| 3/19/2010 12:00:00 AM

La evidencia digital

A través de prácticas de cómputo forense, las empresas pueden reconstruir los pasos detrás de robos internos de información. Además de generar pruebas, estas herramientas ayudan a identificar riesgos y evitar ataques futuros.

El robo de información vital de las empresas por parte de sus empleados o antiguos colaboradores dejó de ser una novedad. Según un estudio de Kroll, en unión con The Economist Intelligence Unit, 25% de las compañías de América Latina detectó algún tipo de sustracción ilegal o pérdida de sus datos durante 2009, el cual representó pérdidas superiores a US$5,8 millones en promedio por cada compañía afectada en los últimos tres años.

"La extracción de datos empresariales es algo muy común. Muchos empleados guardan contactos de clientes o datos claves de su actividad cuando deciden irse a otro empleo. Entonces graban la información en memorias USB o la envían anexa en mensajes de correo electrónico, sin saber que se trata de propiedad intelectual de la compañía", comenta Jesus Pena, director de cómputo forense de Verasys.

Como una respuesta a estos delitos surgió el cómputo forense, un conjunto de prácticas informáticas y jurídicas que permiten determinar cómo se realizó un delito digital y quién fue su responsable. Su principal objetivo es recopilar las evidencias de forma adecuada para que tengan validez en un proceso judicial.

"Ante todo, las técnicas de cómputo forense son utilizadas después de que alguien ha cometido un delito, como el robo de información confidencial, para reconstruir la forma en que violó los sistemas y recolectar pruebas que puedan ser utilizadas en un juicio", comenta Andrés Velázquez, director de investigaciones digitales de Mattica.

Cuando una persona realiza una tarea en cualquier equipo electrónico, este crea registros internos que describen las herramientas de software usadas, el nombre y características de los archivos revisados o las propiedades de los mensajes enviados, entre otros datos. Esta información puede quedar oculta en el sistema operativo o en partes físicas de los discos duros y las memorias digitales que usan los equipos.

Los expertos en cómputo forense acuden a aplicaciones de software que se encargan de encontrar esas 'huellas digitales'. Entonces, reconstruyen los procesos que se realizaron y crean una bitácora de esas actividades. "Gracias a estas técnicas se puede, por ejemplo, recuperar información que fue borrada o que se encontraba en discos duros formateados, quemados, cifrados o bloqueados", dice Andrés Guzmán Caballero, director jurídico de Adalid Abogados.

Jorge Arango, gerente de soluciones de data center de Getronics, opina que las prácticas forenses también ayudan a descubrir las vulnerabilidades en los sistemas, con lo cual las empresas pueden fortalecerse y evitar ataques.

Según Velázquez, el cómputo forense ha llegado al punto de generar reportes con la marca, el modelo y el número de serie de una memoria digital USB, utilizada para robar secretos industriales. "Estas técnicas se pueden aplicar en todos los dispositivos que tengan algún tipo de memoria para almacenar datos. Incluso, podemos recuperar los mensajes de texto enviados desde un teléfono celular, si sospechamos que hubo fuga de información por este medio", comenta Velázquez.

Reconstrucción total

La mayoría de delitos que se realizan por medios electrónicos termina por tipificarse como si fueran comunes. Así, por ejemplo, según Andrés Guzmán, de Adalid Abogados, internet es simplemente el medio que usan los delincuentes para realizar calumnias, usurpar derechos de autor, realizar espionaje o transmitir pornografía con menores de edad.

"Más que delitos se identifican escenarios, como ataques contra sistemas informáticos, accesos no autorizados o destrucción de datos. Luego se establece si alguno de estos escenarios configura un delito según la legislación vigente", argumenta Arango, de Getronics.

Los expertos forenses digitales siguen procesos con estándares internacionales, en los cuales respetan 'la cadena de custodia', que son los pasos técnicos que siguen las evidencias para que sean tenidas en cuenta, desde su localización hasta su valoración por fiscales y jueces. La idea es no viciar los indicios y evitar alteraciones, sustituciones, contaminaciones o destrucciones.

Justamente, la primera labor del investigador forense consiste en crear una copia exacta (llamada imagen) del disco duro o de las memorias de los equipos donde estaba almacenada la información. Así puede buscar indicios sin riesgo de dañar, modificar o borrar las evidencias digitales.

Una vez ha encontrado las pruebas necesarias, el experto realiza el análisis de los hallazgos, a través del cual reconstruye los pasos que siguió el delito. Esto lo complementa con la elaboración de una presentación que explica, en términos simples, cómo sucedió el crimen.

"Lo principal es mostrar qué sucedió con un bien informático en una forma que sea comprensible, para que un juez pueda usar la investigación", dice Jesus Pena, de Verasys. Esta última parte, aunque opcional, comprende la presentación de resultados, la elaboración de informes finales y la ratificación durante un juicio.

El cómputo forense se está convirtiendo en una práctica obligada, a pesar de que los empresarios conocen los riesgos y pueden evitarlos implementando sistemas más robustos de seguridad. Una encuesta de la consultora Ernst & Young muestra que el mayor temor de 75% de los directivos está en las posibles represalias de empleados que dejan la empresa, entre ellas el robo de información y el sabotaje. Sin embargo, solo 26% dice estar dispuesta a implementar sistemas para evitar que estos delitos sucedan.

¿Tiene algo que decir? Comente

Para comentar este artículo usted debe ser un usuario registrado.

EDICIÓN 531

PORTADA

La Bolsa de Valores necesita acciones urgentes

Con menos emisores, bajas rentabilidades y desbandada de personas naturales, la Bolsa busca recuperar su atractivo. Finca raíz, su nueva apuesta. ¿Será suficiente?