INFORMÁTICO FORENSE, UNA PROFESIÓN CON FUTURO - Octubre 2002
Como apuntan recientes
estudios, los ataques informáticos están creciendo de manera alarmante
en todo el mundo. Por este motivo, hoy día, los especialistas en informática
forense han adquirido un papel muy importante en la lucha contra el ciber-crimen,
en este sentido VIRUSPROT.COM ha querido conocer la opinión del experto
en la materia, Doctor Jeimy J.Cano,
Ingeniero de Sistemas y Computación
Universidad de los Andes
(Colombia). Sus investigaciones facilitan la labor de atrapar a los
hackers, autores de dichos ataques y de emprender acciones judiciales contra ellos.
Desde los atentados del 11-S existe una gran demanda de expertos
forenses en EEUU pero...¿cuál
es la situación actual de estos profesionales en España y Sudamérica?
Efectivamente, como comenté un una entrevista anterior (ver Ojos
que Acechan), el desafortunado
11-S fue uno de los detonantes que nos alertó sobre las fallas
reiterantes que las organizaciones venían teniendo con relación a la
seguridad. Sin embargo, pese a esta realidad, con anterioridad diversos
medios de información y estudios indicaban la necesidad de contar con
personal entrenado en actividades forenses, como soporte y ayuda en
investigaciones on-line. A la fecha, las autoridades de policía, los
fiscales o autoridades judiciales, continúan en la búsqueda de
profesionales en computación forense, con relativo éxito. En este
sentido, revisando estudios sobre programas de formación y especialidades
en esta rama, el resultado es pobre; lo que sugiere la necesidad de
establecer programas de formación técnica y forense para desarrollar un
perfil adecuado a las necesidades y evolución de la delincuencia informática.
Realmente para hablar de la situación actual de los profesionales en esta
área en España y Suramérica, es necesario reflexionar un poco sobre
nuestra cultura del registro o de pistas de auditoría. Si bien en múltiples
organizaciones de manera automática y general se establece el registro de
las acciones de los usuario, transacciones, operaciones, entre otras, la
pregunta que surge es: Qué hacemos con estos registros? Para qué los
utilizamos? Al dar respuesta a este interrogante podemos ver el grado de
preparación que se tiene para efectuar un seguimiento y análisis de
posibles incidentes. Adicionalmente, al responder estos interrogantes,
verificamos el grado de formalidad con que se manejan estos registros y
valoramos su confiabilidad y validez como evidencia.
Luego, con el contexto
anterior, los profesionales en el área forense deben fortalecer la
cultura del debido registro y control de la evidencia digital, y aumentar
su capacidad de análisis técnico que les permita profundizar con detalle
en las estrategias y forma que utilizan los "inquietos" de
Internet. En pocas, palabra se requiere mayor grado de formación y
experiencia para adelantar investigaciones con profundidad técnica
alineadas con una rigurosa formación forense y judicial.
A medida que va existiendo una mayor legislación sobre los crímenes
informáticos ...¿existe un aparato judicial más preparado sobre estos
temas?
El aparato judicial requiere formación y desarrollo de herramientas
que le permitan comprender con detalle los retos de la evidencia digital y
adelantar investigaciones con éxito. Así mismo requiere una estrategia
de investigación y desarrollo permanente que esté al tanto de las nuevas
tendencias en ataques y defensas para los diferente tipos de incidentes de
seguridad, no de manera teórica solamente, sino con una estrategia práctica
que genere resultados de investigaciones aplicados que orienten y
fortalezcan el sistema judicial y lo hagan avanzar de cerca con las
tendencias en los ataques o problemas de seguridad informática.
¿Son más las empresas que optan por denunciar los ataques a sus
sistemas?
Realmente, como se presenta en los resultados de la encuesta realizada en
COLOMBIA sobre seguridad informática, publicada en la revista SISTEMAS de
la Asociación Colombiana de Ingenieros de Sistemas - ACIS (http://www.acis.org.co/Paginas/Publicaciones/investigacion82.html),
y como se reitera en el último estudio del Computer Security Institute,
las organizaciones son reacias a denunciar sus ataques a los sistemas.
Pese a que existe una tendencia creciente para denunciar, la generalidad
observada nos lleva a la cultura del "Silencio Digital".
¿Ha aumentado el número en estos países de instituciones
certificadoras a parte de la IACIS y la HTCN?
Realmente la formación de especialista en estos países es escasa. Se
debería promover estrategias en las universidades y en el gobierno que
permitan concienciar a las organizaciones sobre la importancia de la
evidencia digital y la formación de personal entrenada en los detalles técnicos
de la informática, las ciencias forenses y la prueba judicial.
En estos momentos supongo que las empresas todavía no cuentan con
profesionales certificados en plantilla para llevar a cabo sus propias
investigaciones teniendo que recurrir al exterior ¿es posible que en un
futuro cercano las empresas formen a su propio personal en este sentido?
La respuesta es si. Sin embargo, actualmente las empresas de consultoría
internacionales están ofreciendo este tipo de servicios, los cuales por
lo general no son económicos, dada la especialidad requerida y las
herramientas utilizadas para este tipo de trabajos.
Internet desgraciadamente también está siendo sirviendo como tapadera
para otro tipo de actos ilegales como la malversación de fondos, narcotráfico,
terrorismo, pornografía,.... ¿también tendrá cabida la actividad del
informático forense en la resolución de estos casos?
Efectivamente, como reviso en mi artículo Credenciales
para investigadores forenses en informática
sobre certificaciones y entrenamiento forense en informática, los
profesionales de la computación forense son piezas claves para la
resolución de este tipo de actos malintencionados. Pues, no es suficiente
con el conocimiento técnico sobre las acciones y estrategias utilizada
por atacante, sino los procedimientos requeridos para levantar la
evidencias de los hechos.
¿Cuánto se puede tardar en reunir las suficientes pistas que den con
el autor de un ataque?
Es una pregunta complicada de responder, pues muchas veces el informático
forense debe prepararse para fallar en la identificar la persona real que
cometió el ataque. Pues la versatilidad que ofrece Internet para
enmascarar direcciones IP, correos electrónicos, entre otros aspectos,
sugiere un gran conocimiento técnico y paciencia por parte de los
atacantes, los cuales también consideran estrategias "anti-forenses"
que limiten las investigaciones y la efectividad de las mismas. Luego, la
recolección de pista puede ser demorada, algunos casos pueden llevar años
en esta labor.
En cuanto a la figura del informático forense...¿Qué cualidades y/o
requisitos previos debe cumplir un futuro forense informático?
En este sentido, he escrito un breve documento donde se revisan algunas de
las características del investigador forense en informática (Credenciales
para investigadores forenses en informática).
Agregar a manera de resumen que un investigador forense en informática,
requiere un conocimiento profundo y detallado tanto de la tecnología como
de las leyes.
A modo de pirata informático ¿deberá conocer las tácticas más
actuales empleadas por éstos para poder combatirlos?
No solamente las tácticas actuales empleadas, sino las estrategias
que utilizan los hackers para eliminar los rastros o burlar los sistemas de monitoreo,
haciendo más difícil la labor del investigador forense en informática.
En los países de habla hispana ¿dónde pueden obtener información
los interesados en certificarse en esta profesión?
En hispanoamérica, existen múltiples empresas de seguridad informática
y de consultoría que han adelantado cursos de formación en el área
forense, incluso algunas universidades han establecido materias de formación
en esta apasionante área. Sin embargo, estamos en mora de establecer un
centro de certificación en nuestro continente sobre el particular. No se
un futuro podríamos establecer
alianza con las instituciones internacionales que trabajan en el área,
como IACIS, HCTN, entre otras.
En CriptoRED (http://www.criptored.upm.es),
en su sección de docencia pueden encontrar algunos artículos e
iniciativas en computación forense.
Desde su propia experiencia...¿Animaría a la gente a emprender esta
actividad a nivel profesional?¿Por qué?
Si.. es una área de constante y amplio crecimiento donde existen muy
pocos profesionales y múltiples oportunidades de negocio. Es un área,
para aquellos que quieren combinar lo técnico y lo legal, una frontera
permanente de análisis para profundizar en los misterios del "hacking"
y la experiencia y formalidad de la ley. Es importante recordar, que esta
profesión requiere mucho cuidado, pues en manos de éstos profesionales
pueden estar decisiones que afecten muchas personas, sus veredictos y
resultados pueden comprometer o liberar a muchos.
Cuéntenos algún caso de investigación que le haya resultado
especialmente curioso/atractivo...
En una revisión de logs, se recibió por parte del administrador de una
universidad un alerta de un intento de "obtención de shell" en
un equipo de comunicaciones, donde se identificaba una máquina como
responsable. Sin embargo, luego de que el administrador de la máquina
(previamente asegurada en integridad y control de comandos) efectuó el análisis,
no fue posible corroborar acciones que salieran de ésta última hacia el
equipo de comunicaciones, situación que desconcierta a todos los
involucrados. Aún continuamos en la investigación para detallar
elementos que no hayamos considerado. Adicionalmente, de este veredicto
depende una sanción institucional para una persona, luego nuestro trabajo
debe continuar con exhaustividad y profundidad, elementos que deben ser
permanentes en cualquier investigación forense en informática.
Lecturas aconsejadas: Informática Forense, liderando las investigaciones y Credenciales para investigadores forenses en informática y Ojos que Acechan.
D. Jeimy J. Cano
jcano@uniandes.edu.co
Ingeniero de Sistemas y Computación
Universidad de los Andes
COLOMBIA
El Doctor Cano es profesor de la Universidad de los Andes en la Facultad de Derecho y el Departamento de Sistemas y Computación, donde imparte cátedras relacionadas con delitos informáticos y computación forense. Es miembro investigador de la Red Iberoamericana de Criptología y Seguridad de la Información - CRIPTORED (http://www.criptored.upm.es) de la Universidad Politécnica de Madrid, moderador de la lista de seguridad informática de la ACIS - Asociación Colombiana de Ingenieros de Sistemas (http://www.acis.org.co) y conferencista nacional e internacional en temas relacionados con seguridad informática, delitos informáticos y computación forense.
