domingo, 28 de junio de 2015

La investigación forense informática. Tensiones emergentes entre los estándares vigentes y el ecosistema digital

Introducción
La conectividad digital, el creciente acceso a dispositivos inteligentes, el aumento de la eficiencia en los procesos por cuenta de la tecnología de información, entre otras son condiciones de un nuevo entorno social, que habilita un ecosistema digital, donde la recolección y uso de la información es parte inherente de la interacción entre las personas, las plataformas, los servicios y contenidos que se publican en este (Schmidt y Cohen, 2014).

En este sentido, el flujo de información, no sólo es una condición necesaria para interactuar en esta nueva realidad, sino requerida para transformar el entorno donde cada persona actúa y realiza sus actividades diarias. Esto implica, por tanto, mayor exposición de la información de la persona y así como de su identidad, lo que supone el desarrollo de una competencia genérica que le permita tener una mejor gestión de la seguridad y control de sus datos, habida cuenta que habrá muchos interesados en tener acceso a ellos, algunos con fines legítimos y otros llevados por sus actividades ilegales.

Bien anota Goodman (2015, p.99) que “mientras mayor producción y almacenamiento de datos tengamos, mayor será el interés del crimen organizado para consumirlos”, lo que supone cuestionar el imaginario de las personas y sus supuestos sobre el tratamiento de la información vigentes a la fecha, para motivar una nueva revisión de las prácticas de seguridad y control vigentes y, plantear la necesidad inaplazable de contar con procesos estándares que aseguren una adecuada gestión de la inevitabilidad de la falla.

En este entendido, los incidentes se consolidan como la norma en la gestión y gobierno de la seguridad de la información, como fuente de aprendizaje y consolidación de procedimientos unificados que permitan no solo aumentar la capacidad de preparación de una organización ante eventos inesperados, sino fortalecer los fundamentos de la preparación técnico-jurídica que dé cuenta de los requisitos legales frente a la incorporación de la evidencia digital en un juicio.

Así las cosas, los analistas forenses informáticos, testigos y custodios de la evidencia digital en el contexto de las investigaciones que se derivan de los incidentes, deben estar atentos para incrementar su capacidad de aprendizaje, como quiera que, ya no son solamente los artefactos tecnológicos individuales los que serán objeto de sus actividades, sino un ecosistema tecnológico o digital (Cano 2015, cap.7) articulado y dinámico, donde la evidencia digital es una parte de la realidad que debe ser estudiada y analizada para dar respuesta a los interrogantes que se plantean en la investigación.

Por tanto, este documento tratará de confrontar las prácticas actuales de la informática forense frente a la dinámica de un ecosistema digital, para lo cual consultará algunos de los estándares disponibles a la fecha asociados con las investigaciones forenses informáticas y sus alcances, como fundamento de las reflexiones que se plantean alrededor de la renovación de las prácticas en estos temas.

Las prácticas actuales de la informática forense y sus tensiones
Desde los años 70s hasta entrado el año 2000 hemos venido asistiendo a un fortalecimiento de las prácticas propias de la informática forense. Esto es, una serie de procedimientos “casi” estandarizados y generalizados entre los practicantes y especialistas en esta temática, que han hecho carrera tanto a nivel corporativo, como en los estrados judiciales de diferentes latitudes.

No es raro escuchar hablar de técnicas de captura, recolección y aseguramiento de evidencia digital, el uso de funciones “hash” para mantener la integridad y el control de aquello que se ha recolectado, así como el uso de programas especializados para adelantar el análisis de la información recolectada, que permita la caracterización de los archivos disponibles en las copias idénticas de los medios de almacenamiento identificados y analizados.

Sin perjuicio de lo anterior, cambios acelerados en el entorno tecnológico generan tensiones importantes en las prácticas previamente comentadas, como quiera que los fundamentos del control de la evidencia, basados en la idoneidad del profesional que adelanta la pericia, su conocimiento del entorno de operación, las medidas de protección que eviten la contaminación de la evidencia, así como el congelamiento de la escena de los hechos, cada vez más son menos confiables en un escenario donde participan plataformas, proveedores, prácticas individuales y perfiles de individuos interactuando con servicios y contenidos (Cano 2015, cap.7)

Los profesionales de la informática forense, frente a esta situación, han venido abordando cada una de los retos de este ecosistema de manera individual, generando posturas particulares (y parciales) para abordar realidades como las redes sociales, la computación móvil, la computación en la nube y la correlación de eventos en infraestructuras de tecnología de información. En este entendido, se advierte una especialización y segmentación de prácticas frente a la evidencia digital que demanda revisión de escenarios de aprendizaje (Chermack 2011, p.84), para aprender cómo se comporta el ambiente exterior y lo que ello significa tanto para su práctica como para la administración de justicia.

Frente a esta situación, se sugiere una transformación de la informática forense en sí misma, esto es, una mirada crítica a la misma epistemología desde donde ella conoce y desarrolla sus actividades. Lo anterior implica superar los fundamentos positivistas, útiles y prácticos en las investigaciones de elementos estáticos de la realidad (computadores, discos duros, tráfico de redes conocidas y limitadas, usuarios conocidos), para motivar un cambio hacia una vista de la realidad desde los sistemas complejos (García, 2013), donde la dinámica del sistema y sus componentes es la norma, y donde la escena de los hechos, se concibe como una interrelación de componentes en operación que revela la realidad de lo que ocurre, ahora en constante movimiento.

 Lo anterior, demanda desarrollar la capacidad para analizar las relaciones propias del entorno y las propiedades emergentes que se pueden manifestar. Es decir, ser un observador calificado de la realidad, lo que supone elevar la habilidad para conectar “los puntos” y descubrir opciones y posibilidades que revelen las tendencias no observables, allí donde la tiniebla de lo aparente confunde y desorienta.

La respuesta de las normas ISO frente a la evidencia digital
Con un panorama de provocación digital, donde se advierten problemáticas nacionales articuladas desde intereses internacionales, como pueden ser los ataques informáticos, el acceso a información clasificada, infiltración de sistemas gubernamentales y desinformación (Schmidt y Cohen 2014, p.103; Kaplan, Bailey, O’Halloran, Marcus y Rezek 2015, p.15), la informática forense no puede quedarse rezagada frente a las exigencias cada vez más notorias de respuestas, frente a hechos que no solamente afectan personas, sino naciones enteras y sus intereses.

Si entendemos que la criminalidad evoluciona y avanza al mismo ritmo que las novedades tecnológicas, estamos ante una realidad que exige conocimiento, apropiación y práctica en la dinámica de los ecosistemas digitales, donde existen múltiples posibilidades para los atacantes, las cuales pueden configurar armas estratégicas que generen acciones de alto impacto, personalizadas y anónimas. Si esto es cierto, no solo se debe revisar los procedimientos estándares para adelantar las investigaciones, sino incorporar destrezas y simulaciones de contextos interconectados para ver posibles escenarios y condiciones donde ocurren los hechos y así construir la “teoría del caso”.

En razón a lo anterior, la organización internacional de estándares (ISO – International Standard Organization) ha venido articulando una serie de propuestas para responder a las necesidades de la informática forense de contar con prácticas referentes de alcance internacional, que permitan asegurar que las actividades se hacen de manera equivalente en las diferentes investigaciones forenses informáticas.


Figura 1 - Aplicabilidad de los estándares a las clases del proceso de investigación y sus actividades. (Adaptado de: ISO/IEC 27042:2015 Guidelines for the analysis and interpretation of digital evidence. P. vii)

Si se observa con cuidado la figura 1, se advierten una serie de estándares que están relacionados con la temática del tratamiento del incidente, tribuna desde donde se incorporan las prácticas relacionadas con la informática forense, particularmente las relativas a la gestión de la evidencia digital.

La investigación forense informática desde las normas ISO
Sin perjuicio de que todos los estándares mencionados suman en el entendimiento y control del incidente, el ISO 27037 (ISO, 2012), el ISO 27040 (ISO, 2015) y el ISO 27042 (ISO, 2015b) son los que articulan las prácticas de la informática forense, relacionados con las actividades de identificación, recolección, adquisición, preservación, análisis, interpretación y reporte, propias de los analistas y líderes de investigaciones informáticas.

Si bien en este aparte no se revisarán los detalles del ISO 27037, que previamente han sido analizados por Cano (2013), se concentrarán los esfuerzos en la comprensión del ISO 27040, relacionado con el almacenamiento seguro y el ISO 27042, relativo al análisis, interpretación y reporte de la evidencia digital.

El ISO 27040 – Almacenamiento seguro (ISO, 2015)
El ISO 27040 (ISO, 2015) presenta guías y recomendaciones para contar con un almacenamiento seguro. Es un estándar que entra en profundidad en los riesgos, mejores prácticas para la protección del almacenamiento y provee bases para la auditoría, diseño y revisión de controles de seguridad en el almacenamiento. Es este sentido, es un documento que entiende que el almacenamiento se ha convertido en una capa independiente y prominente para las empresas, cuyos requerimientos frecuentemente exceden simplemente las capacidades de registro de información.

Este estándar advierte de algunas brechas de seguridad que afectan el almacenamiento, los cuales establecen una ruta de diseño y aseguramiento de estrategias de guardado de información, que implican controles físico, técnicos y administrativos, así como contramedidas preventivas, detectivas y correctivas asociadas con los sistemas de almacenamiento como son configuraciones en cluster, en espejo, con sistemas de archivo distribuidos, backups, entre otras.  

Si bien este estándar introduce tecnologías recientes de almacenamiento, no detalla los aspectos relevantes para la informática forense en términos de las posibilidades de recuperación y dinámica de la evidencia digital en las mismas. De otra parte, presenta principios de diseño de almacenamiento seguro como son la defensa en profundidad (acciones basadas en personas, procesos y tecnología), dominios de seguridad (separación de recursos de acuerdo con su nivel de sensibilidad), diseño de resiliencia (eliminación de puntos únicos de falla y maximización de la disponibilidad) e inicialización segura (secuencia de transición desde el estado “caído” a activo, luego de una falla o reinicio de los medios de almacenamiento) (ISO, 2015).

El ISO 27042 – Guías para el análisis e interpretación de la evidencia digital (ISO, 2015b)
El estándar provee información sobre cómo adelantar un análisis e interpretación de la evidencia digital potencial en un incidente con el fin de identificar y evaluar aquella que se puede utilizar para ayudar a su comprensión.

De igual forma, provee un marco común para el análisis e interpretación de la gestión de incidentes de seguridad en sistemas de información, que puede ser utilizado para la implementación de nuevos métodos y proporcionar un estándar mínimo y común para la evidencia digital que se produce a partir de dichas actividades.

Por otra parte, el estándar introduce una serie de definiciones (traducciones libres del autor) que son relevantes para el ejercicio de la informática forense, desde la práctica de ISO y que están tomados de la práctica misma, que aclaran entendimientos dispersos en la literatura y en las buenas prácticas hasta la fecha referenciadas.

Evidencia digital potencial: Información o datos, almacenados o transmitidos en formato binario que no han sido determinados a través un proceso de análisis que sea relevante para la investigación.

Evidencia digital: Información o datos, almacenados o transmitidos en formato binario que han sido determinados a través un proceso de análisis que sea relevante para la investigación.

Evidencia digital legal: Es la evidencia digital que ha sido aceptada en un proceso judicial. (En términos jurídicos es lo que se llama prueba)

Investigación: Aplicación de exámenes, análisis e interpretaciones para entender un incidente.

Examen: Conjunto de procesos aplicados para identificar y recuperar evidencia digital potencial relevante de uno o más fuentes.

Análisis: Evaluación de la evidencia digital potencial con el fin de valorar su relevancia para una investigación, así como los significados de los artefactos digitales latentes en su forma nativa.

Interpretación: Síntesis de una explicación, dentro de los límites acordados, para los hechos revisados acerca de la evidencia resultante de un conjunto de exámenes y análisis que componen la investigación.

De igual forma el estándar habla sobre los modelos analíticos que pueden ser usados por los analistas forenses en informática, los cuales recaban sobre sistemas estáticos o en vivo.

El análisis estático, es un examen de evidencia digital potencial, por inspección exclusivamente, con el fin de determinar su valor como evidencia digital (p.e identificación de artefactos, construir líneas de tiempo, revisión de contenidos de archivo y datos borrados, etc.). Se inspecciona en formato crudo y se interpreta a través del uso de procesos apropiados (visores adecuados), sin ejecutar programas que afecten la evidencia digital potencial.

El análisis en vivo, es un examen de evidencia digital potencial en sistemas en vivo o activos. Particularmente  útil en sistemas de mensajería instantánea, teléfono inteligentes/tabletas, intrusiones en redes, redes complejas, dispositivos de almacenamiento cifrado o código polimórfico sospechoso.

Existen dos formas de adelantar el análisis en vivo:

o   Análisis en vivo de sistemas que no pueden ser copiados o no se puede capturar la imagen.
§  Este ejercicio tiene un riesgo significativo de perder evidencia digital potencial cuando se intenta copiarlo o hacerle una imagen. Es clave  tener importantes cuidados para minimizar el riesgo de daño de la evidencia digital potencial y asegurar que se tiene un registro completo de todos los procesos ejecutados.

o   Análisis en vivo de sistemas que pueden ser copiados o se puede capturar la imagen.
§  Apropiado o necesario examinar el sistema directamente interactuando u observándolo en su operación. Esto es tener cuidado para emular el hardware o software del entorno original tan cercano como sea posible, usando máquinas virtuales verificadas, copias del hardware original o mejor aún el tipo de hardware original, con el fin de permitir un análisis más cercano al real.


Por otra parte, detalla las indicaciones de lo que debe contener el reporte resultado de la pericia adelantada, siempre y cuando no exista alguna indicación jurídica o legal previamente expuesta sobre este tipo de investigaciones realizadas. Las recomendaciones ofrecidas indican que el informe debe contener como mínimo: (ISO, 2015b)
  • Calificaciones de autor o las competencias para participar en la investigación y producir el informe.
  • La información provista al equipo de investigación antes de iniciar la investigación (naturaleza del información que se va a desarrollar.
  • La naturaleza del incidentes bajo investigación.
  • Tiempo y duración del incidente.
  • Ubicación del incidente.
  • Objetivo de la investigación.
  • Miembros del equipo de investigación, sus roles y actuaciones.
  • Tiempo y duración de la investigación.
  • Localización de la investigación.
  • Hechos concretos soportados por evidencia digital hallados durante la investigación.
  • Cualquier daño a la evidencia digital potencial que se pueda haber observado durante la investigación y sus impactos en los siguientes pasos del proceso.
  • Limitaciones de cualquiera de los análisis realizados.
  • Listado de procesos utilizados, incluyendo donde sea apropiado, cualquier herramienta usada.
  • Interpretación de la evidencia digital por parte de investigador.
  • Conclusiones.
  • Recomendaciones para futuras investigaciones o acciones de remediación.

Finalmente se insiste, en que las opiniones del investigador se deben separar claramente de los hechos. Las opiniones deben ser debidamente justificadas y asistidas de la formalidad científica que le corresponde y no deben estar asociadas con juicios de valor mal fundados o impresiones de sus análisis.

El estándar ISO 27042, concluye con algunas indicaciones sobre la competencia de los analistas forenses, entendidas como un “saber hacer” especializado, las cuales hablan sobre la formación, mantenimiento y aseguramiento de las habilidades requeridas para ejecutar las actividades propias de la gestión de la evidencia digital. A continuación se presentan algunas declaraciones efectuadas en el documento sobre este tema:
  • La competencia se define como la habilidad para aplicar conocimiento y habilidades para lograr un resultado previsto.
  • Una persona no competente en una investigación puede afectar de manera contraria los resultados de una investigación, resultando en demoras para terminar la misma o llevando a conclusiones incorrectas.
  • La competencia debe ser medida frente a un conjunto de habilidades identificadas para el proceso concreto que se lleva en la investigación y que se le asigna a cada persona que participa en ella. Debe existir evidencia objetiva de la experiencia y calificación de la persona. Esta puede tomar la forma de: pruebas formales de competencias, certificaciones, grados académicos, historia laboral, evidencia de participación activa en “programas de educación continua” como asistencia a conferencias, cursos de entrenamiento o desarrollo de nuevas herramientas, métodos, técnicas, procesos o estándares.
  • La competencia de la persona debe ser revisada de manera periódica, en intervalos regulares, para asegurar que los registros de las personas respecto de su competencia son exactos. La revisión debe tomar en consideración nuevas áreas y niveles de competencia las cuales han sido logradas y debería incluso ser retiradas, si ya no resultan relevantes para una persona en particular, como quiera que dichas habilidades y conocimientos no tendrán oportunidad de practicarse suficientemente.
  • Un equipo de investigación competente será considerado que tiene dominio o pericia comprobada, cuando al analizar evidencia digital potencial, sus análisis producen resultados equivalentes a aquellos generados por otro equipo de investigaciones usando análisis similares.
  • El dominio o pericia comprobada, se debe validar por parte de terceros independientes. De no poderse hacer, se deberá consultar equipos de investigación para establecer esquemas de validación para sus propias necesidades. Estos esquemas deben ser sometidos a revisión independiente, para verificar si son apropiados.

 Reflexiones finales
La evidencia digital cada vez más toma formas inesperadas en dispositivos o artefactos tecnológicos que desafían los procedimientos actuales y las prácticas estándares representadas por las normas ISO. Si bien, los analistas forenses informáticos tratan de nutrir el conocimiento de la tecnología y su forma de operar, para dar cuenta de la evidencia en ella, la complejidad que exhibe el ecosistema digital donde se encuentra supera los análisis a la fecha efectuados sobre realidades estáticas y conocidas.

Las iniciativas de ISO para estandarizar la investigación forense informática establecen un punto de referencia concreto que procura una vista homogénea de la práctica general de la informática forense, revisada desde la gestión de los incidentes. Sin embargo, las recomendaciones, por demás valiosas y alineadas con la práctica actual, se quedan cortas para modelar o enfrentar una investigación sobre ecosistemas digitales, donde se advierten servicios, contenidos y flujos de información que revelan realidades más allá de las que se pueden identificar en los artefactos tecnológicos individuales.

Así mismo, el nivel de especialidad que deben desarrollar los informáticos forenses demanda un estudio permanente del contexto tecnológico, habida cuenta que la evidencia digital, de acuerdo con la configuración y diseño del dispositivo, se encuentra dentro o fuera del mismo y es menester del analista forense comprender este flujo para tratar de asegurar su adecuado tratamiento, aún el sistema sea estático o dinámico, esté encendido o apagado.

Las competencias de los analistas forenses en informática tienen un capítulo especial ahora en una realidad digital y dinámica de las organizaciones y las personas. No es posible mantener o vincular personal a las investigaciones forenses que no tenga un nivel de dominio base de los procedimientos, herramientas y prácticas establecidas y sin que cuente con una formación mínima en aspectos jurídicos de la evidencia digital, que le permita mantener los cuidados tanto técnicos como legales para desarrollar el trabajo y asegurar el reporte final.

En síntesis, el aprendizaje y desaprendizaje permanente es y debe ser la prioridad de la informática forense en estos tiempos de cambios y realidades emergentes, con el fin de ver la incertidumbre estructural del entorno, para repensar su forma de actuar frente a las conductas contrarias a la ley y frente a los hechos, que ahora no sólo están representados en condiciones propias de dispositivos individuales o corporativos, sino que representan una realidad extendida de una empresa en un ecosistema digital, abierto y en constante movimiento.

Referencias
Cano, J. (2013) Reflexiones sobre la norma ISO/IEC 27037:2012. Directrices para la identificación, recolección, adquisición y preservación de la evidencia digital. Blog IT Insecurity. Recuperado de: http://insecurityit.blogspot.com/2013/09/reflexiones-sobre-la-norma-isoiec.html. 15 de septiembre.
Cano, J. (2015) Computación forense. Descubriendo los rastros informáticos. Segunda Edición. Bogotá, Colombia: Alfaomega.
Chermack, T. (2011) Scenario planning in organizations. How to create, use, and assess scenarios. San Francisco, USA:Berrett-Koehler Publishers.
García, R. (2013) Sistemas complejos. Conceptos, método y fundamentación epistemológica de la investigación interdisciplinaria. Barcelona, España: Gedisa Editorial.
Goodman, M. (2015) Future crimes. Everything is connected, Everyone is vulnerable and what we can do about it. New York, USA: Doubleday.
ISO (2012) Information technology – security techniques – Guidelines for identification, collection, acquisition, and preservation of digital evidence. ISO/IEC 27037. Octubre 15.
ISO (2015) Information technology – security techniques – Storage Security. ISO/IEC 27040. Enero 15.
ISO (2015b) Information technology – security techniques – Guidelines for the analysis and interpretation of digital evidence. ISO/IEC 27042. Junio 15.
Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. y Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley.
Schmidt, E. y Cohen, J. (2014) The new digital age. Transforming nations, businesess, and our lives. New York, USA: Vintage Books.