El análisis o auditoría forense es una de esas ramas de la informática que ha estado experimentando un mayor crecimiento en los últimos años debido al correlacional aumento de delitos informáticos.
El análisis forense trata la recopilación de evidencias electrónicas ante un posible delito informático y la cadena de custodia que tienen que seguir dichas evidencias de manera que sea legal su presentación de cara a un posible juicio.
Cuando el análisis forense se realiza sobre un equipo irrecuperable, se habla de análisis forense postmortem.
Hace algunas semanas, un cliente se puso en contacto con nosotros para obtener evidencias acerca de un ataque que había sufrido su servidor web externo. El primer problema que encuentra un auditor informático ante este escenario es la comunicación con el proveedor de servicios externo, puesto que habitualmente no tienen un procedimiento establecido para la no modificación de evidencias ante un delito o un registro depurado de accesos, y pone en peligro la fiabilidad de las evidencias.
El segundo problema es la comunicación con el ISP, puesto que muchos tienen un procedimiento offline, el tiempo de respuesta es excesivo, y esto juega en contra de la eficiente recuperación de evidencias.
Lo único que se consiguió en claro en ese caso fue la dirección IP del atacante, que mediante un procedimiento de geolocalización IP nos indicó que el ataque procedía de Panamá, a un servidor ya identificado en muchos foros como origen frecuente de ataques, por lo que se cerró el caso como inconcluso a la espera de un nuevo intento que nos proporcionara nuevas evidencias.
En España se denuncian muy pocos delitos informáticos de los que se producen, bien por los efectos negativos en los stakeholders, bien por la inercia del trabajo diario, pero todos estos delitos provocan pérdidas económicas en las empresas. Un detalle que no podemos olvidar la próxima vez que nos suceda.
Un saludo,
El equipo de iSoluciones
No hay comentarios:
Publicar un comentario