Los informáticos forenses se hacen imprescindibles en delitos…

Los informáticos forenses se hacen imprescindibles en delitos de guante blanco

Enero 2006 - El Ciberpaís

Los especialistas en análisis informático forense rastrean las pruebas en los ordenadores con el fin de reconstruir el escenario de cualquier incidente o ataque informático para que los jueces puedan condenar a los autores.

Virus creados para obtener claves de tarjetas de crédito, empleados que sustraen información confidencial de la empresa para venderla, delincuentes informáticos que acceden a redes para robar información... son algunos de los delitos informáticos más habituales. Para investigarlos es necesaria la intervención de un especialista en informática forense que intentar reconstruir el camino que ha seguido el delincuente con el objetivo de encontrar las pruebas que permitan su detención.

"La investigación informática se ocupa de las comunicaciones delictivas hasta llegar al origen, y el origen es siempre un ordenador. Es fundamental intervenir el ordenador para lograr establecer la relación entre usuario, máquina y delito", dice Juan Salom, comandante jefe del GDT, Grupo de Delitos Telemáticos de la Guardia Civil. Cuando termina la investigación informática, como explica Salom, el asunto queda en manos de la investigación policial, "que es la que vincula al usuario con la máquina".

En el Centro Nacional de Inteligencia, los especialistas del Centro Criptológico Nacional (CCN), que se ocupan de la seguridad de los sistemas de información de la Administración pública, explican que el origen de los atacantes más activos es China, seguida de la India, Pakistán, Rusia, EE UU y el Reino Unido. "Estos datos son objetivos y se obtienen de los pases de origen de las direcciones IP [número que identifica a un ordenador en una red]". No obstante, hay que tener en cuenta que se trata de la IP detectada, pero no hay que descartar que algunos de los ataques pueden tener su origen en una IP de otro país".

En el servicio de inteligencia español la actividad de seguridad se desarrolla "antes, durante y después". Emplean el análisis informático forense "durante el después con la finalidad de investigar y descubrir lo ocurrido en un incidente de seguridad y, en su caso, recuperar la información o reparar los daños".

"Las personas mienten, las pruebas no", repite una y otra vez el actor William L. Peterson que interpreta al forense Grisson en la serie de televisión CSI. Los especialistas en análisis informático forense rastrean las pruebas en los ordenadores con el fin de reconstruir el escenario de cualquier incidente o ataque informático para que los jueces puedan condenar a los autores.

"El análisis forense es un proceso que, mediante una metodología adecuada y formal, permite reconstruir el escenario del incidente o suceso de tal forma que podemos conocer las causas, mecanismos y herramientas, as como sus autores", explica David Barroso, experto en análisis forense de S21sec.

Carlos Mesa y Alberto Rosales, fundadores de la empresa Seguridad0, resumen los pasos que realizan los forenses informáticos en un caso de intrusión con robo de información: "Primero, se preservan las pruebas. Después se investiga qué material se ha robado. Posteriormente, se averigua el método utilizado para impedir nuevos accesos y, por último, se intenta localizar al autor para denunciarlo".

"Los delitos se investigan igual que en el mundo real. Se comienza investigando el lugar de los hechos para encontrar las evidencias del delito y poderlo acreditar en el juzgado", dice Salom, que ha sido investigador antes de dirigir el GDT. El comandante cree que "es muy complejo" probar los delitos informáticos. "No es una ciencia exacta. Se trata de encontrar indicios".

El mayor número de denuncias de delitos informáticos que recibe la Guardia Civil corresponde a los relacionados con la pornografía infantil. Después, fraudes, propiedad intelectual y hacking. Se reciben más denuncias de pornografía infantil porque hay más sensibilidad social. Lo que menos se denuncia es el hacking, dice Salom, quien no considera alarmante el aumento de los delitos informáticos porque el incremento es proporcional al crecimiento del número de usuarios de Internet.

Los responsables del CNN creen que, además de la constante aparición de virus y gusanos, los ataques más habituales están relacionados con el phising y el pharming.

Pero el ataque que en el CNN consideran como amenaza más crítica es el que se realiza con troyanos adaptados al objetivo. Consiste en software dañino que aprovecha vulnerabilidades del sistema operativo o del de las aplicaciones para infectar equipos corporativos. No suelen ser detectados por los antivirus porque están desarrollados para atacar un número muy limitado de objetivos -entre 10 y 100- y su firma no está disponible.

Para los forenses, los muertos hablan. Para los peritos informáticos, los que hablan son discos duros. En algunas ocasiones, nuestro trabajo consiste en encontrar cuál ha sido la causa de una pérdida de información, si los datos han sido eliminados a propósito o si se han borrado por un mal funcionamiento de la máquina, dice Juan Martos, responsable del Departamento de Informática Forense de Recovery Labs.

Buscando huellas 

En muchas ocasiones, cuando la persona que emplea el ordenador de forma inadecuada se ve sorprendida, intenta eliminar las pruebas que le puedan incriminar. En función del método utilizado por el malo para tratar de borrar los datos, en la casi totalidad de los casos es posible recuperar esa información. Lamentablemente, existe un pequeño porcentaje de casos en los que la recuperación de los datos no es posible y la labor del perito se complica mucho, explica Martos.

El ordenador registra los datos de cada actividad que realiza. Estos registros, que se conocen como logs, son una de las claves para la realización de un análisis informático forense.

David Barroso está convencido de su utilidad siempre que no están manipulados. El atacante puede borrarlos para eliminar sus huellas. As que muchas veces contienen información sin valor. Además de los del ordenador, también contamos con los logs de otras infraestructuras que dan soporte al equipo, como los del router, cortafuegos, servidor de correo o de web, etcétera.

Aunque se borren los archivos, los sistemas registran unas huellas que pueden ser muy tiles para la informática forense. La paciencia ayudó a Martos a encontrar las pruebas que demostraban que un alumno de una escuela de hostelera haba intentando entrar sin estar autorizado en la red de la administración del centro.

El perito informático invirtió una semana en analizar el disco del ordenador del alumno. Solo encontró rastros de algunas consultas en Google sobre procedimientos de hacking y de la instalación de un programa para romper las barreras de seguridad, que el usuario haba intentado eliminar.

La falta de resultados no le desanimó y por fin encontró una prueba: Era un resquicio bastante elemental en el que el infractor no haba reparado. Windows mantiene un registro de determinados eventos que se producen durante la utilización del ordenador: mensajes de alerta de batera baja, poco espacio en disco, y también los errores de conexión de red. En el registro se podan ver una serie de mensajes de error que haba recibido el usuario de la máquina en los que se le advertía claramente de que estaba tratando de conectarse a una red, la de administración, utilizando una identidad que ya exista en dicha red. Es decir, intentaba usurpar la identidad de otro usuario que s tena acceso a la red de administración de la escuela. Caso cerrado.