Articulo original   | imprimir Enero de 2006 Los informáticos forenses se hacen imprescindibles en delitos de guante blanco Los especialistas en anlisis informático forense rastrean las pruebas en los ordenadores con el fin de reconstruir el escenario de cualquier incidente o ataque informático para que los jueces puedan condenar a los autores. Virus creados para obtener claves de tarjetas de crdito, empleados que sustraen información confidencial de la empresa para venderla, delincuentes informáticos que acceden a redes para robar información... son algunos de los delitos informáticos más habituales. Para investigarlos es necesaria la intervención de un especialista en informtica forense que intentar reconstruir el camino que ha seguido el delincuente con el objetivo de encontrar las pruebas que permitan su detencin. "La investigación informtica se ocupa de las comunicaciones delictivas hasta llegar al origen, y el origen es siempre un ordenador. Es fundamental intervenir el ordenador para lograr establecer la relación entre usuario, mquina y delito", dice Juan Salom, comandante jefe del GDT, Grupo de Delitos Telemticos de la Guardia Civil. Cuando termina la investigación informtica, como explica Salom, el asunto queda en manos de la investigación policial, "que es la que vincula al usuario con la mquina". En el Centro Nacional de Inteligencia, los especialistas del Centro Criptolgico Nacional (CCN), que se ocupan de la seguridad de los sistemas de información de la Administracin pblica, explican que el origen de los atacantes más activos es China, seguida de la India, Pakistn, Rusia, EE UU y el Reino Unido. "Estos datos son objetivos y se obtienen de los pases de origen de las direcciones IP [nmero que identifica a un ordenador en una red]". No obstante, hay que tener en cuenta que se trata de la IP detectada, pero no hay que descartar que algunos de los ataques pueden tener su origen en una IP de otro pas". En el servicio de inteligencia espaol la actividad de seguridad se desarrolla "antes, durante y despus". Emplean el anlisis informático forense "durante el despus con la finalidad de investigar y descubrir lo ocurrido en un incidente de seguridad y, en su caso, recuperar la información o reparar los daños". "Las personas mienten, las pruebas no", repite una y otra vez el actor William L. Peterson que interpreta al forense Grisson en la serie de televisin CSI. Los especialistas en anlisis informático forense rastrean las pruebas en los ordenadores con el fin de reconstruir el escenario de cualquier incidente o ataque informático para que los jueces puedan condenar a los autores. "El anlisis forense es un proceso que, mediante una metodologa adecuada y formal, permite reconstruir el escenario del incidente o suceso de tal forma que podemos conocer las causas, mecanismos y herramientas, as como sus autores", explica David Barroso, experto en anlisis forense de S21sec. Carlos Mesa y Alberto Rosales, fundadores de la empresa Seguridad0, resumen los pasos que realizan los forenses informáticos en un caso de intrusin con robo de información: "Primero, se preservan las pruebas. Despus se investiga qu material se ha robado. Posteriormente, se averigua el mtodo utilizado para impedir nuevos accesos y, por ltimo, se intenta localizar al autor para denunciarlo". "Los delitos se investigan igual que en el mundo real. Se comienza investigando el lugar de los hechos para encontrar las evidencias del delito y poderlo acreditar en el juzgado", dice Salom, que ha sido investigador antes de dirigir el GDT. El comandante cree que "es muy complejo" probar los delitos informáticos. "No es una ciencia exacta. Se trata de encontrar indicios". El mayor nmero de denuncias de delitos informáticos que recibe la Guardia Civil corresponde a los relacionados con la pornografa infantil. Despus, fraudes, propiedad intelectual y hacking. Se reciben más denuncias de pornografa infantil porque hay más sensibilidad social. Lo que menos se denuncia es el hacking, dice Salom, quien no considera alarmante el aumento de los delitos informáticos porque el incremento es proporcional al crecimiento del nmero de usuarios de Internet. Los responsables del CNN creen que, adems de la constante aparición de virus y gusanos, los ataques más habituales están relacionados con el phising y el pharming. Pero el ataque que en el CNN consideran como amenaza más crtica es el que se realiza con troyanos adaptados al objetivo. Consiste en software daino que aprovecha vulnerabilidades del sistema operativo o del de las aplicaciones para infectar equipos corporativos. No suelen ser detectados por los antivirus porque están desarrollados para atacar un nmero muy limitado de objetivos -entre 10 y 100- y su firma no est disponible. Para los forenses, los muertos hablan. Para los peritos informáticos, los que hablan son discos duros. En algunas ocasiones, nuestro trabajo consiste en encontrar cul ha sido la causa de una pérdida de información, si los datos han sido eliminados a propsito o si se han borrado por un mal funcionamiento de la mquina, dice Juan Martos, responsable del Departamento de Informtica Forense de Recovery Labs. Buscando huellas En muchas ocasiones, cuando la persona que emplea el ordenador de forma inadecuada se ve sorprendida, intenta eliminar las pruebas que le puedan incriminar. En funcin del mtodo utilizado por el malo para tratar de borrar los datos, en la casi totalidad de los casos es posible recuperar esa información. Lamentablemente, existe un pequeo porcentaje de casos en los que la recuperación de los datos no es posible y la labor del perito se complica mucho, explica Martos. El ordenador registra los datos de cada actividad que realiza. Estos registros, que se conocen como logs, son una de las claves para la realizacin de un anlisis informático forense. David Barroso est convencido de su utilidad siempre que no están manipulados. El atacante puede borrarlos para eliminar sus huellas. As que muchas veces contienen información sin valor. Adems de los del ordenador, también contamos con los logs de otras infraestructuras que dan soporte al equipo, como los del router, cortafuegos, servidor de correo o de web, etctera. Aunque se borren los archivos, los sistemas registran unas huellas que pueden ser muy tiles para la informtica forense. La paciencia ayud a Martos a encontrar las pruebas que demostraban que un alumno de una escuela de hostelera haba intentando entrar sin estar autorizado en la red de la administracin del centro. El perito informático invirti una semana en analizar el disco del ordenador del alumno. Slo encontr rastros de algunas consultas en Google sobre procedimientos de hacking y de la instalacin de un programa para romper las barreras de seguridad, que el usuario haba intentado eliminar. La falta de resultados no le desanim y por fin encontr una prueba: Era un resquicio bastante elemental en el que el infractor no haba reparado. Windows mantiene un registro de determinados eventos que se producen durante la utilización del ordenador: mensajes de alerta de batera baja, poco espacio en disco, y también los errores de conexin de red. En el registro se podan ver una serie de mensajes de error que haba recibido el usuario de la mquina en los que se le adverta claramente de que estaba tratando de conectarse a una red, la de administracin, utilizando una identidad que ya exista en dicha red. Es decir, intentaba usurpar la identidad de otro usuario que s tena acceso a la red de administracin de la escuela. Caso cerrado.