Organizar un equipo de respuesta a incidentes requiere establecer, entre otros aspectos, unos procedimientos y métodos de análisis que nos permitan identificar, recuperar, reconstruir y analizar evidencias de lo ocurrido y una de las ciencias que cubren estas necesidades es la Ciencia Forense, la cual nos aporta las técnicas y principios necesarios para realizar nuestra investigación, ya sea criminal o no.
Si llevamos al plano de los sistemas informáticos a la Ciencia Forense, entonces hablamos de Computer Forensics, o para nosotros Análisis Forense Digital. Esta disciplina es relativamente nueva y se aplica tanto para la investigación de delitos “tradicionales”, (homicidios, fraude financiero, narcotráfico, terrorismo, etc.), como para los propiamente relacionados con las tecnologías de la información y las comunicaciones, entre los que destacan piratería de software y comunicaciones, distribución de pornografía infantil, intrusiones y “hacking” en organizaciones, spam, phishing, etc.
De manera más formal podemos definir el Análisis Forense Digital como un conjunto de principios y técnicas que comprende el proceso de adquisición, conservación, documentación, análisis y presentación de evidencias digitales y que llegado el caso puedan ser aceptadas legalmente en un proceso judicial. Por evidencia digital se entiende al conjunto de datos en formato binario, esto es, comprende los ficheros, su contenido o referencias a éstos (metadatos) que se encuentren en los soportes físicos o lógicos del sistema atacado.
Dentro del Análisis Forense Digital (en adelante AFD), podemos destacar las siguientes fases, que serán desarrolladas con más detalle a lo largo deeste documento:
1ª. Identificación del incidente.
2ª. Recopilación de evidencias.
3ª. Preservación de la evidencia.
4ª. Análisis de la evidencia.
5ª. Documentación y presentación de los resultados.
Por otro lado, hay que definir otro concepto importante, el de Incidente de Seguridad Informática, pues éste ha evolucionado en los últimos tiempos. En principio un incidente de este tipo se entendía como cualquier evento anómalo que pudiese afectar a la seguridad de la información, como podría ser una pérdida de disponibilidad, su integridad o confidencialidad, etc. Pero la aparición de nuevos tipos de incidentes ha hecho que este concepto haya ampliado su definición. Actualmente un Incidente de Seguridad Informática puede considerarse como una violación o intento de violación de la política de seguridad, de la política de uso adecuado o de las buenas prácticas de utilización de los sistemas informáticos.
Tras esta definición cabe ahora una categorización de dichos incidentes que nos aporte una base para su valoración y nos de una visión de cómo afrontarlos. Aunque se han propuesto varios tipos de clasificaciones sobre taxonomías de incidentes, no existe ningún consenso al respecto y ni mucho menos sobre cual de ellas es la más acertada. La que se propone a continuación tiene la finalidad de ayudar a una mejor comprensión de apartados siguientes del documento:
Incidentes de Denegación de Servicios (DoS): Son un tipo de incidentes cuya finalidad es obstaculizar, dañar o impedir el acceso a redes, sistemas o aplicaciones mediante el agotamiento de sus recursos.
Incidentes de código malicioso: Cualquier tipo de código ya sea, virus, gusano, “caballo de Troya”, que pueda ejecutarse en un sistema e infectarlo.
Incidentes de acceso no autorizado: Se produce cuando un usuario o aplicación accede, por medio de hardware o software, sin los permisos adecuados a un sistema, a una red, a una aplicación o los datos.
Incidentes por uso inapropiado: Se dan cuando los usuarios se “saltan” la política de uso apropiado de las sistemas (por ejemplo ejecutando aplicaciones P2P en la red interna de la organización para la descarga de música).
Incidente múltiple: Se produce cuando el incidente implica varios de los tipos anteriores.
La mayoría de los incidentes que se dan en la realidad, pueden enmarcarse en varias de las categorías expuestas, por lo que una buena forma de identificarlos es por el mecanismo de transmisión empleado. Por ejemplo un virus que crea en el sistema atacado una puerta trasera debe ser manejado como un incidente de código malicioso y no como un acceso no autorizado, ya que el virus es el mecanismo de transmisión.
