Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Existe numerosa bibliografía en Internet para realizar un pequeño resumen de las normas
más importantes del ámbito forense, en la que el profesional que suscribe se ha apoyado
para escribir el presente artículo, como el Trabajo de Fin de Grado de Ingeniería
Informática de Don Juan Miguel Tocados Cano. Así, el conjunto de los estándares más
importantes, tanto nacionales, como internacionales, que el perito informático tiene a su
disposición para analizar y preservar una evidencia informática, así como para realizar un
informe pericial informático, se detalla a continuación.
UNE 197010:2015
La citada norma, publicada por AENOR, especifica los criterios que deben seguirse para la
realización de informes periciales informáticos. Así, la norma UNE 197010:2015 define
principalmente la tipología del documento del informe pericial, sin entrar a valorar ni el
aseguramiento de la escena, ni la recolección, ni la preservación, ni el análisis de las
evidencias.
UNE 71505:2013
También a nivel nacional, la norma UNE 71505:2013, publicada por AENOR, tiene como
objetivos los que se enumeran a continuación:
Según establece la norma, los atributos que debe cumplir cualquier evidencia informática
para ser considerada confiable, son los siguientes:
Autenticación e integridad
Disponibilidad y completitud
Cumplimiento y gestión
Generación
Almacenamiento
Transmisión
Recuperación (extracción y exportación)
Tratamiento (consolidación, agregación, correlación)
Comunicación de las evidencias informáticas.
Los procesos del Sistema de Gestión de Evidencias Electrónicas que se describen en esta
norma, invitan a los usuarios a prestar atención a la importancia de:
La comprensión de los requisitos de seguridad de la información de una
organización, en relación con las evidencias informáticas, así como la necesidad de
establecer una política de seguridad para dichas evidencias y sus objetivos.
La implantación y la operación de los controles para administrar los riesgos de
seguridad de la información de una organización, en el marco de los riesgos de
negocio generales, en relación con las evidencias informáticas.
La supervisión y la revisión del rendimiento y la eficacia del Sistema de Gestión de
las Evidencias Electrónicas.
El aseguramiento de la mejora continua sobre la base de la medición objetiva.
La comprensión y la decisión, así como el establecimiento e implementación, o no,
de su integración en un Sistema de Gestión de la Seguridad de la Información.
En esta primera parte se pueden consultar diversos términos y definiciones generales que
son comunes a toda la norma, es decir, tanto a ésta como a las dos partes restantes. También
se da una visión general del proceso de gestión y de la relación entre las partes. Esto se
consigue dando, en primer lugar, una descripción de términos y definiciones, seguido de
una descripción a alto nivel del proceso y de las tareas relacionadas con la gestión de
evidencias informáticas y, finalmente, una pequeña descripción de las dos partes restantes
que forman esta norma.
En esta parte de la norma se establecen los controles y procesos que deben aplicarse a la
gestión de seguridad de las evidencias informáticas y su integración en el ciclo PHVA (que
será explicado más adelante), de gestión de la seguridad de la información de la
organización. Se ha de tener en cuenta, en primera instancia, la confiabilidad, es decir,
maximizar la veracidad y la exactitud de las evidencias informáticas que se posean,
basándose en sistemas, procesos y procedimientos confiables. Para esto se deberán cumplir
varias premisas:
La gestión de las evidencias proporciona una serie de beneficios, debido a que el SGEE
puede servir de ayuda en actividades posteriores o en una futura toma de decisiones.
Por otra parte, en esta norma se sigue el ciclo de mejora continua PHVA (Planificar, Hacer,
Verificar y Actuar), como se describe a continuación:
Como ya se advirtió, se adopta un enfoque por procesos para el SGEE y esto requerirá que
las organizaciones comprendan los requisitos y la necesidad de establecer una política y
unos objetivos para gestionar correctamente las evidencias informáticas, diseñando e
implantando controles adecuados para la gestión de los riesgos globales del negocio en
relación con las evidencias. Las organizaciones también deberán controlar y revisar la
eficacia del SGEE adoptado y tratar mejorarlo continuamente.
Definición del alcance y análisis de riesgos: el alcance del SGEE podrá ser global
sobre la organización o bien sobre una parte de ésta. Una vez determinado el
alcance, éste deberá contener los elementos sobre los que se requiere evidencia y
aquéllas que forman parte del SGEE. Para dicho alcance, se deberá efectuar un
análisis de riesgos orientado a la seguridad de la información y considerando los
aspectos legales y operacionales relativos a las evidencias.
Identificación de recursos y planificación de procesos: una vez se hayan definido
los objetivos, se deberá proceder con la identificación de los recursos, tanto
humanos, como de infraestructura y financieros, para la gestión del sistema, junto a
los roles y responsabilidades. Asimismo, se planificarán los procesos necesarios
para implantar el SGEE, que se corresponderán con los objetivos obtenidos a partir
del análisis de riesgos previo. A la hora de la implantación, se deben asignar
claramente las funciones y responsabilidades a cada integrante del SGEE. Estas
responsabilidades deberían asignarse asegurando una correcta separación de
funciones.
Se deberá tener en cuenta que el SGEE es tan solo una parte del sistema de gestión de la
organización, existiendo otros sistemas como por ejemplo el SGSI. Ante la existencia de
varios sistemas, será necesaria una correcta integración entre todos ellos, con fin de mejorar
la eficiencia y la eficacia del sistema global de la organización.
Como punto final a esta parte de la norma, existen dos anexos en los que se describen una
serie de buenas prácticas específicas para el SGEE, mencionando los controles a implantar
y también una matriz de funciones ejecutables por cada uno de los roles del SGEE.
UNE 71505:2013-3: Formatos y mecanismos técnicos
Por otra parte, con la utilización de criptografía asimétrica, será más fácil garantizar la
confidencialidad. Algunos algoritmos válidos son 2TDEA, 3TDEA, AES-128, 192 o 256.
La elección del algoritmo a utilizar se deberá realizar en base al periodo de tiempo de
validez que se prevé que tendrá la evidencia. Teniendo esto en cuenta, la organización
establecerá una política de conservación a largo plazo. Llegando al formato de intercambio
de las evidencias informáticas, se citará la estructura general, que se divide en tres campos
diferentes:
Finalmente, existen una serie de anexos con información adicional útil, como los
algoritmos criptográficos válidos según la criticidad de la información y el periodo de
tiempo previsible de validez, información sobre cuál es la fuente legal de tiempo en España,
una relación de formatos de firma y sellos de tiempo admitidos, los requisitos para la
reproducción e impresión de las evidencias informáticas, así como un pequeño ejemplo del
formato de un fichero contenedor de la evidencia en XML.
UNE 71506:2013
Esta norma tiene como objetivo definir el proceso de análisis forense dentro del ciclo de
gestión de evidencias informáticas, según se describe en la UNE 71505,
complementándola. En ella se establece una metodología para la preservación, adquisición,
documentación, análisis y presentación de las evidencias informáticas.
Se ofrecen, en primer lugar, una serie de términos, definiciones y abreviaturas que, junto a
los proporcionados en la norma UNE 71505-1, serán de utilidad dentro del documento para
el perito informático. A continuación, se habla en detalle de las diferentes fases del proceso
de análisis forense, que serán explicadas en las secciones posteriores.
1. Asunto
2. Evidencias/muestras recibidas
3. Resolución o estudios efectuados sobre las evidencias/muestras
4. Situación final de las evidencias/muestras
5. Conclusiones finales
6. Anexos del informe
El segundo anexo trata genéricamente sobre las competencias con las que ha de
contar el personal involucrado en las diversas fases del análisis forense, separadas
en diferentes categorías, competencias técnicas, profesionales y personales.
El último anexo descrito en la norma se refiere al equipamiento para el análisis
forense de las evidencias informáticas. Se debe contar con herramientas tanto
hardware como software reconocidas por la comunidad forense internacional, aun
no existiendo una normalización.
Preservación
Adquisición
Si el lugar del incidente está delimitado físicamente, se deben seguir una serie de
precauciones antes de proceder a la adquisición, que se detallan a continuación:
Si los sistemas están apagados, las recomendaciones básicas, para el perito informático, son
realizar un borrado seguro del soporte que va a contener el clonado forense y, una vez
realizado dicho borrado, utilizar dispositivos bloqueadores de escritura (hardware o
software) para garantizar la no alteración de los datos originales, calculando el resumen
hash tanto de la información contenida en el soporte original, como en el soporte copia
obtenido, comprobando que ambos resúmenes son idénticos.
Es importante recordar que se deberá calcular el hash de toda para cada conjunto de
información extraída.
Sistemas encendidos
En el caso de tratarse de entornos virtualizados, en los que cada una de las máquinas
virtuales estará formada por varios ficheros, como el de configuración del hardware del
equipo, el utilizado para la memoria y uno o varios discos físicos o virtuales. Aquí, la
información a obtener serán los discos duros virtuales y un volcado de la parte de la
memoria RAM utilizada por este entorno. De este modo, una vez obtenidos todos los
ficheros de configuración de la máquina virtual y de los discos virtuales, se deberá ser
capaz de reproducir el entorno original para su análisis.
Una vez se ha terminado con el proceso de análisis de los datos, no se deberá introducir de
nuevo ni la batería ni la tarjeta SIM original y se deberá, como siempre, calcular el hash de
toda la información extraída.
Documentación
Cualquier análisis forense requerirá un control sobre las evidencias que van a ser sometidas
a estudio. Por tanto, se documentará todo el procedimiento desde que se inicia el análisis
hasta que acaba, a través de la redacción del informe pericial a enviar al solicitante,
indicando todos los procesos y herramientas utilizadas y el momento en que fueron
ejecutados dichos procesos, siguiendo una secuencia temporal definida con vistas a elaborar
un registro auditable.
Análisis
Durante la fase de análisis, se llevarán a cabo una serie de procesos y tareas que intentarán
dar respuesta a preguntas relacionadas con una intrusión, como su origen, la lista de
sistemas afectados, los métodos usados, etc. Todos estos procesos y tareas deberán
realizarse de forma metódica, auditable, repetible y defendible.
Al llegar las evidencias al laboratorio forense, deberán ejecutarse una serie de acciones
previas:
Consiste en una recuperación total o parcial de los datos ubicados en áreas del disco no
asignadas por el sistema en ese momento y en el espacio del disco sin utilizar, así como
tratar de recuperar carpetas y archivos huérfanos, de los que se ha perdido su vinculación.
Asimismo, se buscarán también archivos completos o fragmentos de éstos a través de sus
cabeceras.
Este proceso tendrá como finalidad estudiar las diversas estructuras de los contenedores de
almacenamiento de los dispositivos a estudiar (particiones, sistemas RAID, etc.).
Se estudiará durante este proceso el sistema operativo instalado, la actividad de los usuarios
existentes en dicho sistema y su política de seguridad.
La finalidad de este proceso será estudiar si las evidencias informáticas sometidas a estudio
han sido comprometidas. Con el mismo fin se intentará identificar el posible software
malicioso existente dentro de las distintas particiones identificadas, evaluando el grado de
intrusión en el sistema informático y qué archivos fueron los comprometidos.
Análisis detallado de los datos obtenidos
Se incluirá el análisis detallado de las evidencias, teniendo en cuenta los análisis previos.
Del mismo modo, se clasificarán los datos y opcionalmente se indexarán los mismos
utilizando palabras clave, con el fin de agilizar posteriormente las búsquedas de indicios.
Esta fase final consiste en plasmar toda la información obtenida durante el proceso de
análisis de las evidencias en un informe pericial, firmado por el perito informático, dirigido
al organismo o entidad que solicitó el estudio, teniendo en cuenta que este informe irá
dirigido muchas veces a un público sin conocimientos técnicos profundos dentro del campo
de la informática, por lo que deberá mantenerse un equilibrio entre la inteligibilidad y el
rigor de lo escrito en el informe. Una vez redactado, se debe remitir el informe al
organismo solicitante, junto al documento de control de evidencias, finalizando así el
proceso de custodia de las evidencias y aportando trazabilidad a dicho proceso.
ISO/IEC 27037:2012
ISO/IEC 27042:2015
El estándar habla, asimismo, de los modelos analíticos que pueden utilizar los peritos
informáticos, que se dividen en las siguientes categorías:
Por último, el estándar concluye con determinadas indicaciones para los peritos
informáticos, que hablan sobre la formación y el mantenimiento de las habilidades
requeridas para ejecutar con la debida calidad las actividades conducentes a la gestión de la
evidencia digital. Así, estas indicaciones son:
RFC 3227
La RFC (Request For Comments) 3227 es un documento que recoge las principales
directrices para la recolección y el almacenamiento de evidencias digitales, constituyendo
un verdadero estándar para la recopilación y almacenamiento de evidencias. La RFC 3227
define un proceso para la recolección de evidencias que ayuda al perito informático a
adquirir y catalogar las evidencias digitales.
Así pues, el proceso definido incide en la adquisición de una imagen del sistema que debe
adquirirse lo más fidedigna posible, realizando notas detalladas que incluyan fechas e
indicando si se está utilizando la hora local o el horario UTC, minimizando los cambios en
la información que se está recolectando (eliminando si es posibles los agentes externos que
pudieran ejecutar dichos cambios), priorizando la recolección sobre el análisis, recogiendo
la información por orden de volatilidad (es decir, recopilando primero la información de las
memorias cachés y de la memoria principal -RAM- y, posteriormente, recolectando la
información de la memoria secundaria -discos duros-, seguidamente de las memorias USB
y, finalmente, de las unidades ópticas, logs de sistemas y documentos.
El perito informático, según este estándar, deberá intentar por todos los medios que se
pierda la mínima información posible, tomando la mejor decisión con respecto a si se deben
extraer las evidencias de los ordenadores encendidos que han sido intervenidos (siempre
ante fedatario público o autoridad que levante acta del proceso), o desconectar la máquina
de la red a fin de evitar que se active cualquier programa informático diseñado para
eliminar la información de las unidades físicas conectadas al ordenador, bien a distancia
(botón de pánico), bien de forma programada. Es necesario señalar que esta desconexión
provocará la desmagnetización de las cachés y de la memoria principal, cuya información
se perderá irremediablemente, razón por la cual es necesario analizar y decidir in situ cuál
es la mejor opción en función de lo que el perito informático perciba en los diferentes
sistemas intervenidos.
Se deberán obviar también las informaciones proporcionadas por los programas del
sistema, ya que éstos pueden haberse visto comprometidos. Tampoco deben ejecutarse
programas que modifiquen los metadatos de los ficheros del sistema.
Asimismo, el perito informático deberá prestar especial atención a no vulnerar, bajo ningún
concepto, la privacidad de las personas, cumpliendo en todo momento con la Constitución,
que protege la privacidad del individuo en su artículo 18, así como con las leyes que
desarrollan dicho artículo. Es necesario prestar también especial cuidado sobre la
información comprometida de la organización, puesto que puede darse el caso que se hallen
almacenadas fórmulas, planos, o cualquier otro tipo de activos sometidos a las leyes de la
propiedad industrial.
Por otra parte, el procedimiento de archivo de las evidencias define cómo deben
almacenarse las pruebas. La evidencia debe estar claramente protegida y, además,
debidamente documentada. Así pues, el perito informático necesitará, muy probablemente,
la ayuda de un fedatario público (en España, un notario o un secretario judicial), que
otorguen fe pública al acto de generación de la cadena de custodia mediante el cálculo del
código hash correspondiente a la prueba. Además, se debe generar documentación
conducente a la descripción clara de cómo se encontró la evidencia, cómo se manipuló y
quién tiene bajo la custodia de quién está la evidencia en cada momento, detallando los
cambios que se produzcan en la custodia de ésta.
Todos los programas que el perito informático necesite para realizar el análisis forense de
las pruebas, deberá ser preparado con anterioridad en medios ópticos de “sólo lectura”,
como CDs o DVDs, debiendo incluir, al menos, un programa de cada una de las siguientes
tipologías:
La RFC 4810 define un estándar que debe seguirse para la preservación de la información
al objeto de que, la existencia de determinados archivos, creados en un determinado
momento del tiempo, pueda ser probada, así como su integridad desde el instante de su
creación hasta el momento en que es presentada como evidencia por un perito informático.
Igualmente, la RFC define qué tipo de sistemas de ficheros pueden dar soporte a este tipo
de escenarios y qué requisitos deben cumplir los mismos.
Finalmente, la RFC define la forma en que una firma digital debe poder ser verificada tras
haber transcurrido un tiempo indeterminado desde la generación de la misma.
RFC 4998
La RFC 4998 define un estándar que debe seguirse para la preservación de la información,
incluyendo información firmada digitalmente, al objeto de demostrar su existencia e
integridad durante un periodo de tiempo que puede ser indeterminado. La RFC define qué
tipo de sistemas de ficheros pueden dar soporte a estos escenarios y qué requisitos debe
cumplir un Registro de Evidencias, en el que se apoye un perito informático, para
garantizar la existencia de dicha información, al objeto de evitar que pueda ser repudiada.
RFC 6283