Perspectivas

Análisis forense digital: aplicaciones, procesos y escenarios del mundo real

J.S. Held refuerza su experiencia en contabilidad forense e investigaciones financieras y expande su gama de servicios en Canadá con la adquisición de ADS Forensics

LEER MÁS cerrar Creado con Sketch.
Inicio·Perspectivas·Artículos

Introducción

Este documento abordará la aplicación de análisis forenses digitales, los tipos de datos con los que trabajan los expertos en estos análisis y el proceso de investigación, e incluimos ejemplos de escenarios en los que se acude a los expertos en análisis forenses digitales para abordar los impactos del evento. La siguiente información puede ser de particular interés para varios tipos de profesionales de seguros, la comunidad legal y los organismos de orden público, dependiendo de la actividad identificable y la posible responsabilidad por los datos que puedan estar involucrados.

¿Qué es el análisis forense digital?

La definición proporcionada por el EC-Council establece que "El análisis forense digital (DF) es una rama de la ciencia forense que se centra en la recuperación e investigación de material encontrado en dispositivos digitales relacionados con el delito cibernético". [1] El delito cibernético está en su nivel histórico más alto, y solo la industria de seguros contra delitos cibernéticos se espera que crezca de USD 8 mil millones a nivel mundial en 2020 a USD 20 mil millones en 2025. [2]. Aunque el análisis forense digital puede estar relacionado con el delito cibernético, también puede estar relacionado con cualquier forma de análisis que incluya el almacenamiento digital de datos o datos utilizados dentro de una función de las operaciones personales y comerciales diarias. Esto incluye una multitud de dispositivos informáticos y métodos de almacenamiento que están disponibles para poblaciones enteras.

El análisis forense digital es la evaluación de la evidencia digital disponible después de un evento. Dependiendo de las necesidades de la evaluación del evento, la recopilación de evidencia digital puede incluir muchos dispositivos involucrados y contener múltiples terabytes (TB) de datos. Los eventos tradicionales pueden incluir asuntos como:

  • Delitos de los empleados
  • Ransomware/Malware
  • Violaciones a la red
  • Actividad inexplicable sobre activos informáticos

Sin embargo, a medida que crece el alcance de la integración digital, cada vez más casos involucran datos o dispositivos digitales que pueden examinarse para proporcionar información de respaldo. Esto ayuda a proporcionar contexto para el evento, incluido un período y alcance, y se usa con frecuencia para confirmar acciones de actividades potencialmente maliciosas y determinar las obligaciones de notificación para los clientes que operan con información sobre identificación personal (PII) e información personal sobre salud (PHI).

¿Cómo se aplica el análisis forense digital?

El análisis forense digital se ocupa de una amplia gama de datos, lo que permite a un experto examinar la evidencia de las circunstancias únicas en las que ocurrió un evento. Cada caso y entorno es diferente y presenta desafíos únicos.

Es común que las compañías de seguros cibernéticos contraten a una organización o un experto en análisis forense digital para examinar la evidencia relacionada con un reclamo para verificar la validez, el alcance del impacto y el período de tiempo. Además, las organizaciones ajenas a los seguros contratan a expertos en análisis forenses digitales para ayudarlos a comprender qué sucedió, cómo sucedió y cómo proceder para ayudar con una posible actividad legal en la que se puedan identificar aspectos penales o de responsabilidad.

¿Qué evidencia puede examinar el análisis forense digital?

La evolución del análisis forense digital comenzó con la informática forense y se ha expandido para incluir dispositivos móviles, servidores y en gran parte una multitud de dispositivos que producen y/o almacenan datos digitales. Hoy en día, los análisis forenses se pueden realizar incluso en activos intangibles como la infraestructura en la nube (IAAS, SAAS, etc.). Algunos ejemplos comunes de activos intangibles incluyen:

  • Servidores
  • Computadoras
  • Equipo de red (enrutadores y conmutadores)
  • Soluciones de datos en video (NVR/DVR)
  • Sistemas de puntos de venta
  • Firewall
  • Proxies
  • Infraestructura y aplicaciones alojadas en la nube (Office 365, aplicaciones personalizadas, VDI, etc.)
  • Equipos/dispositivos médicos

Los datos se generan durante el funcionamiento de las fuentes anteriores, normalmente en forma de registros que también se pueden examinar para proporcionar un contexto adicional. La capacidad de obtener, conservar y examinar estos registros es fundamental para ayudar con un análisis completo de un evento.

¿Cómo es el proceso?

El análisis forense digital generalmente consta de las siguientes fases:

  1. Identificación: durante la fase de identificación, el experto trabaja con el cliente para determinar los detalles generales de lo sucedido.​​​​​​​ Esto puede incluir, entre otras cosas:
    1. Qué se observó.
    2. Qué evidencia podría estar disponible para recopilar.
    3. Qué medidas se han tomado para remediarlo.
  2. Recopilación: la recopilación se basa en la información recolectada en la fase de identificación. Un experto recopilará evidencia que se haya determinado que es relevante para el evento en cuestión.
  3. Análisis​: durante la fase de análisis, se realiza un examen detallado de las pruebas recopiladas, lo que ayuda a construir una imagen completa basada en los detalles disponibles con respecto a lo que sucedió y cuándo sucedió.
  4. Documentación : la documentación generalmente toma la forma de una línea de tiempo del evento y un informe sobre la evidencia recopilada, así como los hallazgos de la fase de análisis.
  5. Presentación : la fase de presentación es una oportunidad para desglosar la documentación técnica producida en la fase 4 en porciones pequeñas para el cliente.

Escenarios del mundo real: ataque de ransomware e interrupción del servicio

El siguiente ejemplo se centra en una ejecución de ransomware en una red de pequeñas y medianas empresas y explicará lo que sucede durante el evento, proporcionará un ejemplo de una respuesta común y abordará el papel que desempeña el análisis forense digital en esa respuesta.

Ataque de ransomware a "Smith Co."

Smith Co. es una organización que se centra en la logística y cuenta con una infraestructura de tecnología informática local. Después de una semana aparentemente normal en la oficina, el Sr. Smith, el propietario de Smith Co., regresa a su oficina y descubre que no puede iniciar sesión en su computadora y recibe un error de autenticación. Se pone en contacto con el contratista de tecnología informática (TI) que utiliza Smith Co. para establecer y respaldar su infraestructura. El contratista inicia sesión en el servidor de directorio activo para restablecer la contraseña del Sr. Smith y recibe una notificación de rescate. Luego, el contratista va al lugar e investiga para determinar el alcance del problema actual y el impacto en las operaciones de Smith Co. Se determina que el correo electrónico, los inicios de sesión de la estación de trabajo, los archivos de las estaciones de trabajo y los servidores (incluidas las copias de seguridad) y las aplicaciones de producción primaria están encriptados y, por lo tanto, no funcionan.

El contratista proporciona la información de contacto de un proveedor para que colabore en la recuperación y describe el proceso de negociación del rescate en el que participará el proveedor. El proveedor negocia con el actor de la amenaza y Smith Co. paga el rescate. Smith Co. se pone en contacto con su compañía de seguros en busca de una remuneración por el gasto incurrido en el evento para recuperar la condición previa a la pérdida; se menciona que la ubicación en la que opera Smith Co. requiere la notificación de una falla de seguridad a las partes afectadas, incluidos clientes y empleados, en caso de que ocurra. La compañía de seguros contrata a un experto en análisis forense digital y a un asesor de fallas de seguridad 3, en nombre de Smith Co., con el fin de investigar los dispositivos relevantes y determinar el alcance de los datos a los que se accede, además de si se produjo una filtración de datos.

El experto en análisis forense digital recopila registros con la fecha de la pérdida y los datos históricos, si están disponibles, para la infraestructura, incluidos servidores, estaciones de trabajo, firewalls y conmutadores de red. Luego, el experto transfiere la evidencia al laboratorio para obtener imágenes e investigaciones forenses. Se crea una copia con validez forense y la evidencia se almacena en un lugar seguro. La investigación de la copia de los datos comienza con una búsqueda de la información relevante para el caso. En este ejemplo, el trabajo implica buscar información privada a la que se haya accedido que esté relacionada con los clientes, los datos de pago y la información de identificación personal de los empleados, como números de seguro social, direcciones, fechas de nacimiento, etc.

El experto forense utiliza fuentes como los conmutadores de red y los firewalls para respaldar los resultados del análisis a nivel del sistema operativo de las estaciones de trabajo y los servidores. Se proporciona un informe detallado a la compañía de seguros que describirá los hallazgos del análisis, incluido un cronograma de actividades. Este informe permitirá que todas las partes involucradas utilicen esta información, con la orientación de un asesor legal, para determinar los métodos adecuados para informar a las partes afectadas.

Interrupción del servicio de "Smith Co."

El siguiente ejemplo se centra en interrupción del servicio en una red de pequeñas y medianas empresas. Explicará lo que sucede durante el evento, proporcionará un ejemplo de una respuesta común y abordará el papel que desempeña el análisis forense digital en esa respuesta.

Smith Co. es una organización que se centra en la logística y tiene una combinación de infraestructura de TI alojada localmente y en la nube. Después de una semana aparentemente normal en la oficina, el Sr. Smith, el propietario de Smith Co., regresa a su oficina y descubre que no puede iniciar sesión en su computadora y recibe un error de autenticación. Se pone en contacto con el contratista de TI recién contratado por Smith Co. para establecer y respaldar su infraestructura. El contratista inicia sesión en el servidor de directorio activo para restablecer la contraseña del Sr. Smith pero no puede, y recibe un error de conexión. Luego, el contratista va al lugar e investiga para determinar el alcance del problema actual y el impacto en las operaciones de Smith Co. Se determina que muchos de los dispositivos de Smith Co. están apagados.

El contratista intenta encender los dispositivos de Smith Co., y obtiene resultados variados. Se determina que aproximadamente la mitad de los servidores de Smith Co. no se reiniciaron, lo que justifica cargar sus copias de seguridad disponibles para un posible método de recuperación. Este proceso (investigación y recuperación) toma varias horas, durante las cuales Smith Co. no puede utilizar sus aplicaciones alojadas localmente, como sus aplicaciones personalizadas y sus bases de datos asociadas; su infraestructura en la nube, incluido el correo electrónico de Office 365 y One Drive, también se ve afectada. Smith Co. contrata a un experto en análisis forense digital para verificar la investigación de la causa raíz realizada por el contratista de TI.

El experto en análisis forense digital recopila registros de la fecha de actividad observada y datos históricos, si están disponibles, para la infraestructura, que incluye unidades de distribución de energía, servidores, estaciones de trabajo, firewalls y conmutadores de red. En los casos en los que sea pertinente, conviene realizar un examen del hardware físico. Luego, el experto transfiere la evidencia al laboratorio para obtener imágenes e investigaciones forenses. Se crea una copia con validez forense de la evidencia digital, y la evidencia física y las copias originales se almacenan en un lugar seguro. La investigación de la copia forense de los datos comienza con una búsqueda de la información pertinente para el caso. En este ejemplo, el experto busca eventos anómalos que indiquen inestabilidad o eventos que podrían conducir a inestabilidad, como cambios de configuración. De manera simultánea, se investiga el hardware para determinar su estado actual.

El experto forense correlaciona los datos recopilados en todos los dispositivos para obtener un panorama completo del funcionamiento de la red tal como estaba durante el momento en que se identificó el evento. Entonces es posible determinar la causa raíz, los dispositivos afectados y la viabilidad de la recuperación. La investigación revela que la cuenta del antiguo contratista de TI se utilizó para iniciar sesión y eliminar archivos de aplicaciones y sistemas operativos clave en las máquinas afectadas, así como para cambiar la configuración de Office 365 y One Drive para que no funcionen. Se proporciona un informe a Smith Co., quien puede determinar la causa raíz, el alcance del impacto y, con la ayuda de un asesor legal, cómo proceder.

Conclusión

El trabajo del análisis forense digital con frecuencia implica desafíos únicos presentados por las circunstancias específicas del cliente y el evento. Es vital recurrir expertos en análisis forense digital lo antes posible cuando ocurre un evento relevante y durante los procesos de recuperación posteriores. Dado que la evidencia es propensa a ser borrada y sobrescrita con el paso del tiempo, es más difícil proporcionar un panorama completo de los eventos cuanto más tiempo se tarda en comenzar los análisis después de una filtración de datos o un evento similar.

La información proporcionada por un análisis detallado de los eventos puede ser invaluable para los responsables de la toma de decisiones en una organización, al adoptar determinaciones de cobertura para pólizas de seguros o al informar sobre una obligación legal o de la póliza.

Reconocimientos

Queremos agradecerles a Alex Tarrant, Matt Scott y Troy Bates por proporcionar información y experiencia, que ayudaron enormemente en esta investigación.

Más sobre los colaboradores de J.S. Held

Troy Bates es vicepresidente ejecutivo en la práctica de Consultoría de Equipos de J.S. Held. Está especializado en evaluaciones a equipos dañados, viabilidad de la reparación versus el reemplazo, análisis/estimado comparativo del reemplazo, estimados del valor efectivo real, resolución del impacto de producción y evaluación del reclamo. Troy ha evaluado una gran variedad de equipos y sistemas tales como tecnologías de informática, electrónica, equipos médicos, telecomunicaciones, y otros equipos especializados. Se enfoca en hardware de alta gama, computadoras personales, software de aplicaciones, sistemas operativos, lenguajes de programación, recuperación de datos, tecnología de impresoras y enrutado de impresión, equipos telefónicos, interruptores, enrutadores, topologías de interconexión, cableado de datos, y cableado de telecomunicaciones.

Puede comunicarse con Troy escribiendo a [email protected] o llamando al +1 714 660 9171.

Referencias

  1. https://www.eccouncil.org/what-is-digital-forensics/
  2. https://www.statista.com/topics/2445/cyber-insurance/
Encuentre su experto.

Esta publicación es solo para fines educativos y de información general. Puede contener errores y se proporciona tal cual. No tiene el propósito de brindar asesoramiento específico, legal o de otro tipo. Las opiniones y los puntos de vista no son necesariamente los de J.S. Held o sus afiliados, y no debe asumirse que J.S. Held se suscribe a cualquier método, interpretación o análisis en particular simplemente porque aparece en esta publicación. Negamos cualquier representación y/o garantía con respecto a la exactitud, puntualidad, calidad o aplicabilidad de cualquiera de los contenidos. Usted no debe actuar, o dejar de actuar, en función de esta publicación, y renunciamos a toda responsabilidad con respecto a tales acciones o falta de acción. No asumimos ninguna responsabilidad por la información contenida en esta publicación y rechazamos cualquier responsabilidad o daño con respecto a dicha información. Esta publicación no sustituye el asesoramiento legal competente. El contenido del presente documento puede ser actualizado o modificado de otro modo sin previo aviso.

Usted también podría estar interesado en
Perspectivas

Reclamos cibernéticos: guía para calcular la interrupción del negocio

Si bien la modalidad cibernética se incorporó en algunas pólizas de responsabilidad general (GL) de la década de 1980, la primera póliza cibernética independiente fue suscrita en 1997 a través de AIG. Si bien la propuesta fue totalmente innovadora, por ser la primera en abordar la ciberseguridad...

 
PERSPECTIVAS DE LA INDUSTRIA
Manténgase al día con las últimas investigaciones y anuncios de nuestro equipo.
Nuestros expertos