Sin lugar a dudas, el análisis forense es una especie de investigación que tiene como fin determinar ciertas causas. Propiamente, esto es llevado a cabo por un profesional en el área ya que es quien conoce todas las etapas que tienen que ver con el mismo. Vale acotar que muchas veces esto es fuente de investigación y por ello es tan delicado.
El análisis forense se lleva a cabo mediante varias etapas que ayudan al investigador forense a trabajar con los datos que ha tomado y que definen la metodología a seguir en una investigación. Estas Etapas de un Análisis Forense serían las cuatro siguientes:
- Estudio Preliminar
- Adquisición de Datos
- Análisis e Investigación
- Realización y Presentación del Informe Pericial
A continuación vamos a ver, de forma breve, cada una de las mismas en que consiste:
Es el estudio inicial mediante la realización de entrevistas y la documentación entregada por el cliente. El objetivo es tener una idea inicial del problema que nos vamos a encontrar. En esta etapa es importante obtener toda la información necesaria sobre:
- Persona que tiene a cargo el equipo que ha sido objeto del delito: nombre, apellidos, cargo, horas de trabajo, horario, tiempo que ha trabajado en la empresa, usuario del sistema, …
- Equipo afectado: modelo, serie, sistema operativo, descripción del sistema, características del equipo, coste, años de funcionamiento, …
- Localización de los dispositivos de almacenamiento utilizados por el sistema: memorias (USB, ,SD, MSD, RAM,…), discos duros, … y de estos dispositivos obtener los siguientes datos: marca, modelo, número de serie, tipos de conexión de los disco duros del sistema,…
En resumen, en esta primera etapa tiene lugar la obtención inicial de los datos y además debe realizarse un registro fotográfico de todo el sistema y de los dispositivos objeto del estudio.
Mediante la adquisición se obtienen los datos en medios digitales que fueron sometidos al procedimiento de clonación: recordemos que como investigador forense nunca se debe trabajar con los datos originales sino con copias bit a bit de los mismos, que no consiste en un solo copiado de archivos (backup) sino en una imagen completa del disco duro de la víctima.
Para tener una imagen clonada de bajo nivel es necesario que el disco duro a investigar tenga sólo el acceso de modo lectura habilitado, para evitar cualquier operación de escritura en el disco. Para realizar estos procedimientos se utilizan herramientas tipo hardware y/o software que soportan todo tipo de dispositivos de almacenamiento.
La verificación de estos datos se realiza por medio de las funciones hash, aplicando algoritmos como MD5 o SHA (estas funciones de cifrado permiten generar un código hexadecimal que se compara con el del disco original y se verifica así que es una copia exacta y que no se ha cambiado su contenido).
Esta es una de las etapas más críticas del Análisis Forense, debido a que si realiza mal, la investigación y todo el análisis llevado a cabo no será válido.
Las clonaciones se deben realizar sobre dispositivos preferentemente nuevos y formateados previamente a bajo nivel para eliminar las impurezas. Lo recomendable es utilizar clonadoras hardware o si no es posible alguna distribucion linux Live CD adecuada para ello como puede ser: Helix, CAINE, ForLEX, EnCase, DEFT Linux, …
Una vez detectado el problema de seguridad y lo que ha sido afectado, es importante que el investigador encargado de realizar el análisis forense decida apagar el equipo o no. Se trata de una decisión difícil debido a que si el equipo es apagado, pueden existir evidencias que todavía estén en la memoria volátil, usuarios conectados, procesos en ejecución, conexiones existentes, logs del sistema, etc que se perderían con el apagado. Por lo tanto, y a modo preventivo es interesante y muy útil hacer un volcado de todo ello con las herramientas apropiadas en cada caso antes de apagar el equipo.
Una vez obtenidos todos estos datos se deben transportar al centro donde se realizarán las investigaciones.
En esta etapa se lleva a cabo el análisis de las evidencias digitales, que es un proceso que requiere un gran conocimiento de los sistemas a estudiar.
La información que se debe recolectar en esta fase, principalmente es:
- Registros de los sistemas analizados.
- Registros de los detectores de intrusión.
- Registros de los cortafuegos.
- Ficheros del sistema analizado (en este caso hay que tener en cuidado con las carpetas personales de los usuarios. Hay que tener en cuenta que no se consideran personales aquellas carpetas que han sido creadas por defecto en la instalación del sistema operativo, como por ejemplo las de la cuenta del administrador…)
Cuando se accede a la información podemos definir dos tipos de análisis:
- Físico. Es la información que no es interpretada por el sistema operativo.
- Lógico. Es la información que si es interpretada por el sistema operativo, como sería: estructura de directorios, ficheros que se siguen almacenando así como los que han sido eliminados, horas y fechas de la creación o modificación de los ficheros, tamaño de los mismos, contenidos de los sectores libres, …
En futuros artículos detallaremos mucho más los procesos realizados en esta fase de análisis e investigación que, como es obvio, es la más larga, tediosa, complicada y valorada del todo el análisis forense.
- Realización y Presentación del Informe Pericial
La redacción del Informe Pericial es una tarea compleja, porque no sólo hay que recoger todas las evidencias, indicios y pruebas recabados sino que, además hay que explicarlos de una manera clara y sencilla.
En la elaboración del Informe Pericial el investigador forense deberá tener en cuenta que no todo el mundo domina conceptos básicos de informática, por lo que es importante durante la elaboración del mismo facilitar su comprensión.
Además, de cara al juicio, si el Informe Pericial no es entendible pierde casi todo su valor, pues el propio abogado tendrá complicada su intervención en el proceso judicial si no es capaz de conocer y comprender la información esencial contenida en él.