Custom services
Spanish (pdf)
Article in xml format
Article references
Send this article by e-mail
Cited by SciELO 
Similars in
SciELO 
Permalink
Introducción
Estar preparado ante un incidente de seguridad aplicando mecanismos de defensa para las redes es fundamental, pero a pesar de las barreras de protección establecidas para salvaguardar los activos de información, los ataques a sistemas informáticos se siguen produciendo y evolucionando en paralelo con las nuevas tecnologías. Desafortunadamente, la presencia de vulnerabilidades en sistemas informáticos aumenta continuamente, no solo en número sino también en el impacto de su explotación individual. La esencia de los problemas de seguridad se deriva de la calidad del software. Para mantener los procesos actualizados se deben modificar las funcionalidades con frecuencia, lo que conduce a un ciclo de desarrollo más largo. El proceso es engorroso y difícil de mantener para muchos programadores (Xu, 2022).
El panorama digital está evolucionando a gran velocidad y está causando un impacto significativo en las tendencias mundiales de seguridad en el ciberespacio. Los ataques cibernéticos también están cambiando su proceder en cuanto a objetivos y las técnicas empleadas. Anteriormente, los ciberdelincuentes solían apuntar a datos almacenados en los sistemas de información organizacional. Sin embargo, las tendencias muestran que su actividad actual está dirigida a los sistemas de control para interrumpir los procesos industriales y destruir los datos sensibles (Shinde, 2021).
El equipo de investigación de la empresa Sucuri afirma que, durante el 2019 más del 60 % de los sitios web eran vulnerables con un aumento del 4% con respecto a 2018. Los vectores de infección primarios incluyen componentes de terceros vulnerables, defectos de software y errores durante la implementación de funciones para manipular datos (Sucuri, 2019).
De los reportes emitidos en los últimos años puede inferirse que, las soluciones tecnológicas basadas en antivirus, cortafuegos, sistemas de detección de intrusiones, han demostrado ser imprescindibles, pero su presencia no ha sido suficiente para disminuir o contener los ciberataques (González Brito & Montesino Perurena, 2018).
En el boletín de seguridad de Kaspersky también se muestran estadísticas relevantes asociadas a los ciberataques. Los datos analizados revelan que el 19,8 % de los usuarios de Internet al menos una vez fueron objeto de un ataque a través de URLs maliciosas (Kaspersky, 2017). En el año 2021 el 15,45 % de las computadoras de los usuarios de Internet en todo el mundo experimentó al menos un ataque de tipo Malware. Las soluciones de Kaspersky bloquearon más de 114 mil URLs maliciosas que activaron el componente de Web Anti-Virus (Kaspersky, 2021).
Una de las fases más importantes en la respuesta a un incidente de seguridad es identificar y recuperar la evidencia relacionada con el hecho (Vargas Ramos, 2021). Sin embargo, las computadoras guardan la información de forma tal que a través de los medios comunes no se puede recuperar o analizar, por lo que son necesarios mecanismos diferentes a los tradicionales. La Informática Forense como ciencia, aplicando técnicas científicas y analíticas especializadas a la infraestructura tecnológica es la encargada de identificar, preservar, analizar y presentar la información obtenida de forma válida dentro de un proceso legal (Zuccardi & Gutiérrez, 2006).
La Informática Forense no tiene como objetivo prevenir delitos, aunque puede brindar datos precisos para mejorar los mecanismos de seguridad utilizados en la protección de una red. El análisis forense pretende averiguar qué fue lo que ocurrió durante una intrusión buscando una respuesta de quién realizó el ataque, qué activos se vieron afectados y en qué magnitud, cuándo ocurrió, dónde se originó y contra qué blancos estuvo dirigido, cómo se perpetuó y el por qué (Creutzburg & Sánchez Briseño, 2016).
Gracias a que la información se puede almacenar, leer e incluso recuperar cuando se creía eliminada, la Informática Forense, aplicando procedimientos estrictos y rigurosos puede ayudar a resolver grandes incidentes apoyándose en el método científico, aplicado a la recolección, análisis y validación de todo tipo de pruebas digitales. En la actualidad, los escenarios a los que se enfrenta un investigador o perito informático, van más allá de lo que en tiempos anteriores se trataba de un simple problema tecnológico. La mutación del delito en materia informática evoluciona, creando nuevas técnicas antiforense para destruir, ocultar, eliminar o falsificar la evidencia digital. Dadas las circunstancias en cómo se inicia el procedimiento legal para obtener una prueba de una evidencia digital, es necesario que la preservación de la misma sea lo más trasparente y meticulosa posible, con el objetivo de no dejar vacíos jurídicos, que afecten el proceso investigativo y exoneren de toda responsabilidad al autor o participe de los hechos (Contreras Calderón, 2021).
Esta disciplina hace uso no solo de tecnologías de punta para poder mantener la integridad de los datos y del procesamiento de los mismos. Además, requiere de una especialización y conocimientos avanzados en temas de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido (Littlejohn Shinder, 2008).
A través de esta ciencia es posible investigar quién es el dueño de los sitios web, quiénes son los autores de determinados artículos y otros documentos enviados o publicados a través de redes. Son igualmente investigables las modificaciones, alteraciones y otros manejos a las bases de datos de redes internas o externas. Los archivos informáticos pueden guardar información sobre su autor, la compañía, fecha de creación, etc. a espaldas del usuario, pudiendo determinarse en algunos casos en qué dispositivo fue redactado el documento.
En el 2017 los ataques de ransomware WannaCry, ExPetr y BadRabbit fueron los más significativos. WannaCry se extendió a una velocidad asombrosa y se cree que se ha cobrado alrededor de 700,000 víctimas en todo el mundo. ExPetr fue más específico, afectando a las empresas, incluidas muchas marcas reconocidas a nivel mundial a través de software comercial infectado. Maersk, la compañía más grande del mundo de portacontenedores y buques de suministro ha declarado pérdidas anticipadas de entre $200 y
$300 millones de dólares como resultado de una "interrupción comercial significativa" causada por el ataque. (Kaspersky, 2017)
La mayoría de los malware responsables de los ciberataques se propagan utilizando los servicios que se publican Internet y son accesibles por los usuarios a través de los navegadores web. En la Universidad de las Ciencias Informáticas (UCI) se imparte la asignatura Informática Forense como parte del proceso docente educativo, pero no cuenta con un las herramientas y condiciones adecuadas para su estudio y aplicación. Poner en práctica las técnicas científicas que propones esta rama de las ciencias forenses requiere la creación de áreas especializadas en el tema que brinden un entorno propicio y confiable para desarrollar la actividad.
Por lo antes expuesto en este trabajo se presenta el diseño general de un laboratorio de informática forense con las funciones de los departamentos que lo componen. Dándole respuesta a la siguiente interrogante:
¿Cómo mejorar el proceso de análisis de los delitos informáticos que ocurren la Universidad de las Ciencias Informáticas?
Métodos o Metodología Computacional
Método histórico - lógico: permitió el estudio de la evolución y desarrollo de las diversas entidades dedicadas al análisis forense digital. Haciendo énfasis en las características más importantes que han surgido y que son aplicables en el diseño de la solución propuesta.
Método análisis - síntesis: este método viabilizó la realización del estudio teórico de la investigación y el análisis de la documentación referida a la informática forense, permitiendo que se sintetizaran los elementos
más importantes para el análisis de los documentos y la bibliografía con el objetivo de obtener información detallada relacionada con el objeto de estudio.
Conceptos básicos
Delitos informáticos: El cibercrimen (delito informático) es una actividad delictiva que se dirige a una computadora, una red informática o un dispositivo en red. La mayor parte del cibercrimen está cometido por cibercriminales o hackers que desean ganar dinero. Sin embargo, a veces el objetivo del cibercrimen es dañar computadoras o redes por motivos distintos a la obtención de dinero. Pueden ser motivos personales o políticos (Kaspersky, 2022).
Informática Forense: Es una rama de las ciencias forenses que se encarga de adquirir, analizar, preservar y presentar datos que han sido procesados electrónicamente y almacenados en un medio digital (DI IORIO, 2017). El objetivo principal de esta ciencia es transformar evidencias en pruebas que puedan llegar a demostrar la culpabilidad o inocencia de un acusado (Sanchis, 2021).
Evidencia digital: Es un tipo de evidencia física que está construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales. Es una denominación utilizada para describir cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como prueba en un proceso legal (Di Iorio, 2017). La evidencia digital se puede clasificar en dos tipos: Volátil, hace referencia a información temporal, como la que reside en la memoria principal (RAM) y No volátil, hace referencia a memoria permanente tales como discos duros, usbs, etc, la cual se mantiene cuando se apaga el equipo (Coronel u. a., 2020).
Cadena de custodia: La cadena de custodia emplea normas de procedimiento que son utilizadas por los responsables de la evidencia. Garantizan tres elementos fundamentales: La preservación, confiabilidad y registro, considerando que es un deber proteger las evidencias de una manera profesional (Montecé- Mosquera & Augusto Izquierdo-Montecé, 2020).
Metodología de análisis de las evidencias digitales
El análisis forense digital es un proceso científico utilizado en investigaciones relacionadas con el ciberespacio y consta de tres etapas principales: adquisición, extracción, análisis y presentación de informes técnicos y ejecutivos. No existe un procedimiento único para la realización de una investigación, aunque se aplican las mismas fases utilizadas en un crimen físico (Hidalgo Cajo u. a., 2018). Es considerado una disciplina que requiere una estricta organización interna basada en principios y buenas prácticas de trabajo para los investigadores que intervienen en un caso. Para el laboratorio de informática forense se propone la utilización del modelo PURI (Proceso Unificado de Recuperación de Información) elaborado por un colectivo de autores pertenecientes a la Universidad FASTA de Argentina.
El modelo PURI es un esquema teórico de las tareas involucradas en la aplicación forense de las ciencias de la información. Este esquema agrupa las tareas en actividades de mayor abstracción, y a éstas en fases. A su vez, el modelo se complementa con las técnicas para llevar a cabo cada una de esas tareas y las herramientas disponibles que ejecutan dichas técnicas (Di Iorio, 2017).
Las fases iniciales de Relevamiento y Recolección, son de tipo exploratorio esperado que sean ejecutadas por un profesional con perfil orientado a la investigación, donde el técnico tenga un rol de asistencia y asesoramiento. En cambio, las fases subsiguientes: Adquisición, Preparación, Extracción y Análisis, y Presentación, son netamente de informática forense, y se espera que las tareas involucradas sean desarrolladas por profesionales especializados en esta temática, con la asistencia que se requiera de los investigadores del caso. Más allá de las preponderancias de un perfil profesional sobre otro, en cada una de las fases, se recomienda siempre el trabajo conjunto de las tres orientaciones, legal, criminalística y de informática forense, ya que, como en todo sistema, “el todo es más que la suma de las partes” (Di Iorio, 2017).
Resultados y discusión
La implementación de un Laboratorio Informática Forense (LIF), en la Universidad de Ciencias Informáticas debe garantizar el análisis de incidentes de ciberseguridad.
Estructura del laboratorio
El LIF (Laboratorio de Informática Forense) estará compuesto inicialmente por 6 áreas principales:
Seguridad de los datos
Recuperación de archivos borrados y metadatos.
Análisis de memoria RAM.
Análisis de Red.
Análisis de aplicaciones instaladas.
Departamento legal.
Seguridad de los datos: Se encarga de la protección de los datos contra accesos no autorizados y corrupción de la información durante todo el ciclo de análisis. El departamento utiliza un procedimiento basado en los conceptos de encriptación de datos, función resume (hash) y prácticas de gestión de claves que ayudan a proteger la información en todas las aplicaciones y plataformas del área. Garantiza además que las etapas de la cadena de custodia de las evidencias se ejecuten correctamente. Interviene en la validación y preservación de los datos, ya que almacena todas las evidencias de los casos.
La protección de la subred del laboratorio es otro aspecto importante para garantizar la integridad de la información que se procesa en el mismo. Se deben instalar dispositivo para proteger cada punto de acceso como firewalls, IDS, y realizar pruebas periódicas de penetración a los sistemas que constituyen activos informáticos críticos.
Recuperación de archivos borrados y metadatos: El departamento tiene la función de ejecutar tareas en la fase de recuperación de información relacionadas con el incidente. Para este propósito se analizan archivos temporales, archivos borrados tanto de forma automática como de forma intencionada. Para la recuperación de estos datos y su posterior análisis se utilizan las técnicas de File y Data Carving. Las herramientas que utilizan estas técnicas trabajan en base a la estructura de los formatos que reconocen, y pueden recuperar archivos aun cuando no quedan metadatos asociados, solamente en base al contenido. Al no depender de la información del sistema de archivos, solamente de la estructura de los formatos, las herramientas de carving son muy efectivas y pueden trabajar sobre cualquier medio de almacenamiento. Las técnicas de File Carving se basan en recuperar archivos completos que no estén dañados de un dispositivo de almacenamiento analizando el contenido de sus bloques, teniendo en cuenta características específicos de los formatos e ignorando las estructuras del sistema de archivos. Por su parte las técnicas de Data Carving pretenden recuperar fragmentos de datos más pequeños relacionales con algún fichero (Raad Ali u. a., 2018).
Otras de las funciones del departamento es el análisis de los metadatos de los archivos encontrados o recuperados del dispositivo de almacenamiento. Los metadatos son campos de texto que van incrustados en casi todos los tipos de ficheros de forma automática y a espaldas de los usuarios. Añaden información adicional como la fecha de creación, resolución, tamaño, fecha de modificación, autor, etc.
Análisis de RAM: La RAM es uno de los componentes principales de un ordenador, también llamada memoria principal. Es la encargada de ejecutar todas las instrucciones del procesador y otras unidades de cómputo. Los datos que se almacenan en ella son temporales o volátiles ya que dependen de una fuente de alimentación constante. Debido a esto, en la fase de recogida de evidencias si el equipo está encendido, una de las principales acciones a realizar es el volcado o captura de su memoria RAM. En el componente se pueden identificar drivers, ejecutables, ficheros, direcciones IP, contraseñas, comandos ejecutados por consola, rootkits, puertos abiertos y conexiones activas. El análisis de la memoria principal es relativamente complicado para los investigadores pues se deben considerar un conjunto de variables que relacionan los procesos nativos del sistema operativo y las acciones de los usuarios del equipo. Teniendo en cuenta su envergadura se propone asignar este procedimiento a un departamento específico del laboratorio.
Análisis de Red: Realiza monitoreo y control sobre la red implicada en un incidente analizando el tráfico de entrada y salida a las estaciones de trabajo y los servidores. Para las funciones del departamento se recomienda la utilización de un sistema de detección de instrucciones (IDS) que permitan identificar accesos no autorizados a las computadoras.
Análisis de aplicaciones instaladas: Se encarga de analizar los navegadores web, clientes de mensajería instantánea, servidores web y ftp, bases de datos, etc., además de los registros del sistema operativo.
Departamento legal: Es departamento encargado de presentar el caso ante un tribunal proporcionando datos precisos sobre el incidente analizado a través de dos tipos de informe: Informe Técnico e Informe Ejecutivo.
Herramientas de análisis forense.
Sistema Operativo: Kali Linux 2018
Recuperación de archivos borrados: Scalpel, Disk Drill, CNWRecovery.
Metadatos: FOCA, ExifTool, Metagoodfil
Análisis de datos y ficheros: MFT Tools,INDXParse
Análisis de navegadores: DumpZilla, MozCache. SQLiteBrowser, RecoverRS
RAM: LiME, Volatility, YARA, FTK imager.
Hash: MD5SUM, MD5DEEP.
Pruebas de Penetración: Owasp's ZAP (Zed Attack Proxy).
Suite Forense: Autopsy, The Sleuth Kit, OSForensics
Montaje de discos: ImDisk ,OSFMount raw2vmdk
Infraestructura Tecnológica
El diseño interno LIF, debe brindar y garantizar un ambiente seguro e integral para la operación diaria del personal forense, así como de las evidencias, el área deberá contar con suministro eléctrico permanente, acondicionamiento térmico, circuito cerrado de televisión, sistema de seguridad y detección de incendios.
El servicio de Internet en el área Informática Forense deberá ser permanentemente monitoreado y controlado, así como el análisis de información de documentos entrantes y salientes, y bloqueo de correos electrónicos pertenecientes a dominios no autorizados previamente. Adicionalmente el uso de dispositivos de almacenamiento de información y celulares de uso personal no estarán permitidos, excepto aquellos autorizados por los directivos del área y para funciones de trabajo específicas.
Se propone la instalación de un servidor con soporte de tecnología de virtualización el cual será utilizado para montar máquinas virtuales y brindará un servicio de aplicaciones forenses, de acuerdo a lo propuesto en este documento. Este servidor actuará funcionalmente equiparado a un NAS (Network Área Storage) para el almacenamiento de backups, evidencias digitales y reportes técnicos. Tendrá un espacio de almacenamientos en discos SATA de 10Tb.
Control de dispositivos de almacenamiento
El uso de memorias USB en las empresas constituye un riesgo relacionado con el robo de información y la propagación de virus informáticos que afectan el funcionamiento de las entidades. Para el laboratorio de informática forense se propone el uso de una herramienta que permita controlar los dispositivos y la información que se guarda en los mismos. A continuación, se muestra el funcionamiento básico de dicha herramienta.
USBControlPanel
La aplicación debe conectarse vía SSH a todas las máquinas del laboratorio para hacer los controles necesarios. Debe contar con un sistema de alerta que se ejecute de manera automática comprobando la integridad del dispositivo y crear un reporte sobre posibles violaciones. La aplicación debe tener 4 módulos principales: Control de accedo de dispositivos USB, Control de archivos almacenados en el dispositivo, Sistema de alerta y Sistema de reportes.
Control de accedo de dispositivos USB
El módulo debe permitir:
Agregar un dispositivo de confianza en el servidor (se debe extraer el ID del dispositivo y agregarlo a una base de datos, asociarle la información básica del usuario: Nombre, solapín, usuario del dominio, área a la que pertenece; además se debe registrar los datos de la PC donde se va a utilizar: IP, MAC, Nombre-PC).
Definir las operaciones (Lectura, Lectura/Escritura) que pueden ejecutar los usuarios sobre el dispositivo.
Los dispositivos no autorizados además de generar una alerta no se deben montar en el sistema.
Control de archivos almacenados en el dispositivo
El módulo debe permitir:
La aplicación debe ser capaz de generar registros de logs que guarden el estado de los archivos que se almacenan en el dispositivo con el siguiente formato:(dd/mm/aaaa-hh:mm:ss) ruta_del_archivo hash_del_fichero, id_metadatos).
La aplicación debe ser capaz de generar registros de logs que guarden el estado de los archivos eliminados que se almacenaron en el dispositivo con el mismo formato mencionado anteriormente.
Seguridad Física
En el LIF se debe establecer un control de acceso al personal para poder asegurar la integridad de la información que se gestiona y así prevenir incidentes como:
La ejecución de código malicioso (por ejemplo, activar un gusano desde el interior del laboratorio).
El robo de información sensible (por ejemplo, material probatorio, segundos originales, cintas de copia de seguridad y diagramas de red).
Valoración económica, novedad y aporte social
El LIF servirá de soporte para las instituciones legales, donde, a través de procedimientos estrictos y rigurosos puede ayudar a resolver incidentes de seguridad apoyándose en el método científico para la recolección, análisis y validación de todo tipo de pruebas digitales. Además, permite complementar el estudio de temas relacionados con la informática forense ayudando a la sociedad a adaptarse a la nueva era digital en la que se encuentra inmersa de una forma más segura.
Conclusiones
Luego de terminada la investigación se concluye que la necesidad de crear un laboratorio forense es debido al aumento de las ilegalidades informáticas por lo que el presente diseño servirá de guía para la implementación de infraestructuras similares que cumpla con las condiciones establecidas. Además, permitirá dar respuesta a la problemática actual, garantizando la seguridad de las evidencias relacionada con un delito informático. Se espera generar nuevos conocimientos científicos técnico, plasmados en un protocolo para la recolección y tratamiento de evidencias digitales extraídas de diferentes dispositivos acompañadas de un modelo para la gestión óptima de dichas evidencias. Permitirá dar solución a problemas de esta índole dentro de la propia institución sin depender directamente del órgano rector que atiende los temas relacionados con los delitos informáticos.
