de ficheros eliminados. No es inusual que el “sospechoso” haya podido tener la precaución de eliminar ficheros o datos que puedan ser contraproducentes para él. Incluso, si dispone de las capacidades para ello, puede que la eliminación de información haya sido irreversible.
La recuperación de ficheros eliminados es una tarea que implica mucho tiempo y a veces los resultados no son positivos o difíciles de gestionar para fines judiciales. A pesar de ello, su recuperación puede aportar al menos indicios importantes para la línea de investigación. Medio fichero es mejor que nada. Herramientas forenses tales como EnCase o FTK (Forensic ToolKit), cuentan con módulos para realizar búsquedas de ficheros eliminados y sobre ellos poder localizar palabras o frases clave. La dificultad aquí estriba en hacer creíble la prueba de cara al juicio.
Otro aspecto fundamental en la fase de análisis de muchos casos forenses, es la detección de patrones de conducta más o menos definidos. Usuarios que se conectan a unas horas concretas, correos que se envían desde unas IP específicas que aunque dinámicas pertenecen a un mismo rango, frases o palabras muy especiales, representan ejemplos de patrones que pueden ser fáciles de rastrear. En un caso abordado recientemente, una cuenta que accedía a datos de otros usuarios de forma ilegítima, era utilizada por dos personas diferentes. Se llegó a esta conclusión, además de por otros indicios, porque en el método de validación empleado se usaban dos patrones de autenticación válidos, aunque totalmente diferentes (dominio\usuario y usuario@dominio).
Analizar patrones, a priori puede resultar algo complejo, sin embargo haciendo uso de tablas de relación adecuadas esta labor puede ser un potente instrumento. A nadie se le exige tener la mente analítica, relacional y obsesiva del matemático y economista John Forbes Nash que inspiró la novela y posteriormente la película “Una mente maravillosa”. Sin embargo, sí es interesante para un forense disponer de ciertas capacidades de razonamiento analítico. Son muchos los casos en los que gracias a ellas, salen a la luz determinados patrones que dan pie en la elaboración de conclusiones bien fundamentadas. Por otra parte, la experiencia muestra que convenientemente introducidas en el juicio, los patrones de comportamiento constituyen un elemento esencial para poder conducir de forma efectiva las alegaciones y conclusiones que se presentan ante el Juez.
Es interesante contrastar los patrones obtenidos con el cliente. En ocasiones se llegará a apreciaciones realmente valiosas para la investigación. Pongamos un sencillo ejemplo de esta afirmación. En un determinado escenario laboral, todos los días se producen determinadas conexiones a recursos corporativos desde un mismo equipo. Sin embargo en determinadas fechas de la línea temporal de investigación puede observarse que esto no sucede así, lo cuál hace sospechar que en esos días la persona que opera desde el equipo en cuestión no desarrolló su labor habitual. Tras contrastar con la organización la inexistencia en esos días de alguna cuestión que justifique estas excepciones, es evidente que en las fechas señaladas sucedió algo “distinto a lo habitual” y que puede ser sintomático de los comportamientos anómalos que la investigación intenta localizar. Estos datos podrán ser introducidos en el informe como parte esencial de las conclusiones derivadas. No obstante hay que matizar que un informe pericial nunca puede encontrarse condicionado por el cliente y mucho menos, parcial o totalmente, elaborado por él. Será tarea del analista solicitar determinada información y por lo tanto atendiendo a su criterio como perito introducirla en el informe en un término u otro.
Este contraste de información con el cliente puede aportar valor a la investigación en algún otro sentido además del ya indicado. Retomemos el escenario anterior para ilustrar esta afirmación y pongámonos en la situación de que a diferencia de lo expuesto, el cambio en el patrón de comportamiento del profesional investigado en determinadas fechas sí responde a causas justificadas, como pueden ser visitas médicas. El analista dispone de esta información tras su comunicación con la organización cliente. Estos resultados por lo tanto afianzan la veracidad de las evidencias utilizadas, puesto que los resultados obtenidos por el investigador no eran conocidos por él de antemano y sin embargo se ha detectado claramente un cambio en el patrón de comportamiento habitual, a pesar de estar en este caso totalmente justificado.
Aprovéchese este breve ejemplo para recalcar que en cualquier caso el analista tendrá que ser muy cuidadoso con el tratamiento de aquellos datos que puedan resultar invasivos de la intimidad de las personas afectadas, pudiendo tener con ello consecuencias nada deseables ante una posible violación de la intimidad o de los datos personales de las personas objeto de investigación.
Evidentemente es crítico ser extremadamente escrupuloso en la realización del análisis e inevitablemente esto implica ser organizado. Hay que tener claro desde el principio cuales son los objetivos sin desdeñar por ello alternativas. Si eres caótico saltarás desde una pista a otra sin una clara visión y esto se reflejará indefectiblemente sobre el informe resultante de la labor de peritaje. Es importante anotar cualquier apreciación relativa a información obtenida directamente o a partir del cruce de resultados. No hay que confiar nunca en las capacidades de memoria personales, puesto que ante la avalancha de información es posible la pérdida de detalles relevantes. Es una buena práctica llevar un cuaderno de bitácora donde anotar cualquier apreciación, evidencia, horas, fechas, nombres o cualquier dato o impresión que pueda considerarse de interés.
Las herramientas son elementos fundamentales para el desarrollo de tareas de análisis, pero ni mucho menos lo más esencial. La experiencia, eficacia y buen hacer del especialista, son la clave para obtener resultados válidos y fiables. Las herramientas no utilizadas de forma adecuada serán de escasa o nula utilidad. La experiencia ha mostrado lo potentes que pueden llegar a ser aplicaciones sencillas utilizadas por manos expertas. No existen varitas ni teclas mágicas para afrontar en un caso la fase de análisis. Cada uno de ellas presenta sus peculiaridades y es muy importante desprenderse desde un principio de prejuicios y conclusiones preconcebidas. El asesino no siempre es el mayordomo. No debe olvidarse tampoco, que en ocasiones la visión profesional de un tercero puede dar aire fresco a la investigación en momentos de bloqueo de ésta.
Autor: Juan Luis García Rambla
Autor: Juan Luis García Rambla
No hay comentarios.:
Publicar un comentario