Los inform¨¢ticos forenses se hacen imprescindibles en delitos de guante blanco

Virus creados para obtener claves de tarjetas de cr¨¦dito, empleados que sustraen informaci¨®n confidencial de la empresa para venderla, delincuentes inform¨¢ticos que acceden a redes para robar informaci¨®n... son algunos de los delitos inform¨¢ticos m¨¢s habituales. Para investigarlos es necesaria la intervenci¨®n de un especialista en inform¨¢tica forense que intentar¨¢ reconstruir el camino que ha seguido el delincuente con el objetivo de encontrar las pruebas que permitan su detenci¨®n.

"La investigaci¨®n inform¨¢tica se ocupa de las comunicaciones delictivas hasta llegar al origen, y el origen es siempre un ordenador. Es fundamental intervenir el ordenador para lograr establecer la relaci¨®n entre usuario, m¨¢quina y delito", dice Juan Salom, comandante jefe del GDT, Grupo de Delitos Telem¨¢ticos de la Guardia Civil. Cuando termina la investigaci¨®n inform¨¢tica, como explica Salom, el asunto queda en manos de la investigaci¨®n policial, "que es la que vincula al usuario con la m¨¢quina".

En el Centro Nacional de Inteligencia, los especialistas del Centro Criptol¨®gico Nacional (CCN), que se ocupan de la seguridad de los sistemas de informaci¨®n de la Administraci¨®n p¨²blica, explican que el origen de los atacantes m¨¢s activos es China, seguida de la India, Pakist¨¢n, Rusia, EE UU y el Reino Unido. "Estos datos son objetivos y se obtienen de los pa¨ªses de origen de las direcciones IP [n¨²mero que identifica a un ordenador en una red]". No obstante, hay que tener en cuenta que se trata de la IP detectada, pero no hay que descartar que algunos de los ataques pueden tener su origen en una IP de otro pa¨ªs".

En el servicio de inteligencia espa?ol la actividad de seguridad se desarrolla "antes, durante y despu¨¦s". Emplean el an¨¢lisis inform¨¢tico forense "durante el despu¨¦s con la finalidad de investigar y descubrir lo ocurrido en un incidente de seguridad y, en su caso, recuperar la informaci¨®n o reparar los da?os".

"Las personas mienten, las pruebas no", repite una y otra vez el actor William L. Peterson que interpreta al forense Grisson en la serie de televisi¨®n CSI. Los especialistas en an¨¢lisis inform¨¢tico forense rastrean las pruebas en los ordenadores con el fin de reconstruir el escenario de cualquier incidente o ataque inform¨¢tico para que los jueces puedan condenar a los autores.

"El an¨¢lisis forense es un proceso que, mediante una metodolog¨ªa adecuada y formal, permite reconstruir el escenario del incidente o suceso de tal forma que podemos conocer las causas, mecanismos y herramientas, as¨ª como sus autores", explica David Barroso, experto en an¨¢lisis forense de S21sec.

Carlos Mesa y Alberto Rosales, fundadores de la empresa Seguridad0, resumen los pasos que realizan los forenses inform¨¢ticos en un caso de intrusi¨®n con robo de informaci¨®n: "Primero, se preservan las pruebas. Despu¨¦s se investiga qu¨¦ material se ha robado. Posteriormente, se averigua el m¨¦todo utilizado para impedir nuevos accesos y, por ¨²ltimo, se intenta localizar al autor para denunciarlo".

"Los delitos se investigan igual que en el mundo real. Se comienza investigando el lugar de los hechos para encontrar las evidencias del delito y poderlo acreditar en el juzgado", dice Salom, que ha sido investigador antes de dirigir el GDT. El comandante cree que "es muy complejo" probar los delitos inform¨¢ticos. "No es una ciencia exacta. Se trata de encontrar indicios".

El mayor n¨²mero de denuncias de delitos inform¨¢ticos que recibe la Guardia Civil corresponde a los relacionados con la pornograf¨ªa infantil. Despu¨¦s, fraudes, propiedad intelectual y hacking. "Se reciben m¨¢s denuncias de pornograf¨ªa infantil porque hay m¨¢s sensibilidad social. Lo que menos se denuncia es el hacking", dice Salom, quien no considera alarmante el aumento de los delitos inform¨¢ticos porque "el incremento es proporcional al crecimiento del n¨²mero de usuarios de Internet".

Los responsables del CNN creen que, adem¨¢s de la "constante" aparici¨®n de virus y gusanos, "los ataques m¨¢s habituales est¨¢n relacionados con el phising y el pharming".

Pero el ataque que en el CNN consideran como "amenaza m¨¢s cr¨ªtica" es el que se realiza con troyanos adaptados al objetivo. "Consiste en software da?ino que aprovecha vulnerabilidades del sistema operativo o del de las aplicaciones para infectar equipos corporativos. No suelen ser detectados por los antivirus porque est¨¢n desarrollados para atacar un n¨²mero muy limitado de objetivos —entre 10 y 100— y su firma no est¨¢ disponible".

Para los forenses, los muertos hablan. Para los peritos inform¨¢ticos, los que hablan son discos duros. "En algunas ocasiones, nuestro trabajo consiste en encontrar cu¨¢l ha sido la causa de una p¨¦rdida de informaci¨®n, si los datos han sido eliminados a prop¨®sito o si se han borrado por un mal funcionamiento de la m¨¢quina", dice Juan Martos, responsable del Departamento de Inform¨¢tica Forense de Recovery Labs.

Buscando huellas

En muchas ocasiones, cuando la persona que emplea el ordenador de forma "inadecuada" se ve sorprendida, intenta eliminar las pruebas que le puedan incriminar. "En funci¨®n del m¨¦todo utilizado por el malo para tratar de borrar los datos, en la casi totalidad de los casos es posible recuperar esa informaci¨®n. Lamentablemente, existe un peque?o porcentaje de casos en los que la recuperaci¨®n de los datos no es posible y la labor del perito se complica mucho", explica Martos.

El ordenador registra los datos de cada actividad que realiza. Estos registros, que se conocen como logs, son una de las claves para la realizaci¨®n de un an¨¢lisis inform¨¢tico forense.

David Barroso est¨¢ convencido de su utilidad siempre que no est¨¦n manipulados. "El atacante puede borrarlos para eliminar sus huellas. As¨ª que muchas veces contienen informaci¨®n sin valor. Adem¨¢s de los del ordenador, tambi¨¦n contamos con los logs de otras infraestructuras que dan soporte al equipo, como los del router, cortafuegos, servidor de correo o de web, etc¨¦tera".

Aunque se borren los archivos, los sistemas registran unas huellas que pueden ser muy ¨²tiles para la inform¨¢tica forense. La paciencia ayud¨® a Martos a encontrar las pruebas que demostraban que un alumno de una escuela de hosteler¨ªa hab¨ªa intentando entrar sin estar autorizado en la red de la administraci¨®n del centro.

El perito inform¨¢tico invirti¨® una semana en analizar el disco del ordenador del alumno. S¨®lo encontr¨® rastros de algunas consultas en Google sobre procedimientos de hacking y de la instalaci¨®n de un programa para "romper las barreras de seguridad, que el usuario hab¨ªa intentado eliminar".

La falta de resultados no le desanim¨® y por fin encontr¨® una prueba: "Era un resquicio bastante elemental en el que el infractor no hab¨ªa reparado. Windows mantiene un registro de determinados eventos que se producen durante la utilizaci¨®n del ordenador: mensajes de alerta de bater¨ªa baja, poco espacio en disco, y tambi¨¦n los errores de conexi¨®n de red. En el registro se pod¨ªan ver una serie de mensajes de error que hab¨ªa recibido el usuario de la m¨¢quina en los que se le advert¨ªa claramente de que estaba tratando de conectarse a una red, la de administraci¨®n, utilizando una identidad que ya exist¨ªa en dicha red. Es decir, intentaba usurpar la identidad de otro usuario que s¨ª ten¨ªa acceso a la red de administraci¨®n de la escuela". Caso cerrado.

GDT: www.gdt.guardiacivil.es CCN: www.centrocriptologiconacional.es SEGURIDADO: www.seguridad0.biz S21SEC: www.s21sec.com RECOVERYLABS: www.recoverylabs.com