La importancia de la evidencia y el análisis forense digital

Nota de Roberto Martínez para bSecure.

“Las pruebas más pequeñas suelen ser las más grandes”- Gil Grissom

 La evidencia digital

En la actualidad cualquier dispositivo digital que forma parte de la vida de una persona es capaz de generar información que puede convertirse en evidencia valiosa en caso de presentarse un incidente de seguridad; ya sea en forma de una fotografía, documento, registro de geo localización GPS, mensaje de texto, correo electrónico o incluso un número telefónico registrado como parte de una llamada. Esta evidencia es útil para investigar casos relacionados con actividades cibercriminales o de ataques informáticos, el problema es que muchas veces la recolección y el manejo de esta información no se realizan de manera adecuada.

La mayoría de las empresas aún no cuentan con políticas o normas que refieran como debe realizarse la respuesta a un incidente de estas características. La falta de preparación y conocimiento de los procedimientos para manejar estos incidentes lleva muchas veces a privilegiar la continuidad de las operaciones del negocio, sin averiguar de donde provino el ataque o cual fue el grado de impacto y afectación.

Con el creciente numero de ataques dirigidos o de APTs vale la pena revisar la importancia que tiene elevar el nivel de consciencia de las organizaciones en este sentido. Un malware hecho a la medida con el fin de realizar labores de ciberespionaje o sabotaje y que no es detectado a tiempo o que no se llega a conocer cual fue su origen puede provocar daños importantes para las organizaciones. Peor aun, si se logra detectar y rastrear el origen pero no se llevaron a cabo los procedimientos adecuados, el resultado será que cualquier evidencia obtenida durante el proceso de investigación no podrá ser utilizada en una corte en caso de pretender llevar a juicio a los delincuentes.

¿Cuáles son entonces los procedimientos adecuados? ¿Existe alguna norma o regulación internacional? ¿Cualquier persona puede realizar estos procedimientos?

Procedimientos para realizar una investigación forense digital

La realización de una investigación forense digital se puede dividir en 4 fases principales:

  • Adquisición
  • Preservación
  • Análisis
  • Presentación

Leer más de esta entrada