14 may 2012

Un Forense llevado a juicio (VI de X)

Un Forense llevado a juicio (I de X)Un Forense llevado a juicio (II de X)Un Forense llevado a juicio (III de X)Un Forense llevado a juicio (IV de X)Un Forense llevado a juicio (V de X)Un Forense llevado a juicio (VI de X)Un Forense llevado a juicio (VII de X)Un Forense llevado a juicio (VIII de X)Un Forense llevado a juicio (IX de X)Un Forense llevado a juicio (X de X)


 

Una vez que contamos con las evidencias y teniendo claro que el procedimiento seguido ha sido el correcto, es momento de ponerse manos a la obra. No es objeto de esta serie enseñar como analizar evidencias, pero sí de ofrecer consejos para obtener buenos resultados  a la hora de realizar un análisis. Es importante tener en cuenta que cada escenario presenta sus peculiaridades y evidentemente no pueden analizarse de la misma forma un caso donde hay que buscar en un equipo una conversación mantenida de Messenger, donde se produce un acceso ilícito a cuentas de correo electrónico o el tener que detectar la posible acción de aplicaciones maliciosas en un caso de espionaje industrial.

A pesar de que alrededor de la ciencia forense se encuentra rodeado por un halo de mística sensación, en las más de las ocasiones, las tareas de análisis no resultan para nada edificantes. En muchos casos las tareas resultan tediosas y requieren de un gran esfuerzo personal para no caer en la desidia. La mayoría de casos forenses que acaban en juicio tienen mucho que ver con analizar logs o buscar cadenas de caracteres entre el sinfín de ficheros que puede tener un ordenador.

Si bien es cierto que los casos de aplicaciones maliciosas, análisis de memoria, antiforense o esteganografía por poner algunos ejemplos resultan los más interesantes, son menos las circunstancias que conlleven el poder ir a juicio. Es más, la investigación en estos casos puede tener tantos derroteros que ir con una confianza plena en la aportación de las conclusiones al juicio se antoja mucho más difícil. Es mucho más fácil desde un punto de vista formal y procedimental analizar correos, logs o ficheros y por lo tanto que resulte la forma más habitual que un caso tenga un  fin judicial.

Es más, la coyuntura económica actual incide en la proliferación de casos relacionados con despidos que buscan una causa justificada para hacer procedente el mismo (en mucha ocasiones razonada, aunque en otras no tanto). También la competitividad hace que el espionaje industrial o el robo de propiedad intelectual sean otra de los orígenes de casos que se dan a día de hoy. Este tipo de casos se resuelven habitualmente escarbando entre registros o ficheros de datos.

Hay que tener en cuenta que nadie que contrate un caso (por lo menos a día de hoy, aunque esto podría no ser así hace algunos años) lo haga sin tener un objetivo concreto. Analizar “por si tengo una aplicación maliciosa” no suele ser lo más habitual. Si está decidido ir a juicio será porque existe una clara sospecha o tiene indicios razonables. Esto tiene que ser el punto inicial de partida de la investigación. Analizar porque sí, suele ser lo más complejo y muchas veces detrás hay más fantasmas que algo tangible y concreto. Si el resultado no satisface al cliente, fundamentalmente por ver cosas donde no las hay, cobrarlo será más complejo si cabe que realizar la propia investigación.

Al afrontar el análisis deberán tenerse en cuenta una serie de criterios y obtener del cliente unos datos interesantes para la investigación:

  • Definición de la línea temporal. Es crítico en casi cualquier análisis definir tiempos, tanto para acotar la investigación, como para definir las conclusiones siguiendo patrones claramente definidos. Muchas conclusiones deberán apoyarse en esta circunstancia y las vaguedades aquí suelen dar resultados poco satisfactorios.
  • Búsqueda de elementos o palabras clave. En ocasiones los indicios estarán indefinidos pero resulta totalmente indispensable tener consciencia de qué buscar. Un nombre, una web o una dirección de correo suelen ser datos que el cliente puede llegar a facilitar y suponen un buen punto de origen para analizar con consecuencia. Sin estos datos claros hay que despedirse de un análisis rápido y fructífero.
  • ¿Quién es quién? Es vital conocer lo máximo posible de las personas involucradas. Usuarios afectados, direcciones, teléfonos, etc., son elementos que en determinados escenario son vitales. A veces en la búsqueda de conversaciones almacenadas en un equipo no aparecen nombres directamente pero sí por ejemplo motes. Establecer un cuadro relacional puede resultar clarificante en determinadas circunstancias. No sería el primer caso que nos encontráramos que tras una investigación se tuviera la convicción de la existencias de relaciones sentimentales desconocidas para la propia organización (también para sus propias parejas).

Mirar más allá de lo que se tiene, resulta vital para el caso y sobre todo no perder evidencias por excesiva precaución. Nunca deberíamos descartar la posibilidad de incorporar nuevas evidencias a un escenario. Cuando se destapa el inicio del caso, por retirada de un ordenador o comunicación a los investigados, pudiera resultar que la información sensible estuviera en otro equipo y así dar margen a que estas evidencias pudieran ser eliminadas. Es importante hacer notar esta posibilidad al cliente para que puedan tomarse medidas oportunas o plantear una estrategia de adquisición de evidencias  con mayor alcance del previsto inicialmente. Por ejemplo si hay sospechas aunque no totalmente fundadas sobre una persona, debería  procederse a clonar el disco de su equipo desde el inicio por si la investigación base y conductora del caso derive también en la necesidad de tener que analizarlo a posteriori.

Este punto resulta especialmente conflictivo puesto que poner en guardia o crear supuestos sospechosos de personas que pudieran ser inocentes generan una desestabilidad palpable en el trabajo. Pero hay que valorar siempre con el cliente, si el caso está por encima de todo, a excepción de la ley. Es decir recuperar el disco sin un procedimiento válido desde el punto de vista judicial o el procedimental de la empresa recogido en el uso de medios, puede dar con un caso invalidado por muy claras que muestren ser las conclusiones. Siempre hay que tener en mente la adquisición y preservación  de las evidencias sobre el resto de circunstancias.

A la hora de analizar resulta casi imprescindible buscar en todos los lugares, incluidos en los potencialmente inexistentes. Más allá de los escenarios antiforense, muchos casos requieren de la recuperación de ficheros eliminados. Un “sospechoso” obsesivo puede tener el cuidado necesario para eliminar ficheros o datos que puedan ser contraproducentes para él. Pero también hay que ser conscientes de que lo mismo no posea los conocimientos totalmente necesarios para que la eliminación sea irreversible.

Recuperar ficheros eliminados es una tarea que lleva mucho tiempo y a veces sin resultado nada positivos y difíciles de gestionar en un juicio, pero al menos puede dar indicios importantes. Medio fichero es mejor que nada. Las herramientas forense tales como EnCase o FTK cuentan con módulos para hacer búsqueda de ficheros eliminados y sobre ellos poder hacer también uso de búsqueda de palabras o frases clave. La dificultad aquí puede residir en hacer creíble la prueba de cara al juicio.

Es también vital en muchos casos forenses, el buscar patrones más o menos definidos de conducta. Usuarios que se conectan a unas horas concretas, correos que se envían desde unas IP específicas que aunque dinámicas pertenecen a un mismo rango, frases o palabras muy especiales, representa ejemplos de patrones. En un caso reciente una misma cuenta de usuario que accedía a datos de otros usuarios de forma ilegítima, era utilizada por dos personas diferentes. Se llegó a esta conclusión, además de por otros indicios, porque en el método de validación empleado se usaban dos patrones de autenticación totalmente diferentes aunque válidos (dominio\usuario y usuario@dominio).

Analizar patrones, a priori puede resultar algo complejo,  sin embargo con una buena tabla delante puede ser un potente instrumento. A nadie se le exige tener la mente analítica, relacional y obsesiva de John Forbes Nash, pero sí es una capacidad interesante para un forense contar con capacidades de razonamiento.  En muchos de los casos en los que he participado acaban destacando determinados patrones que dan pie para la elaboración de las conclusiones. También he observado que convenientemente introducidas en el juicio, citar los patrones constituye un puntal esencial para conducir las alegaciones y/o conclusiones que se presentan ante el Juez.

[caption id="" align="alignright" width="298" caption="Fuente: "Life""][/caption]

Los patrones deberían ser cotejados con el cliente, puesto que a veces se pueden observar apreciaciones muy interesantes. Por ejemplo todos los días se producen conexiones desde una misma máquina pero un día determinado no se produjeron. Cotejándolo con información mantenida por la organización, puede resultar que ese día la persona sospechosa no acudió a trabajar puesto que fue al médico. Estos datos deberán ser introducidos en el informe como parte esencial de las conclusiones derivadas.

Es muy importante ser escrupuloso con los análisis. Ser un buen analista forense, implica ser organizado. Hay que tener claro desde el principio cuales son los objetivos pero sin desdeñar alternativas. Si eres caótico saltarás desde una pista a otra sin una clara visión y esto se refleja indefectiblemente sobre el informe y como no en un mal trabajo.  Hay que anotar cualquier apreciación relativa a información obtenida o el cruce de resultados. No hay que confiar nunca en la buena cabeza puesto que ante la avalancha de información que se obtendrá, se acabarán perdiendo muchos detalles importantes. Es una buena práctica llevar un cuaderno de bitácora donde anotar cualquier apreciación, evidencia, horas, fechas, nombres, etc.

Las herramientas son una parte importante de los análisis, pero ni mucho menos la más esencial. La experiencia, eficacia y buen hacer del especialista, son la clave para obtener resultados válidos y fiables. Las herramientas sin unas manos que las dirijan no servirán de nada. La experiencia me ha mostrado lo potente que pueden ser aplicaciones “de andar por casa” en manos expertas. No existen varitas ni teclas mágicas para afrontar un caso. Cada uno de ellos es un mundo y es muy importante sobre todo perder prejuicios y  conclusiones preconcebidas. El asesino no siempre es el mayordomo. Y a veces también una visión lejana de un tercero en momentos de bloqueo puede dar aire fresco.

 

8 comentarios:

  1. [...] a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a juicio (V de X) Un Forense llevado a juicio (VI de X) Un Forense llevado a juicio (VII de X) Un Forense llevado a juicio (VIII de X) Un Forense llevado a [...]

    ResponderEliminar
  2. [...] a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a juicio (V de X) Un Forense llevado a juicio (VI de X) Un Forense llevado a juicio (VII de X) Un Forense llevado a juicio (VIII de X) Un Forense llevado a [...]

    ResponderEliminar
  3. [...] a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a juicio (V de X) Un Forense llevado a juicio (VI de X) Un Forense llevado a juicio (VII de X) Un Forense llevado a juicio (VIII de X) Un Forense llevado a [...]

    ResponderEliminar
  4. [...] a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a juicio (V de X) Un Forense llevado a juicio (VI de X) Un Forense llevado a juicio (VII de X) Un Forense llevado a juicio (VIII de X) Un Forense llevado a [...]

    ResponderEliminar
  5. [...] a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a juicio (V de X) Un Forense llevado a juicio (VI de X) Un Forense llevado a juicio (VII de X) Un Forense llevado a juicio (VIII de X) Un Forense llevado a [...]

    ResponderEliminar
  6. [...] a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a juicio (V de X) Un Forense llevado a juicio (VI de X) Un Forense llevado a juicio (VII de X) Un Forense llevado a juicio (VIII de X) Un Forense llevado a [...]

    ResponderEliminar
  7. [...] a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a juicio (V de X) Un Forense llevado a juicio (VI de X) Un Forense llevado a juicio (VII de X) Un Forense llevado a juicio (VIII de X) Un Forense llevado a [...]

    ResponderEliminar
  8. [...] a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a juicio (V de X) Un Forense llevado a juicio (VI de X) Un Forense llevado a juicio (VII de X) Un Forense llevado a juicio (VIII de X) Un Forense llevado a [...]

    ResponderEliminar