Sistemas

¿Por qué es necesario un análisis forense en Ciberseguridad?

4 Mins de lectura

Generalmente cuando oímos la palabra forense nuestro cerebro la asocia a una rama de la medicina, más concretamente y haciendo un esfuerzo, las herramientas que visualizaríamos junto a esta palabra serían utensilios propios de encontrar dentro de un quirófano.

Hoy no vamos a coger un bisturí y a ponernos a diseccionar unidades flash o discos duros, vamos a conocer cómo aplicar la palabra forense a un sector totalmente necesario dentro de nuestra empresa a nivel del campo de la ciberseguridad.

Para hablar de técnicas o análisis forenses aplicables a la ciberseguridad es importante conocer previamente con un breve background información que se puede extraer a través de las respuestas asociadas a si nos hacemos la pregunta:

¿Por qué necesita mi empresa un análisis forense?

Esta pregunta aparentemente sencilla conlleva múltiples respuestas, pero todas tienen un nexo común, dar consistencia y consolidar el valor de la palabra “Evidencia”.

El amplio espectro y abanico de respuestas posibles que cubra los casos que se puedan tratar dentro de la pregunta anterior y a su vez conlleve la realización de un análisis forense en la rama de ciberseguridad es muy amplio, es más divulgativo y tangible exponer casos que seguramente te resulten familiares o hayas oído hablar de ellos dentro de tu empresa;

  1. El secuestro o robo de información confidencial de la empresa a cambio de Bitcoins o criptomonedas, la información confidencial de la entidad será publicada y disponible de manera online en todo internet sino se materializa el rescate. Particularmente en este caso habría que buscar ¿Dónde está instalado? y ¿Por qué? El malware que ha permitido la exposición de información asociada a nuestra empresa.
  2. Aparición de la figura “insider” dentro de la empresa, el significado de esta palabra dentro de nuestro ambiente de trabajo conlleva que personal interno de nuestra empresa actué de manera descentralizada a los intereses genéricos de la empresa, ¿Cómo? Realizando acciones maliciosas que extraigan y filtren información o bien saboteando el funcionamiento normal de los servicios informáticos de la empresa. Aquí podemos encontrar distintas motivaciones: personales por el descontento entre empresa y trabajador o bien entidades terciarias que tengan intereses activos por cuestiones de competencia de mercado y dadivosamente motiven a nuestro trabajador a ser un nodo o vector de ataque para terceros. Desde la informática forense habría que construir evidencias constitutivas de que el empleado no realiza un comportamiento que se ajuste meramente a su trabajo y a su deber de secreto entre él y la empresa.
  3. Negociaciones y litigios entre nuestra empresa y empleados en la que es necesario crear evidencias digitales para demostrar que el trabajo se esta realizando de manera correcta por parte de nuestro empleado. También se puede dar el caso de vernos en la necesidad de realizar una búsqueda detallada y de manera tipificada de que el servicio contratado a otra empresa no cumple con las directivas que hemos pactado en contrato previamente.
  4. Vernos en la necesidad de extracción de información crucial a nivel empresarial en ficheros o dispositivos físicos alterados o corrompidos a un estado no legible, por ejemplo, discos duros.
  5. La necesidad de la creación de evidencias digitales después de herramientas utilizadas en auditorias o escáneres de vulnerabilidades (pentest) que permitan la consolidación a través de un proceso contrastado y matizado de los datos extraídos en crudo y que haga visible a nivel interno las brechas accesibles de la empresa.
  6. Utilización de técnicas de recuperación de datos que han sido borrados por empleados a conciencia o de manera involuntaria a través de casos como los expuestos en los apartados 2 y 3 anteriormente.

En concordancia con los casos expuestos anteriormente llegamos a la conclusión de que la búsqueda de evidencias en la ciberseguridad no es plasmable al resto de ciencias exactas, no existen casos tipificados en los que únicamente se puedan utilizar herramientas forenses con una trazabilidad y “modus operandi” de principio a fin, cada caso necesitará un estudio previo y la búsqueda de evidencias por herramientas que no necesariamente utilicen un mismo funcionamiento.

No entraremos a considerar si el análisis forense informático es una ciencia o un arte, lo que sí está claro es que será complicado que exista un caso igual a la hora de analizar las pesquisas y de concluir evidencias que puedan ser firmes para nuestra empresa a nivel judicial.

A lo largo de este artículo se hace referencia varias veces a aspectos judiciales, de todas las ramas de la ciberseguridad, la forense es quizás la más ligada a un ambiente puramente legislativo en lo que concierne a proceso judicial como tal.

Extrapolando que un juicio se basa en una parte demanda y otra demandante lo que permite a ambas ser actoras en este proceso judicial son lo que conocemos como pruebas, como bien hemos nombrado anteriormente si utilizamos un vocabulario más técnico hablamos de evidencias. Siendo sinceros, no se puede comparar una prueba con una evidencia, una prueba es algo tangible que podemos utilizar a través de un proceso judicial y que si no esta corrompida puede ser un argumento de peso que finalmente se convierta si se ha realizado una cadena de custodia correcta en una evidencia.

¿En qué puede ayudar una evidencia a mi empresa?

La correcta realización sin ninguna alteración por profesionales especializados en las técnicas y uso de software de análisis forense durante todo el proceso de tratamiento de evidencias es crucial para garantizar la disponibilidad, integridad, autenticidad e inalterabilidad de una evidencia a tratar, el cumplimiento estrictamente de este proceso, nos ayudará posteriormente a nivel empresarial al establecimiento de unas bases firmes como parte demandada o demandante dependiendo de los intereses participantes en cada caso por parte de la empresa, así como de la entrega de evidencias que sean constitutivas fidedignamente en procesos judiciales en los que se pueda ver involucrada la empresa total o parcialmente y en negociaciones a través de pactos o convenios con otras empresas o trabajadores internos como hemos expuesto anteriormente.

Desde el departamento de ciberseguridad de Hiberus Sistemas contamos con las herramientas necesarias para el desarrollo de análisis y auditorias forenses que se ajusten íntegramente a lo demandado en cada caso permitiendo a nuestros clientes y a nuestra empresa internamente garantizar mediante procedimientos ajustados a los mejores estándares forenses la entrega de evidencias contrastadas que sean firmes y actuantes si estas fueran necesarias.

 

1 posts

Sobre el autor
Equipo de ciberseguridad en Hiberus. Buscando una mejora continua en los distintos retos que voy adquiriendo.
Artículos

TU COMPAÑÍA PROTEGIDA FRENTE A LAS CIBERAMENAZAS

En Hiberus Sistemas contamos con más de 20 años de experiencia ofreciendo las últimas soluciones tecnológicas con los niveles más altos de seguridad.

¿Te ayudamos?

Artículos relacionados
Sistemas

Los estándares de calidad del software más importantes

6 Mins de lectura
El objetivo de todas las empresas y profesionales es ofrecer productos y servicios de calidad que se ajusten a las expectativas de…
Sistemas

Qué es Varnish Caché y por qué debes usarlo para optimizar tu servicio web

5 Mins de lectura
¿Qué es Varnish Cache? Varnish es un acelerador de aplicaciones web. En otras palabras: un proxy inverso de cacheo HTTP que actúa…
Sistemas

Pentesting con OWASP: fases y metodología

7 Mins de lectura
Llamamos “pentest” o test de intrusión a una prueba de seguridad ofensiva que simula un ciber ataque real en un entorno controlado….

Deja una respuesta

Tu dirección de correo electrónico no será publicada.