|
La importancia de las evidencias informáticas
Actualmente cualquier dispositivo digital que forma parte de la vida
de una persona es capaz de generar información que puede convertirse en
evidencia o prueba valiosa en caso de presentarse un incidente de
seguridad; ya sea en forma de una fotografía, documento, registro de
geolocalización GPS, mensaje de texto, correo electrónico o incluso un
número telefónico registrado como parte de una llamada. Esta
evidencia informática
es útil para investigar casos relacionados con actividades
cibercriminales o de ataques informáticos, el problema es que muchas
veces la recolección y el manejo de esta información no se realizan de
manera adecuada.
La mayoría de las empresas aún no cuentan con políticas o normas que
refieran cómo debe realizarse la respuesta a un incidente de estas
características. La falta de preparación y conocimiento de los
procedimientos para manejar estos incidentes lleva muchas veces a
privilegiar la continuidad de negocio, sin averiguar de dónde provino el
ataque o cuál fue el grado de impacto y cómo afectó.
Con el creciente número de ataques dirigidos o de APTs, vale la pena
revisar la importancia que tiene elevar el nivel de consciencia de las
organizaciones en este sentido. Un malware hecho a medida con el fin
de realizar labores de ciberespionaje o sabotaje y que no es detectado a
tiempo o que no se llega a conocer su origen, puede provocar
daños importantes para las organizaciones. Peor aun, si se logra
detectar y rastrear el origen pero no se llevaron a cabo los
procedimientos adecuados, el resultado será que cualquier
evidencia informática
obtenida durante el proceso de investigación no podrá ser utilizada en
un juzgado en caso de pretender llevar a juicio a los delincuentes.
¿Cuáles son entonces los procedimientos adecuados? ¿Existe alguna norma
o regulación internacional? ¿Cualquier persona puede realizar estos
procedimientos?
Procedimientos llevados a cabo por RecuperaData para realizar una
investigación forense digital
:
La realización de una
investigación informática
de RecuperaData
se puede dividir en
4 fases principales:
-
Adquisición
-
Preservación
-
Análisis
-
Presentación
1) Adquisición:
Esta fase es sumamente importante y contempla la obtención de
información por medio de copias desde los dispositivos donde se sospeche
que pudiera existir
evidencia informática
que ayude a la investigación del caso.
Estas copias deben realizarse con herramientas especiales que permitan
la transferencia bit a bit de la información y la generación de una
firma digital basada en un algoritmo hash para garantizar la integridad
de la
evidencia informática
obtenida.
Para la realización de los procedimientos de esta fase es muy importante
que se cuente con la preparación adecuada y las herramientas correctas
como los peritos de RecuperaData,
ya que cualquier error puede provocar la contaminación o pérdida de la
evidencia informática
y que esta pueda ser inadmisible en un eventual
juicio.
Adicionalmente existen procedimientos que se deben seguir de forma
cuidadosa, como son el aseguramiento de la escena y seguir la regla de,
si el equipo se encuentra encendido, realizar el procedimiento sin
apagar el equipo y si el equipo se encuentra apagado, no encenderlo para
evitar comprometer la
evidencia informática.
2) Preservación:
Una vez que se ha obtenido la información de los dispositivos, es
muy importante mantener y preservar dicha información. Para ello debe
realizarse un procedimiento denominado “Cadena de Custodia”.
El objetivo de la Cadena de Custodia es documentar el traslado y
posesión de los dispositivos digitales o medios de donde se obtuvo la
información para la realización de la investigación, desde que se inicia
el proceso, durante la investigación y hasta que finalice el juicio o la
investigación para garantizar que no exista contaminación, daño,
alteración o manipulación de la evidencia y de esta forma mantener la
confiabilidad en el proceso.
3) Análisis:
Ya en el laboratorio forense de RecuperaData, comienza la fase de
análisis de
evidencia informática
en el laboratorio. Este es
un proceso que puede ser laborioso y la duración de esta fase depende de
la complejidad del caso y el alcance de lo que se está buscando.
Adicionalmente se presentan varios inconvenientes para poder
realizar la investigación, por ejemplo, el equipo o alguna información
pudieran estar protegidos con contraseña, cifrados o manipulados para
ocultar sus contenidos.
En esta etapa es fundamental contar con las herramientas adecuadas
así como el conocimiento, experiencia e intuición del investigador
experto de RecuperaData.
4) Presentación:
Una vez concluida la
investigación informática,
los peritos de RecuperaData preparan los informes correspondientes con
los hallazgos encontrados respaldados con
evidencia informática
robusta y confiable.
Existen diferentes tipos de informes y mucho dependerá del tipo de
investigación realizada, por ejemplo, el informe puede ser dirigido
hacia los directivos de la empresa que solicitó la investigación pero
que no están considerando darle un cauce legal, o puede ser un informe
detallado para ser presentado en un juicio.
Existen informes que incluyen contenido altamente técnico o aquellos
que sólo resaltan los aspectos más importantes de la investigación sin
contener información muy técnica y en un lenguaje más cotidiano.
Importancia de la
evidencia informática
Como podemos observar, en todo este procedimiento la
evidencia informática
juega un papel
fundamental, ya que para poder demostrar un supuesto se debe contar con
todos los elementos de prueba que respalden la forma en la que se dio el
incidente y permitan responder 6 preguntas clave: Qué, Quién, Cómo,
Cuándo, Dónde y Por qué.
Por esta razón es muy importante que se lleven a cabo los
procedimientos adecuados en la obtención y manejo de la
evidencia informática,
ya que su confiabilidad
representa nuestro único elemento de prueba para demostrar algo.
¿Sabía usted que en RecuperaData disponemos de una completa división
de peritos especializados en
informática forense
y peritaje informático, realizando todo tipo de servicios como como
investigación de fraudes, usos no autorizados de ordenadores,
recuperación de datos, violación de confidencialidad o de políticas de
empresa, investigación de uso informático inadecuado en horario laboral,
historial de chats, archivos y navegación web o cualquier otra forma de
comunicaciones electrónicas, accesos no autorizados a los sistemas
informáticos, robo de datos informáticos, sabotajes informáticos, robo
de identidad, pornografía infantil, etc.?
RecuperaData, es hoy en día la empresa líder en
recuperación de datos
con el más alto ratio de éxito en recuperar datos
de discos duros y todo tipo de soportes de almacenamiento de información, y ofrece además un amplio abanico de servicios de seguridad
informática entre los que
se incluyen los planes de continuidad de negocia, servicios anti-desastre,
implantación de sistemas personalizados de
copias de seguridad,
así como protocolos de seguridad para todo tipo de negocios y
organizaciones.
RecuperaData Recuperación de Datos es el único proveedor que va más allá
de la tecnología definiendo la seguridad informática como un proceso de
negocio. La Seguridad de RecuperaData Recuperación de Datos combina las
políticas, las personas y el cumplimiento para una mayor protección de
los activos de información, ayudando a las organizaciones a implementar
un plan de seguridad adaptado a las necesidades de su negocio.
Entre los clientes de RecuperaData Recuperación de Datos se cuentan
miles de organizaciones de todos los tamaños, incluidas organizaciones
gubernamentales e instituciones, que han confiado en el buen hacer de
RecuperaData Recuperación de Datos a la hora de enfrentar situaciones de
pérdida de datos y posteriores implementaciones de sistemas preventivos
de seguridad de la información.
Contacte ahora con RecuperaData Recuperación de Datos
para más información sobre nuestros servicios.
|
|