Inicio / Blog / ¿Quieres trabajar en informática forense?. Estos son los principales dominios de conocimiento.

¿Quieres trabajar en informática forense?. Estos son los principales dominios de conocimiento.

Publicado el 11/07/2013, por Antonio Sanz
lupa

La informática forense es una de las disciplinas de la seguridad informática más en auge, más si cabe por el incremento de los delitos informáticos y el cibercrimen. Y como en casi todas las áreas de la seguridad informática, implica el tener conocimiento de una gran cantidad de dominios. Esta tarea es más complicada si cabe porque, en muchos casos, la informática forense se sale de lo puramente técnico y entra de lleno en temas legales, procedimentales y hasta de pura investigación criminal

Lo que vamos a ver a continuación es una revisión somera lo que tendría que saber un buen experto en informática forense. El listado es amplio, y no es obligatorio saberlo todo de cada una de estas áreas (es prácticamente imposible), pero sí al menos las capacidades y técnicas existentes para ser capaces de aplicarlas en un momento dado.

  • Metodologías de análisis forense: El objetivo de la informática forense es identificar, adquirir, conservar y recuperar evidencias digitales y presentar hechos objetivos a partir de su análisis. Esto obliga a una serie de metodologías que es necesario conocer y seguir de forma estricta si no queremos que todo el trabajo realizado carezca de valor.
  • Procedimientos forenses y legales: La informática forense está en muchos casos estrictamente regulada, y hay que conocer los procedimientos establecidos, ya sea para pedir una orden que permita obtener los datos de una dirección IP o para saber cómo pedir a los juzgados el listado de evidencias en un juicio para su análisis.
  • Respuesta ante incidentes: La informática forense en muchos casos se integra dentro de la respuesta ante incidentes, por lo que es necesario el conocer las bases de la misma (detectar, evaluar, contener, adquirir, recuperar y analizar).
  • Creación de un laboratorio forense: Es necesario disponer de las herramientas necesarias para realizar todos los procedimientos de respuesta y su posterior análisis. Máquinas virtuales, servidores, almacenamiento, hardware de adquisición de datos, etc… Todo tiene que estar listo (y a punto) para una investigación.
  • Gestión de evidencias digitales: La correcta identificación, adquisición y conservación de todos los soportes que puedan contener evidencias digitales (desde un disco duro a la SIM de un móvil) es fundamental si queremos que el análisis posterior tenga validez.
  • Sistemas de ficheros: Cada sistema de ficheros (FAT, NTFS, ext4) tiene su estructura y sus peculiaridades. El conocerlas es fundamental para poder recuperar información y poder extraer todos los datos (como los Alternate Data Streams de NTFS, que permiten ocultar ficheros al usuario).
  • Recuperación de datos: La primera fase de un análisis forense es la recuperación de datos de todos los soportes adquiridos. Desde los ficheros en la papelera hasta aquellos borrados (pero en muchos casos recuperables), y llegando hasta el file carving (recuperación parcial de ficheros), el tener toda la información hará nuestro análisis más completo y exacto.
  • Sistemas operativos: Es fundamental conocer lo más a fondo posible el funcionamiento de los sistemas operativos más comunes (Windows, Linux y Mac) para sacar el máximo juego a la información. Por ejemplo, el registro de Windows puede decirnos si un USB ha sido o no conectado a un equipo (lo que puede ayudarnos a determinar si ha sido usado para robar información).
  • Redes: Hoy en día casi todos los crímenes tienen una red como medio. Ya sea una ADSL, WLAN, 3G o Bluetooth, hay que saber los entresijos de cada una de ellas (como los ataques de man-in-the-middle, o porqué WEP no sirve hoy en día para casi nada). También hay que tener en cuenta el análisis de tráfico, vital para detectar una botnet u obtener más pruebas de un delito en vivo.
  • Móviles y tablets: La permeabilidad de móviles y tablets en la sociedad actual es innegable. Y son verdaderos tesoros para un analista forense, desde los contactos de la SIM hasta los mensajes de WhatsApp o la propia localización de los terminales (que está en poder de las operadoras de telecomunicaciones).
  • Análisis de memoria RAM: Los datos volátiles (aquellos que perdemos cuando se apaga el equipo) ofrecen muchísima información, desde malware que reside únicamente en memoria hasta las contraseñas de sitios web que están contenidas en su interior (aunque no hayamos pulsado en el botón de recordar).
  • Análisis de logs y correlación de eventos: Toda acción deja una huella (como dice el principio de Locard, una de las bases de la ciencia forense). En nuestro caso, los logs son nuestros mejores amigos, ya que podemos inferir una posible intrusión recopilando y correlando los mismos.
  • Generación de líneas temporales: Una técnica de análisis forense muy potente es realizar una línea temporal basándose en los tiempos MAC (Modificado, Accedido, Cambiado) de cada fichero. Una línea temporal puede identificar que, a los pocos segundos de que un usuario visitar la página X, el fichero Y se creaba en el equipo y se lanzaba un nuevo (y sospechoso) proceso…
  • Imagen, audio y vídeo: El análisis de contenido multimedia, sobre todo en términos de garantizar su autenticidad e integridad, es fundamental. Aquí puede entrar desde analizar una grabación para ver si ha sido alterada hasta verificar que un conjunto de fotos han sido tomadas con una única cámara digital.
  • Navegadores: Lo primero que suelen hacer los usuarios a día de hoy cuando encienden su ordenador es arrancar un navegador. Desde el historial de páginas visitadas a las cookies o los sitios en los que se ha guardado la contraseña, los navegadores son una verdadera mina de oro para los analistas forenses.
  • Clientes de correo: Ya sean clientes físicos o basados en web como Gmail, los correos electrónicos (y sobre todo el análisis de sus cabeceras) son una fuente primordial de información a la hora de investigar un posible delito.
  • Software P2P: Emule, Ares, uTorrent… todos ellos usados para la descarga de contenidos más o menos legales, y sobre todo muy usado en temas de pornografía infantil. El conocer cómo funcionan estos programas y cómo comparten ficheros es fundamental.
  • Redes sociales: Facebook y Twitter saben más que nuestros ancestros. El saber qué tipos de información y cómo se configura la privacidad y seguridad de las redes sociales más conocidas nos puede dar muchísima información (sin ir más lejos, en EE.UU, el 25% de los divorcios tienen como culpable a las redes sociales).
  • Detección y análisis de malware: El malware es cada vez más sofisticado y dirigido a cometer delitos. El conocer cómo infectan y atacan los últimos troyanos (y el saber detectar la presencia de uno en un sistema) es fundamental.
  • Cibercrimen: El 99% del malware está dirigido a la obtención de dinero, y hay un verdadero ecosistema detrás de cada troyano bancario. Muleros, carders, bot herders … Hay que conocer cómo funciona el cibercrimen y saber qué técnicas emplean para cometer delitos.
  • Cloud Computing: La nube está cambiando en muchos casos la forma de interactuar con la tecnología. El conocer cómo funcionan muchos programas que trabajan en la nube (como Dropbox o Flickr para documentos y fotos, o si nos vamos a servidores completos como los que provee Amazon Web Services) es fundamental.
  • Metadatos: Aunque no lo sepamos, casi todos los documentos que generamos tienen metadatos que dan muchísima información. Un documento Word, un .pdf, o una foto tomada por una cámara digital o un móvil pueden tener la clave de una investigación.
  • Bases de datos: El análisis forense de bases de datos es crítico sobre todo en casos de fraude. El saber qué usuario accedió a qué datos en qué momento, o si los controles de acceso pertinentes estaban bien configurados nos puede ayudar a identificar a un posible culpable.
  • Legislación: La informática forense está fuertemente relacionada con la comisión de delitos, por lo que es necesario (aunque no sea del gusto de los técnicos) conocer la legislación vigente al respecto. La Ley de Enjuiciamiento Criminal, el Código Penal, la LOPD y la siempre interesante Ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones son algunas de las leyes que habrá que conocer.
  • Técnicas de investigación: Aunque en esta parte entre en juego la intuición y el instinto de cada uno, hay muchas técnicas que pueden ser aprendidas. La inexistencia de logs (porque un intruso los ha borrado) nos puede indicar que en efecto ha habido una intrusión. Un acusado de tenencia de pornografía infantil que afirma que no sabe cómo han llegado esas fotos a una carpeta que nunca ha sido abierta por ese usuario… son “trucos” que se aprenden con el tiempo.
  • Redacción de informes forenses: Todo el análisis realizado debe de ser ordenado, recopilado y presentado en forma de hechos demostrables. Aquí no hay lugar para las suposiciones o las opiniones personales, tan solo para los hechos (junto con los datos que nos permiten probarlos).
  • Defensa de informes forenses: En muchos casos es muy posible debamos testificar como peritos, defendiendo nuestro informe en un juicio, contestando tanto a las preguntas del jurado como a las del abogado de la otra parte. El saber exponer conceptos técnicos de forma clara, y el saber contestar las preguntas “puntiagudas” de la otra parte son dos aptitudes que hay que dominar.
  • Ética: En un juicio, ya sea civil o penal, una o varias personas se están jugando mucho dinero, o incluso ir a la cárcel. La objetividad y el comportamiento estrictamente ceñido a la verdad y a los hechos probados son absolutamente necesarias para un analista forense.

El listado dista de ser exhaustivo (seguro que nos dejamos cosas en el tintero), pero creo que da una visión global de en qué temas hay que centrarse si se quiere trabajar en el apasionante mundo de la informática forense.