Escúchala aquí…

Los panelistas coincidieron en la necesidad de fortalecer en Venezuela la cultura de seguridad informática, la cual debe extenderse a todos los niveles, desde el auditor y el administrador de la seguridad de la información, pasando por el abogado, los organismos de cumplimiento, la gerencia y el personal de las empresas, hasta el usuario final.

“En Venezuela venimos realizando un trabajo de hormiguitas desde 1998, cuando aun ni siquiera se había decretado la Ley Especial contra los Delitos Informáticos, que data del 2001. En el 2003 se creó la División de Delitos Informáticos y hoy podemos decir que somos uno de los países que ha tenido mayor efectividad en cuanto a investigación criminal”, opinó el comisario Luis Bustillo Tábata, director de la División de Delitos Informáticos del CICPC.

Por su parte, Rafael Núñez señaló que si bien Venezuela está muy adelantada tanto en materia penal, con un cuerpo legal impresionante, como en la adopción de herramientas tecnológicas de seguridad, sobre todo en el sector bancario, la principal debilidad que aprovechan los criminales informáticos es la desprotección y desprevención del usuario final.  “Es muy importante crear conciencia en este sentido, ya que una entidad bancaria puede tener todos los blindajes de seguridad a su alcance –  certificados digitales, algoritmos criptográficos, etc. – pero si el usuario no está protegido, los ciber delincuentes se pueden apoderar fácilmente de su computadora y vulnerar los sistemas”, comentó.

Cuando una persona obtiene una licencia “chimba” de un sistema operativo o un antivirus pirateado,  se conecta a Internet a través de una red abierta (no segura), coloca información personal en Facebook, utiliza la misma clave para diferentes cosas, o sencillamente no tiene herramientas antivirus y cortafuegos instaladas y actualizadas, todo ello se convierte en puertas de entrada para los ciber delincuentes. “Con casi 2 billones de usuarios en la Web a nivel mundial, resulta bastante irresponsable que una persona encienda un computador y no tenga instalado ni siquiera un firewall” opinó Núñez.

Enfoque Seguro

Según cifras conservadoras, en el 2008 el delito informático conocido produjo una rentabilidad de 106 mil millones de dólares, a escala mundial, según indica Chávez, quien asegura que “en 1995, teníamos unos 10 mil virus, gusanos y programas de malware similares conocidos. Actualmente  hay unos 5 millones. En un solo día los antivirus, deben enfrentarse aproximadamente a 300 mil programas de ataque”.

Ya no se trata únicamente del hacker apasionado de la tecnología que vulnera los sistemas como reto personal; existe toda una mafia alrededor de esta industria, donde los mercenarios compran los programas maliciosos a desarrollares expertos; hay quienes colectan y venden información y quienes la utilizan, revendedores, receptores de mercancía y encargados de limpiar el dinero.

Rafael Núñez, Hacker, expone que una de las estrategias más utilizadas para cometer este tipo de delito es la ingeniería social: tratar de engañar a la mente humana y hacerle caer en trampas. Se incluyen aquí las llamadas estrategias caza-bobos, entre las cuales encontramos el Phishing (obtención de claves y datos confidenciales mediante el envío de mensajes de correo electrónico que aparentan provenir de fuentes fiables) y una variante que utiliza mensajes SMS: el Simishing; o el Vishing, donde la obtención de datos se logra vía telefónica; además del Pharming (que permite redirigir un nombre de dominio a otra máquina distinta), Spoofing (suplantaciones de identidad), entre otras.

Enfoque Seguro

En marzo de 2008, la certificación que la Policía Internacional (Interpol) hizo en Colombia de los archivos que contenían las computadoras que presuntamente le fueron decomisadas al asesinado líder de las Fuerzas Armadas Revolucionarias de Colombia (Farc), Raúl Reyes, puso sobre el tapete dos palabras que para muchos eran desconocidas: “Informática Forense“.

La incorporación de las tecnologías de información a la vida cotidiana, en las telecomunicaciones y también en los procesos administrativos, ha hecho que sea necesario incluir a los medios informáticos como elementos que tengan una carga probatoria en un proceso judicial.

Los nombres varían según los países en los que se lleve a cabo el trabajo. “Informática Forense”, “Cómputo Forense” y “Forénsica Digital” remiten a lo mismo: lo más parecido al trabajo que realiza un médico forense durante una autopsia, pero esta se realiza por expertos a una máquina.

Rafael Núñez, especialista en cómputo forense y director de Intelicorp, una empresa de consultoría y seguridad informática y física, explicó que el cómputo forense no es más que la investigación técnica científica que, utilizando métodos científicos, practican especialistas donde hayan dispositivos de manejo de información como computadoras, teléfonos celulares, palms, pendrives, PDA, CD y DVD.

“Esta ciencia tiene por objeto el estudio de la evidencia digital, para entregar a los fiscales y jueces los elementos que deban tomar en cuenta cuando haya que decidir con base en pruebas de naturaleza digital”, señaló Núñez.

Procedimiento. Una investigación forense aporta los mecanismos necesarios para la identificación, preservación, extracción y documentación de la evidencia digital de forma segura y precisa. Según este experto, es muy importante que los especialistas que intervengan en una investigación forense formen parte de una institución reconocida internacionalmente o de una organización policial a las cuales los ate acuerdos de legalidad y confidencialidad, de tal manera que no exista el riesgo de un mal uso de la evidencia.

“Lo primero que debe hacer todo investigador forense es la recolección de los datos y su preservación. Luego, viene el análisis y, finalmente, el informe y presentación de evidencias”, añadió Núñez. Para los investigadores, lo más importante es lo que denominan la “cadena de custodia”, que debe estar documentada en su totalidad en actas, pero la evidencia digital se documenta mediante herramientas informáticas y una cadena de custodia física del bien informático.

Existen varias de esas herramientas que son utilizadas en todo el mundo, como la denominada Encase, que utilizan generalmente los Gobiernos europeos y de Estados Unidos, en cuyo país se creó. También existe la denominada AccessData, que es la que, por ejemplo, utiliza el Gobierno de Colombia y otros países europeos, además de EEUU. Estas herramientas logran que se cumplan los principios, siempre y cuando cuenten con un personal especializado y certificado.

Encase Software

Pasos por seguir. Núñez indica que durante la investigación lo primero que se hace es sacar una copia exacta, una réplica del disco duro sin modificarlo, lo que también se conoce como imagen forense. Si la computadora está encendida, lo recomendable es no apagarla, “porque hay información en la memoria activa que puede perderse, además de que la información de la memoria RAM es definitivamente muy volátil.

La búsqueda y extracción de datos se hace en todos los elementos que den pistas sobre la información y los usos de las computadoras

Se hace todo esto para que los archivos originales se mantengan intactos. Después de conseguida la réplica, es que comienza la cadena de custodia”. Seguidamente, según Núñez, los expertos hacen uso de una función matemática conocida como Hash, que permite identificar si el contenido del medio por analizar permanece idéntico. “Eso da un código que valida que el comienzo y el final de la investigación es el mismo. Eso demuestra que no se modificaron los datos; viene a ser como un sello de agua de seguridad. Si se demostrara que se cambió o modificó un solo bit, inmediatamente la evidencia podría dejar de tener valor legal y cualquier juez podría fácilmente desecharla”, añadió.

Existen numerosos casos en los que el valor de “evidencia” se perdió por el solo hecho de haber encendido la computadora y haber revisado algunos archivos. “Si alguien hiciera eso, cualquier conclusión final deja de tener valor legal y debe ser desechada como evidencia”, sostuvo Núñez.

Evidencia perdida. Los expertos en el tema sostienen que el simple acto de encender la computadora antes de sacar una réplica del disco duro altera la data, y en ese caso, a un juicio, significaría la pérdida de la evidencia y, como tal, del caso.

“La cadena de custodia se intercala con quien ha supervisado, adquirido, controlado o analizado la evidencia. Los investigadores forenses deben demostrar todo lo que ha pasado con la evidencia desde el momento mismo de la incautación hasta la presentación eventual en la corte. Hay sobrados ejemplos en los que la mala praxis de los técnicos hicieron perder juicios en las cortes”, explicó Núñez.

Es decir, que el perito o práctico en materia civil y afines debe ser extremadamente cauteloso en el ejercicio de sus funciones, regidas por el principal dispositivo, por cuanto la extralimitación en el encargo pericial puede traducirse fácilmente en un delito electrónico.

Según el abogado Raymond Orta Martínez, perito en informática forense, los sistemas instalados en los ordenadores utilizan en su mayoría los denominados archivos temporales, denominados también memoria virtual, que contienen trazas de las operaciones realizadas en los mismos, así como otro tipo de datos, imágenes y archivos susceptibles de ser recuperados, aún cuando se haya intentado borrarlos.

Continúa Orta señalando que una de las garantías que debe ofrecer el perito a las partes y al juez es la verificación de la identidad o correspondencia entre los archivos originales y sus duplicados por medio de la obtención de valores matemáticos de comprobación conocidos como Hash, que son valores numéricos.

Criptografía. Muchas pruebas informáticas han sido encontradas cifradas, pero eso no ha sido obstáculo para que no puedan ser descifradas. Rafael Núñez sostiene que las criptografías son funciones matemáticas con cierto tipo de aplicación factorial o fórmulas que generan un algoritmo que esconde el mensaje, y contiene una llave privada y otra pública. “Uno de los software más famosos para cifrar información es el PGP comercial“.

encriptación en kernel de Linux

Reconstrucción. La reconstrucción de los hechos informáticos incluye conceptualmente el establecimiento de la secuencia de producción de actividad en una computadora o en redes. Para los peritos en cómputo forense, no hay códigos que no se puedan descifrar, así se encuentren cifradas. Igual que en la autopsia a un cadáver, el cómputo forense puede determinar con exactitud pruebas irrefutables, con cuya valoración un juez podría fácilmente enviar a un acusado a prisión, siempre y cuando estas pruebas no hayan sido manipuladas.

Jorge Chávez Morales

Vía: Ultimas Noticias