INFORMÁTICA FORENSE, LIDERANDO LAS INVESTIGACIONES - Septiembre 2001
Tras el ataque del pasado día 11
de septiembre a las Torres Gemelas de EEUU, expertos forenses informáticos están colaborando con el
gobierno en la búsqueda de rastros dejados por los atacantes durante su
navegación por Internet que revelen más información sobre el atentado.
VIRUSPROT.COM acerca a sus lectores a este interesante tema de la mano de un
experto en delitos informáticos y computación forense de reconocido prestigio
internacional, el Doctor Jeimy J. Cano.
Pese a que el Doctor Cano no está participando en la investigación relacionada
con los atentados, encuentra interesante la coalición que los diferentes expertos en el mundo han
formado para integrar las diferentes habilidades y especialidades
para acelerar la obtención, análisis y presentación de las pruebas
relacionadas con los lamentables incidentes ocurridos en USA.
Cuando navegamos dejamos rastros pero ¿qué tipo de rastro podemos encontrar
de manera más evidente?
Algunos rastros más evidentes que permanecen en las máquinas son los caché
del browser (navegador), las copias de los correos electrónicos, las cookies
almacenadas en la navegación, los archivos borrados que aun pueden ser
recuperados, los registros de conexión del módem, entre otros.
¿Qué tipo de tecnología o programas se utilizan para llevar a cabo las búsquedas?
Algunos programas utilizados son conocidos como la suite de Norton Utilities y
demás aplicaciones de uso generalizado para recuperación de archivos,
directorios y datos en disco duros y disquetes. De otra parte, existen
aplicaciones más sofisticadas para encontrar, identificar, analizar y preservar
evidencia digital que requieren entrenamiento y preparación en diferente
ambientes operacionales como UNIX, MAC, Windows NT.
¿Qué metodología o pasos se siguen?
Básicamente los investigadores forenses en informática, independiente de las
plataforma o sistema operacional donde estén efectuando sus actividades, deben
procurar cumplir tres requisitos con la información o evidencia identificada o
recolectada:
- Se deben utilizar medios
forenses estériles (para las copias de la información).
- Mantener la integridad del medio original.
- Etiquetar, controlar y transmitir adecuadamente las copias de los datos,
impresiones y resultado de la investigación.
Las metodologías utilizadas pueden ser diversas, pero lo importante es asegurar
estos tres requisitos, dado que si no se aseguran, la evidencia puede ser
rebatida y descartada como medio probatorio.
Debido a que los terroristas han utilizado Internet y lo que es peor, desde
equipos públicos, llevar a cabo la investigación podría ser más complicado,
¿cuánto tiempo podría transcurrir hasta obtener pistas relevantes?
Meses o inclusive años. Ha habido casos como el del hacker "Mafiaboy" en que el FBI norteamericano y agencias canadienses se demoraron alrededor de 1
a 2 años en registrar, analizar, procesar y presentar la evidencia que
permitiera la condena para este personaje.
La investigación forense como ya nos comentaba es una ciencia reciente, ¿cree
que a raíz de este trágico suceso podría favorecer su crecimiento o incluso,
el desarrollo de nuevas técnicas de investigación?
Definitivamente sí. Los eventos ocurridos y las marcada intrusiones de
seguridad en el mundo, han venido concienciando a los legisladores y por tanto a
los proveedores de software, en que existe una necesidad sentida de contar con
nuevas maneras de enfrentar el desafío del delito informático, nuevas
posibilidades de avanzar en el reconocimiento y análisis de evidencia y así,
disminuir la incertidumbre del proceso y los tiempos de respuesta en los mismos.
Como comentaba en su artículo la certificación
CFEC se reconoce en una gran mayoría de tribunales de todo el mundo
por lo tanto, entendemos que las pistas encontradas por estos profesionales son
totalmente legales, ¿es esto cierto?
Las pistas encontradas, son legales y válidas, siempre y cuando se sigan los
procedimientos internacionalmente aceptado por IACIS, que es la institución que
ofrece la certificación CFEC. Esta institución de mucho prestigio en el campo
forense, ofrece un claro escenario de análisis y
conceptual que le permite a cualquier juez o demandante las características técnicas
y formales necesarias para obtener, analizar, conservar y preservar evidencia
digital.
¿Podría un hacker encontrar con sus propios métodos algún tipo de pista?
¿Serían buenos colaboradores en este caso?
La utilización de hackers es una opción que puede en un momento confundir a la
justicia en la valoración de las pruebas, pues no es claro su sentido de la ética
y profesionalismo en este tipo de diligencias
técnico-judiciales. Por lo tanto, contar con profesionales certificados en
computación forense permite contar con un escenario formal y técnico que
ofrece confianza y claridad al proceso de recolección, análisis, conservación
y preservación de evidencia digital.
Lectura aconsejada: Credenciales para investigadores forenses en informática.
D. Jeimy J. Cano
jcano@uniandes.edu.co
Ingeniero de Sistemas y Computación
Universidad de los Andes
COLOMBIA
El Doctor Cano es profesor de la Universidad de los Andes en la Facultad de Derecho y el Departamento de Sistemas y Computación, donde imparte cátedras relacionadas con delitos informáticos y computación forense. Es miembro investigador de la Red Iberoamericana de Criptología y Seguridad de la Información - CRIPTORED (http://www.criptored.upm.es) de la Universidad Politécnica de Madrid, moderador de la lista de seguridad informática de la ACIS - Asociación Colombiana de Ingenieros de Sistemas (http://www.acis.org.co) y conferencista nacional e internacional en temas relacionados con seguridad informática, delitos informáticos y computación forense.
