Análisis forense digital - Investigando incidentes cibernéticos
Lectura de 2 min aprox.
La informática forense es un conjunto de técnicas para recopilar, preservar, analizar y reportar evidencia digital en computadoras y redes de forma legalmente válida. Se utiliza en cualquier situación que involucre evidencia digital, como la investigación de delitos cibernéticos, las indagaciones de fraude interno en las empresas y la determinación de causas durante la respuesta a incidentes. La palabra «forense» proviene del latín «forensis» (del foro o del tribunal), y la diferencia decisiva con la resolución de problemas habitual es la exigencia de un nivel de rigor que permita admitir la evidencia ante un tribunal.
El principio de preservación de la evidencia - Chain of Custody
El principio más importante de la informática forense es mantener la Chain of Custody (cadena de custodia), que demuestra la integridad de la evidencia. Desde el momento en que se recopila la evidencia hasta que se presenta ante el tribunal, se debe registrar quién manipuló la evidencia, cuándo y cómo, y demostrar que no se produjo ninguna manipulación.
Localizar la evidencia
Adquirir imagen de bits
Construir una línea de tiempo
Redactar el informe
Tribunal / dirección
En la etapa de preservación, se crea una copia completa bit a bit del disco objetivo (una imagen forense) y se registra el valor hash del original (por ejemplo, SHA-256). Todo el análisis posterior se realiza sobre la copia y nunca se toca el original. Descuidar este procedimiento conlleva el riesgo de que la evidencia sea declarada inadmisible ante el tribunal.
Análisis forense en vivo vs. análisis forense en frío
| Aspecto | Forense en vivo | Forense en frío |
|---|---|---|
| Objetivo | Un sistema en funcionamiento | Almacenamiento apagado |
| Evidencia que se puede obtener | Memoria, conexiones de red, procesos, claves de cifrado | Archivos en disco, datos eliminados, registros |
| Ventaja | Permite capturar datos volátiles | Bajo riesgo de alterar la evidencia |
| Desafío | El propio acto de investigar cambia el estado del sistema | La evidencia en memoria ya se ha perdido |
El malware moderno adopta cada vez más la forma de «malware sin archivos» que no deja rastro en el disco, por lo que la importancia del análisis forense en vivo crece año tras año. Dado que la evidencia en memoria desaparece en el instante en que se corta la energía, la adquisición de un volcado de memoria se convierte en la máxima prioridad como respuesta inicial cuando ocurre un incidente.
La importancia del análisis forense de memoria
En el análisis forense de memoria, se vuelca el contenido de la RAM y se extrae la siguiente información.
Identificar procesos de malware y relaciones padre-hijo sospechosas
Identificar las direcciones IP y puertos de comunicación con servidores C2
Recuperar claves de descifrado de BitLocker o ransomware
Detectar inyección de DLL e inyección de código
Volatility Framework es una herramienta de código abierto que se ha convertido en el estándar de facto para el análisis forense de memoria. Admite volcados de memoria de Windows, Linux y macOS, y puede automatizar tareas como reconstruir el árbol de procesos, extraer las colmenas del registro y listar las conexiones de red.
Relación con la respuesta a incidentes
El análisis forense se lleva a cabo de lleno durante la fase «posterior a la contención» de la respuesta a incidentes, pero en la práctica es necesario tener presente la preservación de la evidencia desde la primera respuesta. Partiendo de una alerta detectada por un SIEM, el conocimiento forense determina la calidad de la respuesta a incidentes en todo el proceso: identificar el alcance del impacto, esclarecer la ruta del ataque y formular medidas para prevenir su repetición. La funcionalidad EDR de los productos de seguridad de endpoints recopila continuamente los datos de telemetría necesarios para el análisis forense, mejorando enormemente la eficiencia de la investigación posterior al incidente.
Los desafíos del análisis forense en la nube
En los entornos de nube, hay muchas situaciones en las que los métodos forenses tradicionales no se pueden aplicar tal cual. Entre los desafíos están la imposibilidad de acceder al disco físico, la cuestión legal no resuelta de si las instantáneas de máquinas virtuales son admisibles como evidencia, y la dificultad de aislar la evidencia en un entorno multiinquilino. AWS y Azure proporcionan API y servicios de registro para el análisis forense, pero es esencial aclarar de antemano el límite de responsabilidad con el proveedor de la nube.
Un error común es entrar en pánico tras un incidente y reiniciar el servidor, perdiendo así toda la evidencia que había en memoria. Es importante inculcar en toda la organización el orden de «primero preservar la evidencia y luego responder».
La respuesta a las filtraciones de datos se explica en detalle en el artículo sobre respuesta a filtraciones de datos, y la respuesta a incidentes a nivel individual se aborda en el artículo sobre respuesta a incidentes para particulares. Consulta también la protección contra ransomware.libros de informática forense (Amazon) también puedes buscarlos.
¿Te resultó útil este artículo?