Hoy las empresas enfrentan incidentes de seguridad que podrían tener distintos niveles de complejidad e impacto: desde fugas o extracción de información, ransomware u otro tipo de malware, estafas a través de phishing, hasta eliminación de archivos o actividades no autorizadas. Cuando estos ataques ocurren, surgen preguntas como: ¿Qué ocurrió? ¿Quién y cómo lo ejecutó? ¿Cuándo o desde cuándo está ocurriendo? ¿Qué tanto afectó? ¿Se podría repetir? ¿Qué debemos hacer para evitar que vuelva a ocurrir?
Para ofrecer las respuestas esperadas, es necesario ejecutar una investigación forense digital, la cual permitirá entender de manera exacta el modus operandi de los implicados y cibercriminales, así como plantear recomendaciones y realimentar procesos a través de lecciones aprendidas. Todo esto podría cambiar fundamentalmente la visión y la estrategia de ciberseguridad de una empresa.
Desafios
En una investigación forense hay 5 desafíos clave a enfrentar. Primero, un incidente de ciberseguridad podría afectar múltiples componentes de un sistema TI, por lo que podría ser necesario recolectar y analizar evidencias almacenadas en múltiples tipos de sistemas. Así también, hoy en día tanto individuos como empresas implementan el cifrado como medida de protección. Bien sea información en tránsito a través de TLS o información almacenada a nivel de disco duro, medios removibles o incluso bases de datos. Encontrar tecnologías de cifrado durante una investigación es bastante común y desafiante.
El segundo gran reto son los sistemas no preparados para investigaciones forenses. Se trata de sistemas con configuraciones predeterminadas o defectuosas, donde no se realiza el registro suficiente de eventos.
En tercer lugar, se encuentra el gran volumen de datos para el análisis. En investigaciones, es común recolectar como evidencia, imágenes digitales de discos duros que podrían requerir hasta varios Terabytes de almacenamiento. Esto representa un gran desafío a nivel de los tiempos que toma la recolección, el procesamiento y análisis, sin dejar de lado la preservación segura de las evidencias. Aquí también se enfrenta el desafío del uso de la nube. Ya sea en nubes propias, de terceros, públicas o privadas, el análisis forense de este tipo de sistemas podría verse bastante limitado.
El cuarto gran desafío son los aspectos legales y de privacidad de datos. Los resultados de una investigación forense podrían implicar demandas y actividades en tribunales. Adicionalmente, podrían existir múltiples leyes de ciberseguridad y privacidad de datos aplicadas en un caso, dependiendo de donde se encuentre almacenada la información que debe ser recolectada.
El último gran desafío es darse cuenta a destiempo de que se requiere una investigación. Mientras más pasa el tiempo y más se manipulan o utilizan sistemas, aumenta la posibilidad de que se pierda evidencia digital, dificultando los procesos de investigación.
Indistintamente de los desafíos que puedan surgir en relación con las investigaciones forenses, es importante destacar que eventualmente será necesario realizar una. Debemos aprovechar el momento para crear estrategias que nos permitan entender todo lo relacionado a un incidente, sus potenciales consecuencias, la forma de recuperarse y las medidas para evitar que vuelva a ocurrir. La investigación forense digital es un componente fundamental que ayuda a lograr este objetivo.
