ANALISIS FORENSE Como especialidad dentro del mbito de la seguridad informtica el anlisis forense digital puede aportar al profesional

resultados plenamente gratificantes, pero tambin situaciones realmente desagradables. Escenarios de actuacin en principio sencillos, pueden complicarse hasta lmites insospechados. A todo esto se suma una circunstancia difcil de digerir, especialmente para un informtico, la subjetividad. Por muy tcnicos que sean los resultados obtenidos, por metdicos que lleguen a ser los procedimientos y claras las conclusiones tcnicas, todo el proceso no deja de estar cargado de cierta subjetividad. Es ms, en un determinado momento la decisin final ser adoptada por alguien que presenta lgicas limitaciones tcnicas para apreciar lo dispuesto en un informe pericial informtico. Desde su inicio un anlisis forense digital debe responder a la pregunta es posible que las conclusiones lleguen a un proceso judicial? Inicialmente, esta cuestin puede parecer poco relevante para un anlisis tcnico. Sin embargo, esta impresin cambia radicalmente al entrar en calidad de perito en la sala donde se desarrolla el proceso. Probablemente, en el desarrollo del mismo, el tipo de preguntas a las que se enfrente el informtico no sern tan claras y directas como las que en sus labores tcnicas contesta habitualmente. Y por qu no decirlo, en muchas ocasiones stas sern directamente malintencionadas e incluso retorcidas. Una mala respuesta puede llegar a desbaratar judicialmente una buena labor de anlisis digital. En estos momentos es cuando se aprecia lo determinante que es haber realizado correctamente el anlisis desde sus inicios. De este modo la duda, la inseguridad y falta de claridad en la respuesta sern infrecuentes. La frustracin de que estaba casi todo bien y de que por lo menos lo intentamos ser inusual si la labor tcnica de anlisis ha sido la adecuada. Enfrentarse a un caso forense implica tener que anticipar inicialmente la posibilidad de llegar a juicio. A menudo, y en funcin del escenario, es posible que ese hecho no se observe en un principio, pero tal y como se desencadenen los acontecimientos pueda llegar a darse. Expongamos a continuacin un hipottico caso y que sin embargo recoge situaciones que no son inusuales en la realidad y que ilustran la posibilidad de que un anlisis tcnico desemboque en un proceso judicial. El equipo de trabajo de un directivo comienza a hacer cosas raras. En consecuencia se decide realizar un anlisis del mismo y averiguar que est ocurriendo. Se detecta la presencia de un malware. En ese momento son mltiples las cuestiones a abordar: por qu el antivirus no lo ha detectado?, pueden otros ordenadores estar afectados?, cmo eliminarlo? Sin embargo, en el transcurso del anlisis digital no slo se detecta al elemento malicioso, sino que est provocando una fuga de informacin. Se localiza quin ha sido el actor (denominacin judicial, para ir entrando en materia) culpable de la accin maliciosa y a qu tipo de informacin ha tenido acceso. Se trata de otro empleado de la compaa que ha sustrado informacin crtica respecto de la poltica corporativa de recursos humanos. La empresa afectada no querra llevarle a juicio o despedirlo de forma procedente? Probablemente s. Frecuentemente en los casos forenses se sabe cules son los inicios de la investigacin digital, pero no cul puede ser su final. Por ello es interesante conocer si el promotor de la investigacin tiene de partida la intencin de llevar el caso a los juzgados. En mltiples ocasiones los interesados desestimarn esta posibilidad. Sin embargo, es posible que no sean conscientes de las circunstancias reales y al disponer progresivamente de mayor informacin sus intenciones iniciales se pueden modificar. Es recomendable por lo tanto desde un primer momento indicar que ante la posibilidad ineludible de que el anlisis pueda finalizar en una fase judicial, la recogida de evidencias debe

Victor Hugo R. Garduo

realizarse teniendo esta circunstancia en consecuencia o al menos en caso de no hacerlo comunicrselo a los interesados. En todo momento se debe hablar de posibilidades. El desarrollo de una investigacin digital correcta en sus procedimientos y conclusiones, no asegura el xito de la misma. En un juicio la decisin final se dirime en un momento y localizacin puntual. En ocasiones slo la habilidad y experiencia de unos y otros hacen que la balanza se incline hacia uno u otro lado. No hay que olvidar que el desarrollo de la recogida de evidencias y de todo el anlisis atendiendo de forma rigurosa a los procedimientos adecuados demanda una mayor dedicacin y en el mundo profesional el tiempo es dinero. En cada escenario es necesario valorar si la inversin econmica, el porcentaje de posibilidades de xito y el propio desgaste del proceso hacen recomendable el inicio del mismo. En ocasiones lo idneo ser desestimar la realizacin del peritaje. Tras valorar los anteriores factores no es inusual en casos laborales que una organizacin puede llegar a la conclusin de que le es ms conveniente afrontar un despido improcedente que iniciar una investigacin. Es necesario tener presente aquellos anlisis que pueden derivar en un juicio, deben ser atendidos con mayor pulcritud y rigor procedimental para que las conclusiones obtenidas a partir de las evidencias, sean vlidas, crebles y lo ms importante rotundas e irrefutables sea cules fueren los argumentos utilizados. Aquellas actuaciones cuyo objetivo no es atender a un proceso judicial, sino obtener una determinada informacin, permiten una mayor flexibilidad, reduciendo con ello los tiempos dedicados a la recogida y tratamiento de evidencias. La tendencia habitual es hacer uso de procedimientos, que siendo ms o menos reglados pueden resultar algo imprecisos o inapropiados para tener valor judicial. Pngase un ejemplo. Para tareas de adquisicin de evidencias un especialista puede operar haciendo uso de las normas marcadas en la RFC 3227 Gua para la recogida y almacenamiento de evidencias. Pero actualmente en Espaa, aplicar esta norma de forma escrupulosa puede ser una temeridad, fundamentalmente porque rompe el principio de que antes de tocar cualquier evidencia, preva lece la rigurosa recogida de la misma. El escenario nunca debe alterarse. Esta circunstancia puede llegar incluso a eliminar la validez de la evidencia. En otros pases, ms avanzados judicialmente en materia de procedimientos forenses informticos y que incluso disponen de leyes y regulaciones para ello, esta RFC pueda tener su validez. Sin embargo, en otros muchos, como es el caso de Espaa, es mucho ms importante poder acreditar la no alteracin de evidencias que cualquier otra cuestin. Dicho de forma ms coloquial, para el perito es crtico poder afirmar en cualquier caso cuando yo llegu, esto ya estaba as. En caso contrario, las pruebas pueden ser recusadas por posible alteracin de las mismas en el anlisis. Aunque la imparcialidad del perito es obligatoria por ley, finalmente sus servicios son contratados habitualmente por una de las partes y se diluye por lo tanto esa esencia de independencia asociada a su labor. Si es claro que independientemente de cmo se desarrolle el caso, ste no acabar en un juicio, el nivel de exigencias y pulcritud se relaja dejando paso a la efectividad en el anlisis Todas estas claves se irn valorando a lo largo de esta publicacin. Ser consciente en todo momento de la importancia del proceso que se tiene entre manos, anticiparse a las cuestiones a abordar antes de hacerlo y conocer las herramientas necesarias para ello. Pero especialmente, cmo abordar la dichosa experiencia que un juicio supone para cualquiera, pero especialmente para un informtico, que adems tiene una labor crtica en las actuaciones judiciales.

Victor Hugo R. Garduo

La importancia de las evidencias. Uno de los aspectos fundamentales a la hora de afrontar un anlisis forense digital, constituye la necesidad de contar con evidencias vlidas. A priori, todas aquellas correctamente recogidas potencialmente lo son, pero una mala prctica puede llegar a invalidarlas. Hay que tener presente a lo largo de todo el proceso que el perito debe poder defender y contar con el principio de independencia. Sin lugar a dudas la informacin proporcionada por el afectado es vital. Sin embargo, su visin de los acontecimientos puede condicionar en exceso al perito, provocando incluso que su impulso e inters por llegar a la realidad de los hechos le haga actuar a ste sobre el equipo e infraestructuras afectadas sin respetar el procedimiento adecuado para ello. Es un riesgo fundamental en el inicio de un anlisis digital luchar contra ese impulso. Cuando se sospecha que sobre un determinado equipo se ha realizado una accin perniciosa y que por lo tanto debe ser objeto de anlisis, la prudencia es fundamental. Inicialmente debe asumirse que es posible que contenga evidencias interesantes y que por ello es necesario tratarlo como un sistema con informacin importante y sensible para el caso. No hacerlo as y caer e n la tentacin de actuar sobre l precipitadamente, permite en caso de juicio poder alegar que las evidencias pueden haber sido manipuladas con el objetivo de favorecer o incriminar a alguien. Este es tambin habitualmente un argumento frecuentemente utilizado en anlisis contra periciales. Y si no debe tocarse el equipo qu ha de hacerse? A da de hoy no hay nada reglado en este sentido, pero existen una serie de buenas prcticas y normas no escritas cuya aplicacin es recomendable. Si el equipo est encendido es una buena opcin obtener una fotografa de la pantalla y apagarlo. Puesto que pudiera haber informacin importante relativa a ficheros temporales o incluso en sistemas Windows, el propio fichero de paginacin de memoria, podra optarse por apagar el equipo por la va rpida, cortando el suministro de energa. En este procedimiento, la prdida ms importante la constituye la informacin de conectividad de red y la memoria RAM, pero hay que tener presente las circunstancias del caso y el tipo de escenario al que hay que enfrentarse para adoptar la decisin adecuada. Si esa informacin resulta vital, sera imprescindible contar con testigos que pudieran refrendar las acciones realizadas y que pudieran atestiguar que no se ha realizado ninguna accin enfocada a manipular datos, slo a extraerlos. No obstante, siempre habr que tener prevista una respuesta en la vista judicial para una defensa de las acciones realizadas. La presencia de testigos es una cuestin a considerar en procesos comprometidos. Formulados a travs de reglamentaciones de uso de medios corporativos o protocolos de seguridad internos, muchas organizaciones cuentan entre sus procedimientos con mecanismos que hacen uso de testigos para la intervencin de equipos, en muchas ocasiones herederos de acciones tales como el registro de una taquilla. Para estos casos, suele requerirse que todo el proceso de recogida de las evidencias sea llevado a cabo con la presencia de una persona del comit sindical y el propio afectado, o en su defecto dos personas de la organizacin, totalmente independientes a las circunstancias del caso. Estos procedimientos ofrecen la seguridad, sobre todo de cara a procesos judiciales, de que, habindose realizado una serie de acciones especficas, testigos concretos pueden refrendar los hechos. Estas acciones se tratan de forma muy anloga al hecho de la apertura de una taquilla y que en cierta medida quedan regulados por el Estatuto de los Trabajadores. Aunque con una orientacin diferente, sirva como ejemplo una sentencia de noviembre del 2000 de la Sala de lo Social en Mlaga del Tribunal Superior de Justicia de Andaluca, en la que se juzgaba la denuncia efectuada por un trabajador contra el empresario que le intervino y copi todos sus correos y ficheros personales, an en presencia del comit de empresa. La sentencia se inclina en este apartado por el criterio empresarial, a pesar de que la sentencia en cuestin da la razn al trabajador, pero slo por el hecho de que no se justific el registro tal y como obliga el artculo 18 del Estatuto de los Trabajadores. La resolucin afirma implcitamente, que el mencionado artculo 18

Victor Hugo R. Garduo

autoriza el registro en la terminal de ordenador que utiliza el trabajador. A todos los efectos, un equipo se asimila a la taquilla, basndose en que el ordenador es un instrumento de trabajo propiedad de la empresa. Por lo tanto, no deber ser utilizado con otros fines diferentes que la realizacin de la propia actividad laboral. Sin embargo nunca deber obviarse el hecho de que en un juicio la palabra y la interpretacin ltima es siempre tarea del juez atendiendo para ello a su criterio, interpretando las leyes y aplicndolas segn su entender. Por lo tanto cualquiera de los procesos efectuados y las acciones llevadas a cabo son validadas y refrendadas exclusivamente por su seora. Pero finalmente teniendo en consideracin lo expuesto hasta el momento, llegar la hora de adquirir las evidencias como fase crtica del proceso. En este momento vuelve a aparecer la cuestin fundamental, cul es el procedimiento adecuado? De nuevo la respuesta es compleja, no existe un procedimiento nico, as como tampoco existen unas herramientas validadas y que sirvan especficamente a efectos judiciales. Como ya se ha indicado, en muchos pases de la Unin Europea, entre ellos Espaa, no existe una legislacin para el anlisis forense digital. Por ello no puede expresarse de forma taxativa qu proceso es el adecuado ni cules son las herramientas necesarias y cmo deben utilizarse. Bsicamente hay que dar respuestas a una serie de preguntas fundamentales: 1. Cul es el escenario ante el que hay que enfrentarse? 2. Qu quiere analizarse: un fichero, un directorio, un disco o todo un sistema? 3. De cunto tiempo se dispone para hacer la adquisicin de las evidencias? 4. Dnde se almacenarn las evidencias? 5. Cuntas copias deben realizarse? Sin lugar a dudas, una operacin crtica para el analista forense es la copia. Normalmente los escenarios a los que se enfrentar demandarn procesos complejos y voluminosos de copiado de informacin, haciendo incluso uso para ello de distintos medios. La propia configuracin del equipo analizado, desconocer la ubicacin especfica de los ficheros o su ubicacin en mltiples medios de almacenamiento, son algunas de las circunstancias posibles que pueden complicar la realizacin de la copia. Muy probablemente el tiempo invertido ser alto y el coste en recursos tambin. El proceso de copiado de un disco o de determinados ficheros debe de garantizar las siguientes condiciones: - Las copias realizadas deben ser idnticas al origen y por lo tanto entre ellas tambin. - Bajo ningn concepto el origen de datos debe ser alterado. Tampoco el destino. En este caso la copia queda inutilizada para el proceso de anlisis y deber repetirse. Si no se hiciese as todo el proceso de anlisis podra quedar invalidado. - El copiado debe ser completo, incluyendo el supuesto espacio libre. Muchas veces es posible que aparezca all informacin interesante, especialmente si se ha hecho uso de herramientas antiforenses. - Debe aplicarse una funcin hash sobre la informacin adquirida con objeto de obtener su huella digital. Este ltimo aspecto es fundamental. A travs de l se garantiza que las conclusiones a las que se llega tras el anlisis de las copias realizadas de las evidencias, parten de un disco o ficheros

Victor Hugo R. Garduo

idnticos al original y por lo tanto no ha habido una manipulacin de los mismos tras las copias binarias realizadas. Inicialmente es necesario determinar cuntas copias deben realizarse. Es recomendable un mnimo de dos adicionales al original. Una de ellas destinada al analista forense, la otra a la empresa implicada o al afectado por el caso, para dar continuidad al trabajo, y finalmente el original que deber salvaguardarse como elemento crtico. Para esto ltimo son varias las posibilidades. En caso de denuncia se podr presentar junto a sta, quedar depositada en un notario o bien almacenada por la organizacin o persona afectada con las garantas de seguridad debidas. Es fundamental tener en cuenta su importancia de cara al posterior juicio. El hash garantizar que el disco no ha sido manipulado y este aspecto es fundamental. Permite reproducir las pruebas originales ante la posible realizacin de anlisis contrapericiales. Para la obtencin del hash existen multitud de algoritmos, se recomienda el uso de al menos SHA-1 (Secure Hash Algorithm) para ello. Las herramientas enfocadas al procedimiento de copiado utilizan habitualmente la funcin dd para el copiado. Esta se realiza bien por la clonacin del disco fsico o las unidades lgicas, o bien generando un nico fichero de imagen que pueda ser tratado directamente por las herramientas forenses. Para ello existen elementos hardware que permiten realizar estos procesos de forma cmoda, precisa y con altas garantas. Aunque no es la solucin ms econmica, si es la que ofrece mayor profesionalidad y seguridad a un analista forense. No obstante hay que tener en cuenta la diversidad de tipos de discos existentes en el mercado. Su evolucin llega a suponer que un determinado hardware adquirido podra no ser vlido para un proceso de copia, al no disponer de los accesorios adecuados para recuperar un modelo de disco especfico. No obstante existen conversores que facilitan la labor, pero que no garantizan que la compatibilidad pueda mantenerse a lo largo del tiempo. A modo de ejemplo se presentan a continuacin algunos enlaces orientativos sobre dispositivos existentes en el mercado que permiten las operaciones de adquisicin de evidencias. - Logicube (http://www.logicube.com/) - ICS (http://www.ics-iq.com/Computer-Forensic-Hand-Held-Units-s/33.htm) - Data Device International (http://www.datadev.com/hard-drive-forensics-dod- approved-datasecurity-erase.html)

Bibliografa. Un forense llevado a juicio, Juan Luis Garca Rambla.

Victor Hugo R. Garduo