Análisis forense… Puede que este concepto no te suene de nada, pero ¿y si te dijéramos que es el prsente y el futuro de la informática? Igual entonces te empiece a interesar… Hoy desde U-tad hablamos con Juan Gabriel Ruiz, profesor del Grado en Ingeniería Informática y del Curso de Especialización en Ciberseguridad en Entornos de las Tecnologías de la Información de U-tad, para que nos cuente un poco más acerca de esta rama de la ciberseguridad. ¡Sigue leyendo!
¿Qué es el análisis forense?
El análisis forense digital consiste en enumerar, identificar y extraer datos almacenados de forma electrónica. Forma parte de la rama de la ciberseguridad defensiva.
Análisis forense ciberseguridad: objetivos
Los objetivos de un análisis forense digital son los siguientes:
- Identificar al actor de un cibercrimen, ya sea para tomar acciones legales o conocer el perfil de la persona, ya que no lo es lo mismo que el ataque haya sido realizado por un adolescente de 15 años que está aprendiendo hacking a que haya sido perpetrado por una empresa de la competencia o por grupos de hacktivistas como Anonymous, por ejemplo.
- Realizar un perfil, es decir, descubrir quién ha sido y cuáles eran sus objetivos. Por ejemplo, si el ataque ha sido realizado por la competencia, lo más seguro es que hayan querido dañar la imagen reputacional de la empresa.
- Identificar qué es lo que se ha llegado a hacer en el equipo en el que se está realizando el análisis forense: hasta dónde han podido llegar los atacantes, si el ataque se ha limitado a un servidor o se ha desplegado por toda la empresa, si es susceptible de ser replicado, etc.
- Ayudar a la empresa a entender por qué ha pasado y cómo deben solucionarlo. Por ejemplo, si es un ataque de tipo phishing, deberán comprender por qué se realizan estos ataques y tomar acciones para que no vuelvan a ocurrir, como concienciar a sus empleados para que no cliquen en ese tipo de enlaces.
¿Cuándo actúa un perito forense?
Durante y tras un ataque. Además, vigila los comportamientos, de forma que puede detectar, por ejemplo, si una persona se está descargando malware o realizando otra acción anómala.
Tipos de datos en un análisis forense digital
Dentro del análisis forense hay dos tipos de datos diferentes. A la hora de actuar, un analista forense debe tener esto en cuenta, pues determina la forma en que se almacena la información:
- Volátiles: se pierden una vez que el equipo se apaga. Hace referencia a la memoria RAM. Sabiendo esto, un analista forense debe saber que debe clonar la información antes de que el dispositivo se apague; de lo contrario, la perderá.
- No volátiles: aquí se incluyen los discos duros, los pendrives, las tarjetas… Todo el almacenamiento como tal. En estos casos sí que se puede apagar el equipo, ya que la información podrá clonarse en cualquier momento.
¿Hasta dónde llega el trabajo de un perito forense?
Como perito forense puedes tener que ir a juicio, pero simplemente a presentar las pruebas de un ataque. De la parte legal se encarga el equipo correspondiente.
Tipos de análisis forense
Un análisis forense se puede realizar sobre un ordenador, ya sea un servidor web o bases de datos; sobre una estación de trabajo normal, de una persona particular; sobre un móvil; a nivel de red…
¿Cómo influye el sistema operativo en un análisis forense?
Principalmente, lo que cambia según el sistema operativo es la manera en que se almacenan los datos. Por eso, aunque los analistas forenses intentan ser todo lo multidisciplinares que pueden, al final siempre acaban especializándose en un sistema operativo concreto.
Análisis forense informático: salidas profesionales
Partiendo de la base de que la ciberseguridad está en pleno crecimiento, el análisis forense es el ámbito que más salidas profesionales tiene, el que cuenta con más ofertas de trabajo, ya que las ramas defensivas se buscan mucho más que las ofensivas.
En este sentido, se necesitan muchos profesionales que detecten comportamientos anómalos. Por ejemplo, si una persona está mandando 50 paquetes por segundo en un equipo, hará saltar una alerta. Pues hay perfiles que se dedican a ver este tipo de alertas, descartar falsos positivos, comprobar si realmente está pasando algo y determinar cómo se ha producido, qué ha pasado, etc.
Por otro lado, está la salida de colaborar con la policía o con el Estado para buscar cibercriminales y una vez encontrados, analizar qué es lo que han estado haciendo.
¿Qué habilidades debe tener un perito forense?
El análisis forense no es algo introductorio dentro de la informática. Hace falta conocer bien cómo funcionan los ordenadores y las redes y, sobre todo, cuál es su comportamiento normal, con el fin de poder detectar cuándo no lo es.
¿Qué herramientas se utilizan en un análisis forense?
Las herramientas varían dependiendo del caso. Si estamos hablando, por ejemplo, de hacer un clonado en disco, existe hardware específico para hacerlo, así como programas. A nivel de redes también hay programas para desplegar alertas… Todo depende de si lo que estás analizando es a nivel de un solo equipo, para lo que el procedimiento suele ser manual, mirando principalmente los gestores de eventos; o a nivel de redes, para lo que se despliegan muchas más herramientas.
Ahora que ya sabes un poco más acerca del trabajo de los peritos forenses dinos, ¿te interesa la ciberseguridad? Pues no dudes en consultar nuestro Grado en Ingeniería del Software, así como nuestro Curso de Especialización en Ciberseguridad en Entornos de las Tecnologías de la Información. ¡Resolvemos todas tus dudas sin compromiso!
