B:Secure: De forensia digital y los menesteres de la recuperación de archivos

Sigue a Andrés en Twitter en @cibercrimen

Recientemente varias personas me han comentado que se está produciendo una serie de confusiones en el mercado mexicano respecto a los servicios de forensia digital. Esto se debe a que si bien hay varias empresas que, en teoría, se dedican a lo mismo, muchas ofrecen servicios principalmente de recuperación de información, sin darse cuenta de que la forensia digital es un proceso más complejo y sofisticado, que utiliza en alguna parte la recuperación de datos, pero sólo como un elemento de un largo trabajo de investigación.

¿Cuál es la diferencia? Para empezar, la recuperación de información de un disco duro o memoria informática es un procedimiento técnico que termina justo en el momento en que se pudieron extraer los archivos que se estaban buscando, mientras que el trabajo de un forense digital inicia en el momento en que hemos recuperado los datos, cuando iniciamos la vinculación de hechos en torno al dispositivo en el que trabajamos.

Además, los forenses digitales tenemos que seguir un protocolo estricto y tratar cada dispositivo que vamos a analizar (sean desde celulares y USB, hasta computadoras y servidores) como escenas de un crimen, pues la idea es que lo que encontremos sirva como pruebas válidas en un proceso legal. Adicionalmente, los forenses no analizamos la memoria original donde se encuentran los documentos, sino que, para preservar las pruebas originales, primero hacemos una copia forense del disco o memoria, bit a bit, y esa copia es la que se analiza.

De esta manera, analizamos log por log, archivo por archivo, para encontrar las pruebas que buscamos. Una vez que encontramos una pista, le seguimos el rastro para reunir la mayor evidencia posible. Reconstruimos el camino que siguieron los acontecimientos del cibercrimen (cuando se trata de un fraude, un robo de información o un ataque), para encontrar al responsable y lo hacemos con el máximo cuidado posible para asegurar que la información en la memoria del sistema se conserva intacta, ya que la evidencia digital es sumamente frágil.

Por este motivo también, el análisis forense digital se realiza en un laboratorio forense, que cuente con un ambiente adecuado y con las herramientas que permitan realizar las imágenes forenses y su análisis con la mínima invasión, asegurando la integridad de la evidencia.

Es así como logramos recuperar conversaciones de mensajería instantánea, mensajes de texto, fotos, audios, videos, correos electrónicos, y podemos saber quién se robó qué archivo, usando qué memoria USB, qué conectaron a qué hora y desde qué máquina.

Todo esto requiere que los investigadores forenses estén altamente especializados: además de la base de estudios en sistemas de cómputo, deben tener certificaciones en seguridad, en forensia digital como tal, y en procedimientos de investigación. Como los forenses también tenemos que explicar nuestros informes a los clientes y a las autoridades de una manera que se entienda, es necesario aprender cierto nivel de oratoria y tener conocimientos legales para ratificar los periciales ante un juez, en un proceso legal, de ser necesario.

En resumen, un forense no nada más se mete a un disco a recuperar información. Analiza la información de un disco —aplicándole técnicas forenses, científicas y analíticas— para ver qué es lo que necesita recuperar (las pruebas) y cómo tiene que hacerlo para no alterar los archivos, luego crea un patrón de comportamiento, asegura el dispositivo siguiendo una cadena de custodia, revisa el entorno legal que protege el bien y presenta un informe con los resultados obtenidos.

Ahora que ya sabe lo que puede hacer un verdadero forense, recuérdelo: Si alguna persona o empresa le dice que ofrece “servicios de forensia digital” porque puede recuperar la información que hayan borrado de un sistema de cómputo, o que esté guardada en un disco duro dañado, no se deje engañar. Eso es solo recuperación de información, no forensia digital.

Lo que obtendrá será cualquier archivo que pueda ser recuperado, y ya. Pero no tendrá un perfil con las pruebas de quién le robó sus secretos y cómo lo hizo, por ejemplo, o quién puede estarlo extorsionando y si alguien más le ayuda. Más importante aún, este tipo de empresas no podrá soportar los archivos encontrados como pruebas en un procedimiento legal.

Andrés Velázquez es un especialista mexicano en delitos informáticos, presidente y fundador de MaTTica; cuenta con las certificaciones CISSP, GCFA, ACE, IAM, IEM y BS7799.