Uncategorized

Tras las huellas digitales – análisis forense

Analisis forence R3

Muchos de nuestros clientes nos preguntan sobre la figura del servicio de análisis forense digital y en qué casos se realiza un análisis de este tipo. En este artículo trataremos de explicar de forma simple y detallada, en que consiste, en que casos aplica, y el porque del mismo.

¿QUÉ ES LA INFORMÁTICA FORENSE ?

La informática forense, es una disciplina que busca neutralizar los desafíos y técnicas llevadas a cabo por los delincuentes informáticos.

Para ello se realiza una investigación criminal sobre los dispositivos digitales (móviles, portátiles, equipos de computación, dispositivos de almacenamiento, etc…). El fin es esclarecer el origen, depurar responsabilidades así como también prevenir que vuelva a suceder.

computer-forensics

¿QUÉ ES UN ANÁLISIS FORENSE INFORMÁTICO ?

Podríamos definirlo como una serie de técnicas que permiten extraer información relevante de los dispositivos y discos sin alterar su contenido. De forma que nos permite encontrar patrones, información oculta y esclarecer como se ha producido un determinado incidente de seguridad informática.

¿QUÉ OBJETIVOS TIENE LA INFORMÁTICA FORENSE ?

Los objetivos podríamos dividirlos en 3:

1. Realizar una estimación de cuál debería ser la compensación por los daños causados por los atacantes. Estos daños pueden ser causados por trabajadores (de forma accidental) o por criminales profesionales.

2. Judicializar el proceso, para que los criminales sean perseguidos y paguen por sus delitos.

3. Estudiar el caso, y crear medidas de seguridad inmediatas para prevenir que el incidente se vuelva a repetir.

¿QUÉ FASES CLAVE SE HAN DE REALIZAR PARA QUE EL ANÁLISIS SEA CORRECTO ?

Adquisición de la información.

Esta fase se encarga de la obtención de la información para su posterior análisis. En el caso de adquisición de la información en un disco duro, esta fase consiste en hacer una clonación bit a bit del disco. La finalidad es recuperar datos borrados o visualizar particiones ocultas.

Esta información se recolecta siguiendo un orden, de más volátil a menos, es decir empezando por la adquisición de los datos de la memoria RAM y por último  realizando la adquisición del contenido que este en el soporte de almacenamiento duradero o disco duro.

Preservación.

El análisis siempre será realizado sobre una copia, y el contenido de dicha copia debe ser idéntico al soporte original, no se puede ni destruir ni modificar información.

En el supuesto de que exista la posibilidad de presentación de evidencias en sede judicial, dicha copia debería realizarse ante notario o un secretario judicial. Este mismo guarda el dispositivo original para que una vez realizado el informe, y se aporten las pruebas pertinentes, se pueda demostrar mediante una técnica de de comparación (normalmente comparando la firma hash de los ficheros originales con la de los ficheros adquiridos), que de manera inequívoca la información no ha sido alterada, ya que original y copia tienen el mismo hash.

Análisis.

En la fase de análisis se utiliza tanto un hardware como un software específico. Estos permiten manejar diferentes técnicas para estructurar el trabajo y obtener datos sobre lo que se está buscando.  Es muy importante evaluar de manera correcta el incidente y su criticidad, así como qué actores han contribuido al mismo.

Documentación: En R3Cybersecurity preferimos ir documentando todas las acciones que van sucediendo desde el inicio del análisis. Es importante seguir un orden correcto que nos permita ver de manera clarificadora la relación entre las diferentes pruebas encontradas.

Principalmente, se debe asegurar que cualquier informático forense pueda repetir las pruebas y análisis realizados de la misma forma. Los resultados obtenidos deben tener idénticos resultados. Solo asi, una evidencia digital será considerada adecuada y completa.

Presentación.

En este punto se realiza un informe técnico pericial que detalla con precisión todo el análisis que se ha realizado. Es importante aportar los resultados y las pruebas de manera irrefutable sin entrar en supuestos u opiniones personales.

Siempre nos basamos en los hechos demostrables y no en supuestos que no se pueden demostrar de forma real.


Es muy importante estudiar el caso y entender que es lo que se está buscando. Hay que asegurar que todos los pasos descritos se hagan con la cautela suficiente y con un notario o secretario judicial presente, claro está, si el objetivo es la presentación de las evidencias en sede judicial.

Desde R3cybersecurity actuamos con la mayor cautela, ya que cualquier error o alteración en una de estas fases puede tirar por tierra todo el trabajo realizado y llegar a causar un grave perjuicio al cliente

 Jordi Bonete | Consultor de ciberseguridad en R3 CyberSecurity