BAQUIA

Memorias de un perito informático forense

PeritoForense.jpg

Desde el año 2005 la Escuela Superior de Ingeniería de Sistemas de la Información ( ETSISI ) organiza de forma anual un ciclo de conferencias sobre temas de actualidad en la seguridad informática. La persona responsable de la iniciativa es el Dr. Jorge Ramió Aguirre, coordinador de la asignatura Temas Avanzados en Seguridad y Sociedad de la Información (TASSI ); que además es el creador de Criptored, la red temática que se ha consolidado como lugar de encuentro de profesionales académicos e investigadores en seguridad de la información en Iberoamérica.

Aunque las conferencias están dirigidas en primer lugar a los alumnos de las ingenierías de Informática y Telecomunicaciones, la asistencia es libre; y merece la pena asistir ya que se tratan temas realmente actuales, y los perfiles de los ponentes son profesionales reconocidos a nivel nacional e internacional. Este año, entre otros exponen Lorenzo Martinez de Securízame, Antonio Ropero de Hispasec, o Pedro Sánchez de Conexión Inversa; pero también han pasado en años anteriores referentes de la seguridad informática como Jose María Alonso, Román Ramírez, David Barroso, o Alejandro Ramos.

Ayer tuve el gusto de asistir a la segunda conferencia del ciclo de 2015 titulada “Memorias de un perito informático forense”, cuyo ponente fue Lorenzo Martínez de Securizame. 

No me costó encontrar el lugar de la conferencia ya que yo estudié en esta escuela. Y aunque el campus se ha ampliado desde que yo terminé los estudios, la Sala de Grados donde se celebran las conferencias está en el edificio principal, cuyos pasillos tantas veces recorrí durante mi época de estudiante universitaria.

a1sx2_Thumbnail1_Lorenzo-M.jpg

La exposición de Lorenzo se ha centrado en la presentación de tres casos reales de análisis forense de los que por supuesto se ha ocultado la identidad real; a lo largo de los cuales ha intentado transmitir qué tareas realiza un perito informático en el desarrollo de sus casos.

El peritaje informático forense es una de las salidas profesionales que tiene actualmente los estudios de Informática y Telecomunicaciones. Es un oficio no muy conocido por su nombre; aunque sí que sabemos que existe este tipo de expertos puesto que es un perfil empleado a menudo por las fuerzas del estado para obtener información de los equipos requisados a los sospechosos de un delito.

Qué es la informática forense

Lorenzo Martínez antes de comenzar con la exposición de los casos introdujo algunos términos específicos de la materia.

Informática forense: Es la ciencia de adquirir, preservar, investigar y presentar datos que hayan sido procesados electrónicamente y almacenados en sistemas informáticos

Delito informático: Es toda acción realizada por medios informáticos y tiene como objetivo destruir o dañar. Algunos ejemplos son el robo de información, ataques a sistemas, chantaje, o pornografía infantil

Evidencia digital: Es toda información almacenada que puede llegar a ser utilizada como prueba en un proceso judicial

El ponente insistió en la importancia de seguir un procedimiento durante las tareas del peritaje. Los pasos del procedimiento serían :

  • Recolección de evidencias. Se trata de la obtención minuciosa de información sobre el sistema objeto del estudio.
  • Almacenamiento de evidencias: Es importante establecer una “cadena de custodia” y almacenar la información en dispositivos que no puedan ser alterados.
  • Análisis de la información y evidencias recolectadas
  • Redacción de informe: Una vez analizada toda la información se escriben las conclusiones en lo que se denomina ”informe pericial informático

El caso de Ransomware

El primer incidente analizado, inicialmente parecía tratarse de un caso de Ransomware, que es un tipo de malware del que desgraciadamente hemos oído hablar, y mucho en los últimos meses debido al aumento del número de denuncias de este tipo de fraude. Para los que no conozcáis de qué se trata, diré que es una forma extorsión mediante la cual el ciberdelincuente se introduce en el sistema informático y tras cifrar ficheros o el disco completo del sistema, se pide un rescate para entregar la clave que descifre la información.

En este caso el cliente se puso en contacto con el perito para que le recuperase la información de un equipo informático que había dejado de funcionar, y en el que el atacante había dejado un mensaje en el escritorio, avisando de que los datos sensibles del disco duro del ordenador habían sido cifrados en un contenedor Truecrypt y borrados posteriormente. Para recuperarlos, el delincuente solicitaba un rescate. En principio el cliente sospechaba de un empleado de la compañía como autor del incidente; aunque más tarde el análisis forense demostró otra cosa.

b2ap3_thumbnail_Cryptolocker.png

El perito tras un meticulosa recolección de evidencias, identificó tres posibles atacantes que fue estudiando uno a uno. El primero se trató del virus Jetswap Safesurf que atacaba desde Rusia y ejecutaba navegaciones web desde el ordenador atacado. El segundo era una bot (liulangbao) que provocaba la navegación de sus víctimas hacia una web para aumentar su seo (posicionamiento web). Y el tercero, también procedente de Rusia, fue el que dio la cara por cifrar y eliminar los ficheros, a cambio de una recompensa.

Los dos primeros atacantes trabajaban silenciosos usando el ancho de banda de la víctima, el tercero imposibilitó la actividad del servidor mediante el cifrado del disco con la herramienta freeware TrueCrypt.

Según pudo confirmar el perito, la causa de que el equipo estuviera tan infectado es que el cliente tenía una política de seguridad muy mala. Estaban empleando malas prácticas como por ejemplo contraseñas débiles, usuario administrador sin clave, o tener abierto el puerto de acceso remoto al servidor, en el Router. Por otro lado, si el incidente ocurrió en 2013, yo añadiría también que es posible que tuvieran el antivirus desactualizado porque el virus Jetswap Safesurf es conocido desde 2012.

Este caso corrobora la importancia de las políticas de seguridad, y de la necesidad de un responsable de seguridad en cualquier empresa por muy pequeña que sea. Hoy en día no es necesario disponer de un especialista de seguridad informática en plantilla, sino que existen empresas que ofrecen este tipo de servicios mediante monitorización de los sistemas y auditorias de seguridad periódicas.

El caso perdido

Al segundo caso, Lorenzo lo denominó el caso perdido porque desde el inicio tenía la sensación de que sería muy difícil ganarlo. El cliente era un chico acusado de acosar a su ex-novia mediante amenazas por correo electrónico. Y la misión del perito era aportar pruebas para demostrar la inocencia de su cliente. El remitente de los mensajes era una cuenta de correo sin relación con ninguna de las partes. La Policía, tras investigar el origen (dirección IP) de envío dictaminó que coincidía con la del ADSL de la casa donde vivía. Por tanto el estudio consistía en demostrar que podía haber habido suplantación de identidad en los correos, que alguien podría haber usado su ordenador sin permiso, y que su red inalámbrica pudiera ser vulnerable a un acceso ilegítimo.

b2ap3_thumbnail_phising-mail.png

Cuando el perito preguntó a su cliente por el Router y el ordenador, éste dijo que los había tirado. Por lo que se había deshecho de las pruebas. Las conclusiones del informe forense fueron que no se podía asegurar que el remitente del mensaje era el acusado porque podría haber sido suplantado por un atacante que hubiese comprometido un ordenador del domicilio de su cliente con alguna herramienta de hacking, que le permitiese hacer acciones, como enviar correos electrónicos desde dentro de la casa. Además, el perito indicó que el modelo de Router que decía haber usado tenía vulnerabilidades como para que un delincuente, a una distancia cercana a la casa, hubiera tenido acceso. Finalmente, el juez declaró inocente al acusado por falta de pruebas que lo acusaran directamente; ya que el contrato del ADSL no estaba a su nombre, sino al de otra persona con la que compartía la vivienda.

Como veis, el trabajo del perito informático le puede llevar incluso a defender a un presunto culpable. Al fin y al cabo, lo que se le pide es que estudie los soportes informáticos de la información para saber qué ha sucedido, y en este caso que hubiera podido suceder.

El empleado traidor

El último caso aborda el tema del empleado desleal que intenta llevarse los clientes cuando abandona la empresa. El dueño de la empresa contrata los servicios del perito alertado por la llamada de algunos clientes que le informan de que dos de sus empleados se han puesto en contacto con ellos para seguir atendiéndolos una vez abandonen la empresa; es decir, le estaban intentando quitar clientes. Aunque los empleados avisan de su baja voluntaria correctamente 15 días antes, y devuelven el portátil el día que se van, el correo que habían usado para ponerse en contacto con los clientes era el corporativo.

b2ap3_thumbnail_empleado-desleal.jpg

En este caso la misión del perito es analizar la actividad de los empleados en los sistemas informáticos de la empresa las semanas previas a su marcha. En concreto se estudia el servidor de ficheros, y los ordenadores portátiles en búsqueda de actividad maliciosa como ficheros borrados, robo de información, o navegación sospechosa. Tras el estudio se observa que hubo en un portátil acciones que abortaron el backup del fichero local de correo en las fechas objeto del estudio, y que desde entonces no había habido más salvaguardas. Por lo que se entiende que el empleado no quiso dejar rastro de sus actividades. A pesar de los intentos de ocultación, se consiguió el acceso a los correos enviados a los clientes porque los empleados desconocían que el webmail corporativo mantenía copias de todos los correos enviados

Como resultado de la investigación se observa que los empleados actuaron de mala fe; pero la empresa no disponía de ninguna normativa interna sobre el uso del correo electrónico. Además sus actividades no corresponden a un delito tipificado en el código penal por lo que no fueron denunciados.

La enseñanza que podemos obtener de este caso es que aunque la empresa disponía de un procedimiento automático de salvaguardas programado, éste podía ser modificado por los usuarios; lo cual puede favorecer la ocultación de información.

Si en alguna ocasión sois víctimas de algún tipo de extorsión por medio de sistemas informáticos como los que hemos visto, no lo dudéis, vuestra persona es el perito informático forense. Él será quien os pueda ayudar con la investigación del incidente. En España, a parte de distintas empresas de seguridad informática, existen dos asociaciones de peritos informáticos forenses donde se ofrecen este tipo de servicios: ANCITE y ANTPJI ; aunque no olvidéis que es conveniente hacer la denuncia en alguna de las dependencias específicas de las fuerzas del estado como el Grupo de Delitos Telemáticos de la Guardia Civil, o en la Brigada de Investigación Tecnológica de la Policía Nacional

Para los amigos de Iberoamérica he encontrado estos enlaces y direcciones de correo:

  • México: Policía Federal 
  • Argentina: ODILA y el Ministerio Público Fiscal 
  • Colombia: Centro Cibernético Policial
  • Chile: guardia@cibercrimen.cl
  • Perú: delitosinformaticos@policiainformatica.gob.pe
  • Uruguay: delitosinformaticos@policia.gub.uy 

Compartir en :


Noticias relacionadas




Comentarios