Universidad Nacional Autónoma de México
Dirección General de Servicios de Cómputo Académico
Año 7 Núm. 74, Publicación Mensual, 27 de Noviembre de 2008

ARTÍCULOS

 

Año 3, Número 33, Octubre de 2004

Cómputo forense, tras las huellas del infractor

Gustavo A. Gutiérrez Ramírez

 

En cualquier delito existen huellas, dejadas por los delincuentes tras cometerlo, que significan pruebas contundentes para los peritos en la búsqueda del infractor. Al amparo del tiempo y con la evolución tecnológica, las técnicas para delinquir se han modernizado y encontrado en la computación un espacio más para su realización, es así como los métodos para encontrar a los culpables también han llegado a los terrenos de la informática.

Cuántos relatos no hemos leído acerca de Sherlock Holmes, personaje representativo de los amantes de la investigación, quien trabajó en la brumosa y enigmática capital londinense de los siglos XIX y XX. Ahora, lupas y gafas se han cambiado por modernos sistemas de cómputo que analizan y detectan las pistas para encontrar a los delincuentes.

Juan Carlos Guel, jefe del Departamento de Seguridad en Cómputo de la Dirección General de Servicios de Cómputo Académico y Coordinador del Equipo de Respuesta a Incidentes en Seguridad en Cómputo UNAM-CERT, señala: “informática o cómputo forense es un conjunto de técnicas especializadas que tiene como finalidad la reconstrucción de hechos pasados basados en los datos recolectados, para lo cual se procesa la información que pueda ser usada como evidencia en un equipo de cómputo”.

Es decir, el cómputo forense opera diversas herramientas informáticas para determinar el estado de un sistema luego de que sus medidas de seguridad han sido sobrepasadas, con la finalidad de encontrar evidencias que permitan definir, con toda certeza, los mecanismos que los intrusos utilizaron para acceder a ella.

“A través de diferentes aplicaciones en cómputo, podemos determinar cómo fue violentado un sistema, la manera en que fue traspasada su seguridad, y una vez que los intrusos estuvieron dentro, determinar con técnicas sumamente sofisticadas, qué fue lo que hicieron y cuáles fueron los archivos que borraron, así como las modificaciones que realizaron, mientras se precisa la duración del ataque, desde la entrada hasta la salida”, profundiza Carlos Guel.

La trascendencia del tema de seguridad en nuestros sistemas de cómputo recae, necesariamente, en la importancia de la seguridad informática para cualquier persona, empresa, gobierno o país. En este cibermundo, la vida cotidiana navega en el espectro virtual que tiene Internet, ”el universo sin fronteras”, donde los datos se difunden aparentemente sin control, cuestión sumamente delicada para la protección de datos de las instituciones y del propio individuo.

Por la naturaleza misma del ilícito, podemos llegar a pensar que los infractores –como suele suceder en la vida diaria– son gente externa a nuestro entorno social, no obstante, hay opiniones que indican lo contrario. “Las estadísticas muestran que el 75% de las intrusiones a sistemas de cómputo provienen de la propia empresa o corporación”, asegura Juan Carlos Guel.

“En muchas ocasiones, hablo de ambientes académicos, las intrusiones provienen de fuera debido principalmente a la administración de los equipos de cómputo, donde al investigador lo que le interesa, es que su equipo y proyecto funcionen de manera apropiada, restándole importancia a la administración y seguridad del equipo”, añade.

En ese sentido, la administración es un punto fundamental para evitar las intrusiones, sobre todo si se considera la vulnerabilidad de las mismas aplicaciones que utiliza el sistema, aunado al hecho de que conforme pasa el tiempo se dejan lagunas y puertas abiertas, las cuales son aprovechadas por los intrusos para lograr ingresar al sistema.

Las estadísticas por parte del UNAM-CERT, indican que en tres años de operación en atender este tipo de intrusiones (ya sean las generadas por herramientas automáticas como son el caso de los virus y gusanos, o mediante intentos de accesos no autorizados inducidos como lo hacen los hackers –persona con altos conocimientos sobre el funcionamiento de un sistema– y crackers –aquel individuo que ingresa a sistemas de cómputo de forma no autorizada–), el promedio general de atención era de mil incidentes anuales. Sin embargo, en el primer semestre de este año se llevaban más de 600 casos, cifra que rebasará el número de incidentes atendidos por UNAM-CERT antes de concluir el 2004.

El software forense, la moderna lupa de los investigadores informáticos

“Las herramientas que utilizan los peritos forenses en materia de cómputo para dar con los culpables de una intrusión, y saber a ciencia cierta qué le hicieron al sistema, se han desarrollado al paso del tiempo, para que nos ayuden en cuestiones de velocidad y faciliten identificar lo que realmente le pasó al sistema y qué es lo que le puede suceder”.

En todo ese tiempo, asegura el informático universitario, se han aprendido muchas técnicas de intrusión que utilizan los crackers y hackers para extraer información a los sistemas de cómputo, y también se ha logrado con ello estudiar sus movimientos y aprender a diseñar nuevos métodos de seguridad.

Aunado a esto, el desarrollo de los exploits (vulnerabilidades) le permite al informático forense saber qué tipo de programas se pondrán de moda dentro de los próximos cinco meses, aproximadamente, generando con ello una base de estudio para ver y observar patrones de comportamiento.

Al gato y al ratón

Los intrusos también pueden valerse de varios trucos para evitar ser descubiertos cuando se aplican las técnicas forenses. “En el momento en que nosotros detectamos una intrusión en curso, y sabemos que el infractor todavía se encuentra navegando en nuestro sistema, debemos actuar con sumo cuidado, pues podría ser que al momento de analizar el sistema activemos una 'bomba de tiempo' que detone el sistema y nos ponga en evidencia ante el infractor”, enfatiza.

De ahí la importancia de contar con personas que posean la experiencia necesaria para identificar las posibles trampas o señuelos que haya dejado el intruso, con la finalidad de evitar ser atrapado.

“Dentro de UNAM-CERT contamos con personal con la suficiente experiencia para evitar estos errores; diariamente los expertos en seguridad atienden una gran cantidad de incidentes, logrando con ello seguridad en sus análisis y gran dominio en su campo laboral”, aseguró Carlos Guel.

Sin embargo, la informática forense está lejos de aplicarse y extenderse al común de las personas por las cuestiones técnicas inmersas en ésta. Para Juan Carlos Guel, todavía no se llega al grado de sentir a esta disciplina tan madura como para poder aplicarla al trabajo diario, ya que las técnicas de intrusión evolucionan de forma permanente y son extremadamente variadas, además de requerir conocimientos avanzados de los usuarios.

Sin embargo, finaliza Guel López, sí se han encontrado herramientas más sofisticadas en el mercado, que ayudan a realizar de manera eficaz y sencilla el análisis forense. “Un ejemplo es la herramienta propietaria Encase, la cual ha demostrado ser un dispositivo útil a los peritos forenses en diferentes casos. En contraparte, se encuentra la Herramienta TCT (The Coroner’s Toolkit), herramienta gratuita desarrollada por Wietse Venema y Dan Farmer que auxilia, en gran medida, en el análisis forense a los sistemas Unix“.

Para mayor información:

http://www.unam-cert.unam.mx/deteccion_intrusos.html

http://www.unam-cert.unam.mx/intrusos-windows.html

http://www.fbi.gov/hq/lab/fsc/current/index.htm

http://www.seguridad.unam.mx

http://www.porcupine.org/forensics/tct.html

Inicio | Contacto |