Sigue a Andrés en Twitter en @cibercrimen
Recientemente varias personas me han comentado que se está produciendo una serie de confusiones en el mercado mexicano respecto a los servicios de forensia digital. Esto se debe a que si bien hay varias empresas que, en teoría, se dedican a lo mismo, muchas ofrecen servicios principalmente de recuperación de información, sin darse cuenta de que la forensia digital es un proceso más complejo y sofisticado, que utiliza en alguna parte la recuperación de datos, pero sólo como un elemento de un largo trabajo de investigación.
¿Cuál es la diferencia? Para empezar, la recuperación de información de un disco duro o memoria informática es un procedimiento técnico que termina justo en el momento en que se pudieron extraer los archivos que se estaban buscando, mientras que el trabajo de un forense digital inicia en el momento en que hemos recuperado los datos, cuando iniciamos la vinculación de hechos en torno al dispositivo en el que trabajamos.
Además, los forenses digitales tenemos que seguir un protocolo estricto y tratar cada dispositivo que vamos a analizar (sean desde celulares y USB, hasta computadoras y servidores) como escenas de un crimen, pues la idea es que lo que encontremos sirva como pruebas válidas en un proceso legal. Adicionalmente, los forenses no analizamos la memoria original donde se encuentran los documentos, sino que, para preservar las pruebas originales, primero hacemos una copia forense del disco o memoria, bit a bit, y esa copia es la que se analiza.
De esta manera, analizamos log por log, archivo por archivo, para encontrar las pruebas que buscamos. Una vez que encontramos una pista, le seguimos el rastro para reunir la mayor evidencia posible. Reconstruimos el camino que siguieron los acontecimientos del cibercrimen (cuando se trata de un fraude, un robo de información o un ataque), para encontrar al responsable y lo hacemos con el máximo cuidado posible para asegurar que la información en la memoria del sistema se conserva intacta, ya que la evidencia digital es sumamente frágil.
Por este motivo también, el análisis forense digital se realiza en un laboratorio forense, que cuente con un ambiente adecuado y con las herramientas que permitan realizar las imágenes forenses y su análisis con la mínima invasión, asegurando la integridad de la evidencia.
Es así como logramos recuperar conversaciones de mensajería instantánea, mensajes de texto, fotos, audios, videos, correos electrónicos, y podemos saber quién se robó qué archivo, usando qué memoria USB, qué conectaron a qué hora y desde qué máquina.
Todo esto requiere que los investigadores forenses estén altamente especializados: además de la base de estudios en sistemas de cómputo, deben tener certificaciones en seguridad, en forensia digital como tal, y en procedimientos de investigación. Como los forenses también tenemos que explicar nuestros informes a los clientes y a las autoridades de una manera que se entienda, es necesario aprender cierto nivel de oratoria y tener conocimientos legales para ratificar los periciales ante un juez, en un proceso legal, de ser necesario.
En resumen, un forense no nada más se mete a un disco a recuperar información. Analiza la información de un disco —aplicándole técnicas forenses, científicas y analíticas— para ver qué es lo que necesita recuperar (las pruebas) y cómo tiene que hacerlo para no alterar los archivos, luego crea un patrón de comportamiento, asegura el dispositivo siguiendo una cadena de custodia, revisa el entorno legal que protege el bien y presenta un informe con los resultados obtenidos.
Ahora que ya sabe lo que puede hacer un verdadero forense, recuérdelo: Si alguna persona o empresa le dice que ofrece “servicios de forensia digital” porque puede recuperar la información que hayan borrado de un sistema de cómputo, o que esté guardada en un disco duro dañado, no se deje engañar. Eso es solo recuperación de información, no forensia digital.
Lo que obtendrá será cualquier archivo que pueda ser recuperado, y ya. Pero no tendrá un perfil con las pruebas de quién le robó sus secretos y cómo lo hizo, por ejemplo, o quién puede estarlo extorsionando y si alguien más le ayuda. Más importante aún, este tipo de empresas no podrá soportar los archivos encontrados como pruebas en un procedimiento legal.
Andrés Velázquez es un especialista mexicano en delitos informáticos, presidente y fundador de MaTTica; cuenta con las certificaciones CISSP, GCFA, ACE, IAM, IEM y BS7799.
Andrés, me gusta mucho la forma en que abordas los temas y como los explicas.
Me parece bien que hagas este tipo de distinciones, ya que a mi parecer, si se piensa que recuperar archivos es forensia digital cualquier persona que instale en su equipo algún software que permita la recuperación de datos podría llamarse «forense digital». Y como bien lo comentas, la recuperación de datos solo es una de las tantas cosas que debe realizar un forense.
Buenas noches
El día de hoy baje una conferencia de Andres Velazquez, y me gusto mucho como se desembuelve.
Cuentan con alguna direccion para mandarle un correo y estar en contacto con ustedes?
Es posible obtener manuales o tutoriales en donde indiquen algunas maneras de realisar forensia?
Merefiero a como identificar:
Quien se logueo en las maquinas, que consultas y direcciones checcó, referentea lo que comento de las fotos que aunque se borran se pueden rescatar, como entrar a otros correos electrónicos.
Me gustaria saber mas de ustedes
Estoy a sus ordenes y mi cel es el XXXXXXXXXXXXXXXXXXX
Gracias
Cesar, Puedes contactarme por la forma de contacto de este mismo blog o a las redes sociales que aqui se muestran. Te recomendamos ver la página de MaTTica http://www.mattica.com y el podcast Crimen Digital http://www.crimendigital.com
No hay realmente manuales, pero tenemos cursos en http://university.mattica.com
Saludos