Los ciberdelitos están en auge. Y, desafortunadamente, no siempre es posible detenerlos a tiempo. Una vez ocurridos, es preferible entender las acciones realizadas para identificar las fallas, o incluso para llevar a cabo un proceso legal. Ahí es donde interviene el análisis forense. Entonces, ¿de qué se trata? ¿Por qué realizar tal investigación? Y, sobre todo, ¿cómo? DataScientest responde a tus preguntas.
¿Qué es un análisis forense?
Un análisis metodológico de los eventos cibernéticos
El análisis forense (o simplemente, forensic) es una investigación metodológica y detallada de los sistemas de información después de un incidente cibernético, como un hackeo o un robo de datos. El objetivo es analizar todos los datos del SI para comprender lo ocurrido y derivar las medidas adecuadas.
Los objetivos son dos: identificar las vulnerabilidades que hicieron posible el ataque y reunir pruebas antes de iniciar un proceso legal.
Entre las pruebas, el análisis forense permite recoger: archivos borrados, discos duros, copias de seguridad, logs y tentativas de eliminación, sitios web visitados, programas de hacking, contraseñas robadas, mensajes enviados, entre otros.
Para reunir todas estas pruebas digitales, el experto en ciberseguridad puede analizar todos los tipos de soportes informáticos. Según los sistemas, el tipo de forensic varía.
4 tipos de análisis forense
Dada la variedad de soportes informáticos, los analistas cibernéticos pueden realizar varios tipos de investigaciones:
- Análisis forense digital: es el más común, ya que involucra analizar discos duros, medios de almacenamiento, servidores o sistemas de archivos.
- Análisis forense de redes: esta investigación se centra en el tráfico de la red para detectar actividades maliciosas o no autorizadas.
- Análisis forense móvil: en smartphones, tabletas y otros dispositivos portátiles. Se utiliza a menudo en casos de fraude, acoso, crímenes que involucran comunicaciones móviles.
- Análisis forense de memoria: como la memoria RAM y los procesos en ejecución. Es especialmente útil para análisis de ataques en tiempo real con el fin de recuperar datos volátiles no almacenados en el disco duro.
¿Por qué realizar un análisis forense?
La ciencia forense tiene dos objetivos.
El forensic técnico
Consiste en identificar las razones que explican la intrusión informática. Para acceder al sistema, el hacker explota las vulnerabilidades del sistema de información. Pero, ¿cuáles son estas? El papel del analista es precisamente entender estos fallos. Va a recuperar las huellas informáticas para rastrear el camino del cibercriminal y así identificar su punto de entrada. Ahora conoce el origen de la falla. Lo que le permite implementar medidas correctivas y mejorar continuamente la seguridad del sistema informático.
El forensic judicial
El objetivo es recuperar pruebas de intrusión. La organización víctima de un ciberataque puede así armar un expediente contra el hacker informático. Este documento será luego entregado a un abogado o oficial judicial como parte de una acción legal.
Importante saber: a este respecto, muchos analistas forenses trabajan en la policía científica. Están entonces especializados en la resolución de asuntos penales y criminales. Y para ello, utilizan los datos.
¿Cómo se lleva a cabo una investigación forense?
El análisis forense consta de tres etapas principales.
La recolección de pruebas
Para iniciar una investigación forense, es necesario recolectar todos los datos digitales relacionados con el ataque. Por ejemplo, los archivos eliminados o los archivos logs en los equipos de red, los archivos, etc.
Existen varias maneras de recuperar los datos:
- El análisis en frío o dead forensics: consiste en copiar todos los datos crudos del SI en otro soporte (por ejemplo, una memoria USB o un disco duro externo). Esto evita dañar el sistema existente.
- El análisis en caliente o live forensics: es el método utilizado para un análisis de memoria. El experto en ciberseguridad recupera los datos del sistema de información antes de instalarlos en un sistema en funcionamiento.
- El análisis en tiempo real: para recuperar la información relacionada con el tráfico de la red.
El análisis de las pruebas
Una vez recolectados todos los datos, es preciso entender el curso de los eventos y armar un expediente. Para ello, el analista cibernético a menudo establecerá y probará escenarios a partir de los datos recolectados. Gradualmente, puede deducir la secuencia lógica de los eventos, hasta comprender precisamente cómo se llevó a cabo el ataque.
Importante saber: después de esta fase, a menudo hay una etapa de remediación intermedia en el marco del análisis forense técnico. La idea es entonces asegurar que todas las vulnerabilidades estén efectivamente corregidas.
Entrega del informe
Si los expertos en ciberseguridad realizan un análisis forense, los resultados son de interés para un conjunto de partes interesadas, como abogados, jueces, los tomadores de decisiones de una organización, etc. Sin embargo, no son expertos en datos. Por lo tanto, es necesario presentar un informe claro y conciso, comprensible para todos.
Este informe luego permitirá tomar las decisiones correctas (para un forensic técnico) o armar un dossier judicial.
Una creciente necesidad de analistas cibernéticos
Con el incremento de los ataques informáticos, las empresas necesitan más que nunca expertos cibernéticos capaces de realizar análisis forenses. Estos no solo permiten mejorar el sistema de seguridad informática identificando las fallas, sino también, y sobre todo, reunir pruebas contra los criminales cibernéticos.
¿Deseas ayudar a las organizaciones a luchar contra los ataques informáticos? Fórmate con DataScientest.