La primera definición de la RAE para la palabra “autopsia” es “examen anatómico de un cadáver”. La segunda acepción es “examen analítico minucioso”. Es en esta última donde entra el perito informático forense.
Este profesional es quien practica las pertinentes autopsias después de un ataque informático, es decir, los exámenes minuciosos para comprobar cómo se ha ejecutado y, si es posible, quién está detrás del mismo.
El procedimiento se puede poner en marcha por encargo de un particular o por orden de un juez, aunque el servidor atacado no haya quedado siniestro total.
Qué opción puede haber mejor que preguntar directamente a un especialista en la materia sobre la definición de y los procedimientos en su profesión.
Después de un ataque informático, se practican exámenes minuciosos para ver cómo se ha ejecutado y quién está detrás
Fernando Acero, con más de dos décadas a sus espaldas en ciberseguridad, criptografía y peritaje informático forense, hace para merca2 un resumen sobre los entresijos de su trabajo.
Nos cuenta que la ciencia forense digital podría definirse como aquella que tiene por objeto adquirir, preservar, obtener, analizar y presentar datos que han sido procesados de forma electrónica y almacenados en un sistema digital.
Esta ciencia posee a su vez tres ramas, desde el punto de vista de una clasificación básica: una dedicada como tal a los ordenadores, otra a las redes y otra a evidencias digitales.
La ciencia forense digital tiene pretende adquirir, preservar, obtener, analizar y presentar datos que han sido procesados de forma electrónica
Las evidencias digitales son aquellos datos presentes en los sistemas informáticos que permiten establecer lo que ha ocurrido en un determinado crimen o puede proporcionar algún tipo de nexo entre víctima y autor, crimen y víctima o crimen y autor.
Ya sea en una rama u otra de esta ciencia se intenta responder a preguntas básicas de otras disciplinas forenses: quién, cómo, dónde, cuándo y por qué.
También comparte con ellas la aplicación del principio de intercambio de Locard o, simplemente, principio de Locard. Se llama así por ser atribuido mayoritariamente al doctor en Medicina francés Edmond Locard (1877-1966).
Las evidencias digitales son datos presentes en los sistemas informáticos que permiten saber lo que ha ocurrido en un crimen
Acero explica que este principio viene a decir que cualquier persona u objeto que entra en la escena del crimen “deja un rastro o se lo lleva consigo” de esa misma escena.
Al ocurrir esto, por tanto, se produce una “transferencia de evidencias forenses» que pueden ser analizadas por el perito, también en el mundo digital.
En este contexto ocurre algo parecido, ya que los sistemas “están diseñados para que haya un rastro de todo lo que les pueda afectar”.
Se trata de algo muy similar a las huellas dactilares en el mundo físico, si bien en el mundo digital las huellas se hallan con cálculos realizados mediante algoritmos.
Cualquier persona u objeto que entra en la escena del crimen deja un rastro o se lo lleva consigo
Acero describe uno que por su propia definición puede ser clave. “Por ejemplo, el algoritmo SHA 256 nos permite demostrar que un archivo es exactamente igual a otro o que no ha sido manipulado”.
Para que un análisis forense en el mundo digital sea válido, como es lógico y al igual de nuevo que en el mundo real, hay que garantizar que «las pruebas o evidencias no han sido alteradas». Para ello es preciso el uso de herramientas forenses muy específicas.
Concretamente, Acero menciona los clonadores. Son dispositivos que permiten copiar los contenidos de soportes de información como discos duros o pendrives sin que se produzca alteración alguna durante dicho proceso de copiado.
Los clonadores permiten copiar contenidos de discos duros sin que se produzca ninguna alteración en ellos
El perito informático forense no solo utiliza “protocolos, procedimientos y herramientas” que permitan garantizar la validez de las “evidencias y de los resultados” sino también la posibilidad de repetir todas las pruebas encontradas si se aplican los mismos procedimientos y herramientas «sobre las evidencias».
Complicaciones en el mundo digital
En el peritaje informático no todo iba a discurrir de forma tan paralela a otras disciplinas forenses.
Acero muestra una serie de circunstancias particulares del mundo digital que son:
-Las evidencias digitales son más frágiles.
-Este tipo de evidencias se pueden copiar las veces que sea necesario y se puede llegar a demostrar que esas copias son idénticas al original.
En el mundo digital las evidencias se pueden copiar tantas veces como sea necesario
-No obstante, en ocasiones es difícil demostrar que se ha copiado determinado archivo. Algo problemático en casos de “robo” de propiedad intelectual debido a que los archivos originales quedan inalterados.
La madre de todas las batallas periciales
Determinar quién ha sido el autor de un ataque informático es un reto para el perito.
“La atribución es posiblemente lo más complicado”, asegura Acero. “Las herramientas para cometer ciberdelitos o ciberespionaje se han democratizado, en muchos casos están en la Red”.
Para el perito informático, la atribución de un ataque es quizá lo más complicado
A esto se une que el atacante no necesita un motivo para poner un sistema en su punto de mira y, si hablamos de la llamada ciberguerra, “en el mundo digital no hay disuasión, basta con tener el ciberarma para usarla sin más”, precisamente por lo difícil que resulta la atribución.
Pese a esto, hace ya cuatro años que se divulgó los esfuerzos de las agencias de inteligencia estadounidense y británica -NSA y GCHQ respectivamente- para comprometer, si bien de forma muy limitada, la red TOR que está considerada la herramienta de anonimato en Internet por antonomasia.
Las agencias de espionaje estadounidense y británica se han esforzado en comprometer la red de anonimización TOR
Filtraciones del exagente de la NSA Edward Snowden publicadas por The Guardian y explicadas en lengua española por Genbeta, aseguraban que estas agencias estaban en condiciones de descubrir a algunos usuarios, aunque no a objetivos específicos.
Bien por errores de estos usuarios como entrar con su contraseña en un foro desde un navegador cualquiera y luego hacer esta misma operación en TOR, bien mediante la revelación de cookies que sobreviven tras la sesión en TOR cuando después se pasa a utilizar otro navegador corriente, entre otras trampas.
En 2013 se había logrado descubrir a algunos usuarios de TOR, aunque no a objetivos concretos
Todo se reduce, según lo expresado por Acero, a una cuestión de dinero y medios. “El anonimato es relativo según en qué liga juegues en el ciberespacio”.
En ocasiones, ilustra Acero, “cabe la posibilidad de ‘interactuar’ con el atacante” mediante el uso de los llamados honeypots.
Un honeypot puede ser un servidor conectado a Internet que simula ser parte del sistema que alguien pretende atacar. La trampa está en que el asaltante cree que ataca al sistema original, y el honeypot le impide llegar más lejos.
Existen herramientas para engañar a los atacantes y poder extraer información sobre sus procedimientos
De paso, explica Acero, “permite ir extrayendo información sobre la forma en que se ataca un determinado sistema y estudiar tácticas, técnicas, procedimientos y artefactos”.
Con “artefacto” se refiere al código malicioso empleado por el atacante.
Con el patrocinio estatal hemos topado
Pero no solo del análisis técnico vive el perito informático forense para determinar la procedencia de un ataque.
También recurre a la “fusión de toda esa información que procede de varias fuentes de inteligencia”. Entre estas se puede mencionar:
–SIGINT. Inteligencia recolectada por medio de la intercepción de señales.
–HUMINT: inteligencia recolectada por medio de fuentes humanas.
–IMINT: inteligencia recolectada por medio del análisis de imágenes.
–OSINT: inteligencia recolectada por medio de las llamadas “fuentes abiertas”, es decir, aquellas accesibles a la mayor parte de la gente.
Para determinar la procedencia de un ataque el perito no solo se vale del análisis técnico sino también de inteligencia extraída de varias fuentes
Es precisamente esa fusión de información la que puede presentar indicios que apunten de forma más clara no al origen cualquiera de un ataque sino a la participación de un estado en el mismo.
“Cuando se trata de grandes gobiernos, las herramientas son sofisticadas y usan vulnerabilidades Zero Day”, afirma Acero.
Yolanda Quintana explica en su libro Ciberguerra, publicado en Catarata, que una vulnerabilidad Zero Day o Día Cero es aquel “fallo en un software (como el software del navegador o del sistema operativo) aún desconocido para el fabricante de ese software o de los proveedores de antivirus”.
Cuando se trata de grandes gobiernos las armas empleadas en el ataque cibernético suelen ser sofisticadas y caras
De ahí el nombre. Alude al “número de días que el proveedor del software tiene conocimiento del fallo antes de que sea explotado por el atacante”, o sea, ninguno.
Acero revela que este tipo de herramientas para explotar este tipo de fallos “tienen un elevado coste en el mercado negro, por lo que no están al alcance de cualquiera”.
Para que nos hagamos una idea de las magnitudes en las que nos movemos, podríamos estar hablando de “millones de euros por una vulnerabilidad Zero Day para iOS”, calcula el especialista.
