Posted on by Guadalupe Boll

Análisis Forense Reactivo y Auditoría: Sigue a Sherlock Holmes

Análisis Forense Reactivo y Auditoría: Sigue a Sherlock Holmes

Una Investigación Forense Reactiva (también conocida como investigación forense «muerta») es el equivalente informático de un detective que analiza la escena de un crimen. Al igual que Sherlock Holmes reconstruía los hechos de un crimen mediante pistas, rastros y métodos deductivos, la investigación forense reactiva trata de responder a preguntas esenciales como ¿quién lo hizo, cuándo, cómo, etc.? Básicamente: ¿qué ocurrió?

Sherlock Holmes y la recogida de pruebas

En sus historias, Holmes analiza cada detalle de la escena del crimen para formular una hipótesis. Eso es exactamente lo que hace la forense reactiva, sólo que en el mundo digital: examinar archivos, registros de actividad y cualquier otro rastro digital. Sin embargo, como advertiría el propio Holmes, la calidad de la investigación depende de la disponibilidad y conservación de las pruebas. Sin pruebas, encontrar respuestas es mucho más complejo y costoso, si se puede.

Tipos de Evidencias

Las investigaciones forenses reactivas aprovechan cualquier prueba disponible. Pero, ¿cuáles pueden ser esas pruebas?

  • Los archivos y discos duros son como la escena del crimen en la que entró Sherlock. La aguda observación de Sherlock habría sido capaz de advertir el más pequeño de los indicios, y un buen investigador forense no es diferente. Pero muchas veces es casi imposible reconstruir lo ocurrido basándose únicamente en la escena del crimen. Es como entrar en la cocina y encontrar huevos en el techo y ketchup en el suelo. Puede que sea imposible saber exactamente cómo llegaron allí.
  • Los registros de sucesos de seguridad son como preguntar a los vecinos si han oído algo. No todos los delitos registrarán un suceso de seguridad, y los sucesos de seguridad pueden tener muchas causas posibles. Pero es una pista más. Si los vecinos oyeron a los niños reír y gritar, el desorden en la cocina podría haber sido el resultado de un juego y no de un delito.
  • Los registros de auditoría son como tener una grabación de una cámara de seguridad. Estas no estaban disponibles en la época de Sherlock, pero son ideales hoy en día. Si hubiera una cámara de seguridad en la cocina cuando los huevos acabaron en el techo, no habría dudas sobre lo ocurrido.

Una prueba de alta calidad podría significar que no necesitas a Sherlock Holmes en absoluto. Aquí es donde la preparación ahorrará tiempo y dinero.

Análisis Forense Reactivo y Auditoría


La auditoría, también conocida como supervisión de la actividad, es el acto de conservar pruebas de lo ocurrido en los sistemas de información. Es fundamental en muchos aspectos de la seguridad, incluida la investigación forense reactiva. Con una pista de auditoría suficiente, las investigaciones forenses son breves y precisas: no hay dudas sobre lo que ha ocurrido.

El reto en IT es que los sistemas de información procesan un inmenso volumen de actividad. Eso significa que hay mucha actividad que capturar y almacenar.

Capturar la actividad puede afectar al rendimiento, por lo que existen tres paradigmas de captura: capturar sólo la información de inicio de sesión, capturar la actividad de forma selectiva o capturar todo lo ocurrido. La captura del inicio de sesión sólo le informará de quién se ha conectado y desde dónde, no de qué ha hecho ni cuándo. La captura selectiva de actividad capturará un subconjunto de la actividad, como la actividad privilegiada. La captura completa capturará todo, pero requiere una tecnología que pueda hacerlo sin afectar al rendimiento.

También existen dos paradigmas de almacenamiento: el almacenamiento selectivo de la actividad basado en reglas definidas por el usuario, o el registro completo de todo lo ocurrido. La grabación completa requiere una tecnología de repositorio que pueda grabar esas pruebas con una huella de almacenamiento pequeña.

Core Audit viene con Full Capture, que ofrece una visibilidad del 100% con menos del 3% de sobrecarga, y dos repositorios: un repositorio de cumplimiento que graba basándose en reglas y un repositorio de seguridad que graba todo lo ocurrido.

Cuando se produce un incidente de seguridad, entra en juego el análisis forense reactivo para analizar lo ocurrido. Sin una pista de auditoría, a menudo se llega a la conclusión de que es imposible saber qué ocurrió y hay que asumir lo peor: que todo se vio comprometido.

Plan de Reacción

Hay muchas formas de reaccionar ante un incidente de seguridad, y pensar en ello de antemano ahorrará tiempo valioso. He aquí algunos aspectos clave a tener en cuenta:

  • ¿Hubo un ataque? Al igual que Sherlock a veces suponía que no se había cometido ningún delito, no todos los sucesos de seguridad son un ataque con éxito. Los eventos de seguridad son indicios sospechosos que pueden no ser nada, ser un ataque fallido o una brecha. Llegar a conclusiones rápidas sobre la naturaleza de un suceso de seguridad es vital y puede depender de las pruebas inmediatas de que disponga.
  • Reaccionar al ataque Una de las acciones más urgentes es reaccionar al ataque. La reacción tiene como objetivo evitar que se produzcan más pérdidas de datos y reinfecciones, y también puede tener como objetivo saber más sobre el atacante. Hay muchas reacciones posibles, como la desconexión de los sistemas infectados, los honey pots, entre otras. Es aconsejable planificar de antemano el tipo de acción o acciones que se pretenden llevar a cabo y asegurarse de que se tiene todo preparado para cuando llegue el momento. Tenga en cuenta que la reacción también puede afectar a las pruebas disponibles más adelante para la investigación forense.
  • Determinar el alcance La inspección holística del entorno suele ir más allá de la habitación o del escenario oficial del crimen. Pueden encontrarse huellas y pistas críticas en los lugares más inverosímiles. Una investigación forense examina qué sistemas estuvieron implicados, reconstruyendo la ruta y la cronología del ataque.
  • Asegurar las pruebas Al igual que los detectives aseguran la escena del crimen para evitar la contaminación de las pruebas, los analistas de seguridad deben preservar los sistemas afectados para conservar las pruebas. Estas pueden incluir archivos, registros de eventos y de actividad, o discos duros enteros.
  • Cerrar los agujeros de seguridad Sherlock descubrió cómo entró y salió el criminal de la escena, y en la medicina forense reactiva nuestro objetivo es identificar las vulnerabilidades explotadas en el ataque. Cuanto antes lo hagamos, antes podremos cerrar los agujeros de seguridad y evitar otros ataques similares.
  • Vuelta a la normalidad Una vez resuelto el caso, Holmes restablece el orden. También debemos restaurar los datos, volver a poner en línea los sistemas y devolver las operaciones a la normalidad. El tiempo de inactividad afecta a la empresa, pero para volver a la normalidad puede ser necesario concluir la investigación o, como mínimo, asegurarse de que se han identificado y cerrado todos los agujeros de seguridad.

Como puede ver, hay muchas acciones sensibles al tiempo e importantes decisiones empresariales y de seguridad que deben deliberarse con antelación. Y, como siempre, el conocimiento es poder, y saber rápidamente lo ocurrido lo hace todo más fácil.

Reflexión Final

La investigación forense reactiva es inevitable porque, tarde o temprano, se producirá un incidente de seguridad que requerirá una investigación. La preparación es clave y es la diferencia entre una resolución rápida y fácil y un resultado prolongado y costoso.

No espere a que se produzca una brecha para encontrarse con que no sabe qué hacer, no tener datos ni forma de averiguar qué ha ocurrido. Asegúrese de que dispone de información suficiente y de que puede reaccionar rápidamente cuando llegue el momento. Core Audit le permitirá hacerlo, así que póngase en contacto con nosotros hoy mismo para obtener más información.

Haz una Pregunta

Si tienes una pregunta o coentario, por favor hazlo saber. Estaremos felices de escuchar de ti.