Legislación - Noticias - Opinión especializada - Capacitacion

Categoría: Capacitación

Trabajando con evidencia digital en pandemia.

Uno de los temas que más consultas genera, en mis varios años ya, capacitando sobre la evidencia digital a fuerzas de seguridad, funcionarios y operadores judiciales, estudiantes e investigadores, es cómo evitar modificar la evidencia. Esto tiene mucha lógica a la luz de la fragilidad (facilidad de alteraciones y daños) que la misma presenta como una de sus características intrínsecas. Hay mucho para decir sobre esto, y normalmente los múltiples protocolos así lo especifican ampliamente intentando agotar todas las posibles circunstancias y fenómenos que amenazan la integridad de la evidencia digital. Sin embargo, me motiva realizar este artículo uno de los tantos escenarios de riesgo para el tema en cuestión, dada la gran diferencia de nuestro trabajo en la actualidad. 

Producto de las medidas adoptadas para sobrellevar la pandemia que sacude a todo el mundo este año, el trabajo a distancia (teletrabajo, home office, actividades on-line, etc, etc, etc.) se ha tornado masivo. Por supuesto, la mayoría de los que tuvieron que adoptarlo de forma forzada no estaban preparados para hacerlo. Y el simple hecho de transitar este proceso, no cumple con esa preparación necesaria a la que hago referencia. En tal caso, son muchos los problemas y riesgos para un trabajo efectivo y de calidad que se manifiestan en estas horas, y cuyo impacto iremos viendo en los procesos con el tiempo. Uno de ellos es precisamente el vinculado a la generación de evidencia digital y su conservación, y otro es el relativo al trabajo de investigación que se realiza sobre la misma, vinculado a los sistemas de archivos compartidos en sus múltiples tipos y naturaleza. Nuevamente, hay mucho para abordar solo en estos dos temas mencionados. En este caso me gustaría poner de relevancia tres cuestiones que creo fundamentales.

  1. El uso de algoritmos de hash como medida que permita garantizar que la integridad de la evidencia no ha sido alterada, es decir que no ha sufrido modificaciones, y qué puede pasar en caso de manipulación incorrecta. 
  2. La diferencia entre mantener la cadena de custodia de la misma e iniciarla.
  3. El cuidadoso trabajo de investigación sobre la evidencia digital. 

En el caso de los algoritmos de hash, no está de más recordar que siempre se deben utilizar algoritmos confiables evitando aquellos que pueden tener colisiones por baja que sea la probabilidad. Esto se debe a que lo que buscamos es garantizar la integridad. Esto implica que no haya dudas sobre la capacidad de ese algoritmo elegido, dudas que son absolutamente legítimas de plantear con aquellos que conocemos débiles o que han demostrado ser susceptibles a las colisiones. Estos algoritmos no pueden dar garantías. En segundo lugar, tenemos que recordar que los hash nos muestran la más mínima modificación sobre el archivo. Un acento en un documento- por decir algo aparentemente menor- cambia completamente el hash que se pueda calcular sobre él. Algo que para aquellos que miramos desde el lado informático es obvio, para un operador judicial poco capacitado puede ser una absoluta novedad. Lo mismo para quien está investigando sobre la evidencia digital -recordemos que la capacitación y aptitud deseable, en esta pandemia, es probable que haya quedado de lado por razones de urgencia en cuanto al trabajo con nuevas herramientas-. 

Entonces, pasando al punto dos, cuando mantenemos la cadena de custodia sobre evidencia digital, los hash son parte de la documentación que viene con la misma. De preferencia, esta documentación deberá ser inalterable (como en soporte papel, o con firma digital -aún mejor-), evitando documentar los hash en el mismo soporte que la evidencia -mucho más si es un soporte de fácil modificación-. Recordemos, nuevamente, que de lo que se trata es de dar garantías.

La diferencia con la generación de evidencia, por ejemplo al recibir algún tipo de archivo solicitado a un proveedor de servicios que lo envía en soporte digital, como por ejemplo: un registro de acceso, un archivo de auditoría, una imagen original (con sus metadatos), o incluso un correo electrónico original (conteniendo sus encabezados) y hasta capturas de pantalla en video; es que todo será con un procedimiento que permita dejar constancia de lo actuado y ahí mismo se calculará el hash que en el futuro dará garantías de integridad. Nuevamente, el mismo, se dejará en un soporte que maximice su seguridad e inalterabilidad (la del hash). 

Todo lo cual, me permite ingresar en el tercer punto sobre lo que quisiera reflexionar y advertir: el trabajo con la evidencia. Sea que la misma haya llegado hasta el investigador, o que éste la haya “transformado en” o “generado” -como se aborda en el punto anterior-, siempre debemos recordar que a partir de que hay un documento que da cuenta de que tal o tales archivos producen un determinado hash aplicando tal o cual algoritmo, los archivos NO deben sufrir ningún tipo de alteraciones. El trabajo en entornos compartidos amplía los riesgos de manipulación accidental o intencional de la evidencia digital. Cada software con el que se abre para visualizar un archivo, tiene en potencia la capacidad de cambiarlo, alterarlo. Por lo tanto, “mirar que contiene” aunque no haya intención o voluntad de modificación implica un riesgo. Un riesgo que debo decir, sugiero no correr en ningún caso en el que se haya iniciado una cadena de custodia. Por tal motivo, dos recomendaciones: 1) dejar constancia claramente que un determinado directorio o soporte contiene evidencia que no debe manipularse -por ejemplo en el “nombre de la carpeta” contenedora. Y 2) trabajar siempre, siempre, siempre, absolutamente siempre, sobre una copia. Para nuestro alivio, la fragilidad no es la única característica de la evidencia digital, y copiarla suele ser trivial. 

Así pues, dejo asociado a este artículo una pequeña presentación que oportunamente compartí con algunos colegas a fin de contribuir a echar luz sobre lo antedicho, con la esperanza de mitigar algunos de los riesgos expuestos.

Descargar en PDF

Ciberseguridad, COVID19, y los profesionales que nos hacen falta.

La Ciberseguridad, también llamada “Seguridad Informática”, “Seguridad de la información”, “Seguridad de los Sistemas”, etc. etc. etc., a lo que puede sumarse toda la discusión entre cada uno de esos términos y sus diferencias, es un asunto no de tanto de “Ciber” como de “Seguridad”. 

Que nadie se desgarre las vestiduras por la falta de precisión en el lenguaje que uso en este artículo, en el cual le pido colaboración a un muy respetado amigo, porque de eso se trata: de poner el foco sobre un tema que es clave y será crítico en el mundo en que nos sumergió el COVID-19, pero “para todo el mundo”. No para los Geeks, ni los Hackers, ni los «Techi»… o “los pibes de la compu”. Porque es y será un tema transversal que hace ya tiempo nos afecta a todos, y lo hará aún más. 

Se insiste en mirar a la ciberseguridad desde las implementaciones tecnológicas vinculadas a las redes y las computadoras, antes que a hacerlo desde la perspectiva de la seguridad propiamente dicha -incluso de la defensa-. Y esta insistencia es en buena parte la causante de la ciber-IN-seguridad. 

Para mantener un sistema seguro, cualquiera, hace falta un plan de seguridad. Política de seguridad, estándar de seguridad, planes de seguridad, medidas de seguridad, etc. Nuevamente todas estas nomenclaturas, sobre las cuales también se discute, y que tantas organizaciones se esfuerzan por ordenar en base a tal o cual teoría o marco metodológico, no sirven para nada si no volvemos a ver el fín común: brindar seguridad; proteger. 

Y aquí comienza tal vez la verdadera pregunta importante: ¿qué hay que proteger?. Y luego vendrán otras, igualmente trascendentes como ¿De qué hay que protegerlo?, la cual invita a pensar si hay amenazas, cuáles son, qué capacidad tienen, qué tipo de daño podrían generar, que probabilidad hay de que efectivamente se materialicen, etc. etc. etc. Todo lo cual podría ser estudiado por la Inteligencia o por la gestión del riesgo (incluyendo el análisis), llegando finalmente  a ¿cómo hay que protegerlo?. Y, para hacer todo eso, hacen falta personas que sepan (conocimientos) y puedan (competencias) hacerlo.

Ahora bien, suponiendo que más o menos estamos de acuerdo en este burdo planteo extremadamente básico y simplificado de la cosa como punto de partida para ir refinándolo luego: ¿Dónde apareció el experto en informática? ¿A dónde mencioné al que tiene que saber programar? ¿Dónde está, en este planteo, el experto en administración de redes o de servidores?. Respuesta: no está. Porque todavía no hable de Ciber, si no que solo apunté a la Seguridad. 

Ahora sí, llegados a este punto -tar arbitrariamente planteado por mi parte-, para comprender todo aquello que puede amenazar, por ejemplo, a un sistema informático, también necesitamos alguien que conozca ese sistema informático. Que conozca el contexto informático, que sepa qué amenazas informáticas existen, cómo podrían impactar al sistema a proteger, cuál es el estado del arte, etc. etc. etc. Y aquí aparecen los expertos en informática (los que era obvio que aparecerían, pero que no por nada me esforcé en dejar para el final). Y habrá niveles de especialización mayor, conforme mayor sea la complejidad del “sistema” a proteger: desarrollo, administración, redes, diseño, energía, etc. etc. etc). 

Nuevamente, esta es una explicación muy burda, muy básica, hecha con toda la intencionalidad de NO usar los términos técnicamente adecuados para definir cada cosa dentro del mundo de la ciberseguridad, pero con la intención de explicar que: sin expertos en CIBERSEGURIDAD (obsérverse que en la realidad no son dos profesionales distintos, si no uno con una enorme experticia y conocimiento), no hay forma de que no haya CIBER-IN-SEGURIDAD. Y los expertos en ésta materia no son “Pibes de la compu”. No es alguien que “Sabe programar”, del mismo modo que nos es un “Ingeniero o Licenciado en sistemas” tal como tristemente parece sugerir la reciente legislación nacional (argentina) – Craso error-. Se trata de expertos en PROTEGER implementaciones técnicas complejas. Con un marcado perfil de seguridad y la necesidad de una enorme experiencia en proteger y asegurar, gestionar el riesgo, y manejar las emergencias. Personas que… por supuesto, sabrían que dejar la puerta o la ventana abierta en una casa, no ayuda a mantenerla segura. Que tener una puerta de cartón tampoco, y que perfectamente podrían pensar en la seguridad y la protección de una implementación diferente de la informática porque se trata de expertos “primero en seguridad, y luego en el campo de especialización correspondiente (ciber). No importa por donde comenzaron su formación o experiencia, va de suyo que efectivamente son expertos en informática en la práctica, pero todo este relato tiene la permanente intención de insistirle al lector a pensar en seguridad antes que en otra cosa. 

Le pido ahora -y le agradezco haber aceptado-, a un distinguido profesional de la ciberseguridad, con larguísima experiencia, que explique muy simplemente, en sus palabras y de forma básica, qué es una Vulnerabilidad Informática. Y cómo se relaciona con la profesión de un experto en ciberseguridad la gestión de estas vulnerabilidades, y qué puede pasar en caso de que no se realice adecuadamente.

Facundo Salom:

Una vulnerabilidad informática es una anomalía o simplemente una “condición” en el funcionamiento de un sistema que pone en riesgo la seguridad. Generalmente un error en un programa, un control mal implementado, un manejo inadecuado de la información o algo no tenido en cuenta.

Es una tarea constante el relevamiento de vulnerabilidades y su gestión para mantener la seguridad de la información en una organización. No solo de los sistemas y servicios expuestos en Internet sino que todos los equipos en la red deben ser protegidos, en particular aquellos que son utilizados a diario para conectarse a Internet.

Ante el conocimiento de una nueva vulnerabilidad se debe hacer una evaluación del riesgo que pueda implicar para la organización.

Algunas cuestiones a tener en cuenta:

  • Qué uso le podría dar un atacante a esta vulnerabilidad.
  • Investigar la existencia de ataques que ya aprovechen esta vulnerabilidad.
  • Determinar si en la organización hay implementadas soluciones que contengan esta vulnerabilidad y de ser así
    • El grado de exposiciòn. (No es lo mismo algunos usuarios autenticados en la red local que un servicio de acceso público en Internet)
    • Nivel de sensibilidad de la información en riesgo.

Ante la presencia de una implementación afectada por la vulnerabilidad y según el resultado de la evaluación de riesgo se podrán tomar diferentes medidas que deberán ser articuladas y coordinadas con las áreas involucradas.

Si el riesgo es alto será prioridad mitigar la vulnerabilidad. Por ejemplo un curso de acción posible sería:

  • Restringir la funcionalidad o sacar de línea el servicio afectado hasta tanto sea subsanado el problema.
  • Incluir reglas de filtrado que detecten y  bloqueen los intentos de ataque.
  • Realizar un análisis forense de las pistas de auditoría disponibles para tratar de determinar si ya hubo algún intento de ataque o compromiso a la seguridad.
  • Revisar si hay una versión corregida del firmware o software afectado y evaluar si es viable su implementación y comprobar su correcto funcionamiento antes de implementarla en producción.

De no tratarse adecuadamente las consecuencias pueden ser muy variadas, puede no haber un impacto inmediato pero son un riesgo real y el uso articulado de varias de ellas puede multiplicar exponencialmente el riesgo. Desde un error en una aplicación a otras mucho más graves como es el compromiso de datos confidenciales. Por ejemplo si una organización guarda claves o números de tarjetas de crédito de usuarios en texto claro (una mala práctica) y alguien obtiene acceso a esa información muy probablemente tendrá graves consecuencias tanto para la organización como para muchos de sus usuarios.

Hay ataques más elaborados que frente al hallazgo de una vulnerabilidad, generalmente detectada en forma automatizada, se trabajan explorando otras vulnerabilidades diferentes e incluso ingeniería social para lograr un mayor nivel de compromiso en la seguridad y un mayor poder de daño.

Como ejemplos recientes se pueden citar el caso de empresas como Telecom e YPF que en los últimos días han sido afectadas por un tipo de ataque denominado ransomware, que consiste en que una vez que se logra acceso al equipo remoto se cifran todos los archivos con ciertas extensiones generalmente relevantes para el usuario y se muestra una nota con un pedido económico extorsivo para obtener a cambio la clave de desencripción.

Por lo que se dice, el tipo de ransomware utilizado explota una vulnerabilidad conocida desde 2018 para ganar privilegios en la red. Eso no quiere decir que tuvieran esa vulnerabilidad expuesta a Internet pero seguramente algún equipo interno al que lograron acceder sí y de esta manera seguramente lograron tener acceso con altos privilegios en la red corporativa afectando a miles de computadoras de su red.

Una de las formas más efectivas para correr código malicioso en una computadora de la red de una organización es engañar al usuario para que lo haga. Muchas veces un correo electrónico con un phishing es la puerta de entrada. Hay quienes, mal informados, no analizan la información de los correos que reciben porque tienen una solución de seguridad que se ocupa. Las soluciones de seguridad ahí tienen su cuota de responsabilidad en transmitir esa idea de protección total.

Oficialmente no hay mucha información ya que, seguramente para resguardar la imagen de la empresa, no se brinda información al público. Sería de gran valor para la sociedad que hicieran pública esta información para que otras organizaciones se puedan prevenir. Qué pasaría si cada grupo científico guardará celosamente sus hallazgos sobre el COVID-19 privilegiando su beneficio particular por sobre el bienestar general.

Este sería un claro ejemplo de las consecuencias de no gestionar adecuadamente las vulnerabilidades en una organización. Las pérdidas pueden ser millonarias  ya sea en los recursos para limpiar y poner operativa la red, negocios perdidos, información que no estuviera respaldada, y si hubo robo de información esto podría ser mucho más grave.

Otro caso bastante diferente fue el de twitter, del que no se tiene mucha información de cómo ocurrió pero lo que reveló es lo que parece ser una muy mala práctica ya que aparentemente usuarios con un cierto nivel de acceso pueden hacer publicaciones como si fueran cualquier usuario en Twitter. ¿En qué circunstancia es razonable que un usuario tenga  ese permiso trabajando en producción? No se me ocurre, parece algo que solo es para problemas. La cuestión es que habría sido aprovechado para engañar gente invitándolos a donar criptomonedas a cambio de recibir el doble. Algo en lo que pocos caen, pero al usar la cuenta de gente conocida y verificada le sumó credibilidad al engaño y al tener muchos seguidores les dio más visibilidad. Recaudaron, según dicen, algo más de diez mil dólares.  No mucho teniendo en cuenta el recurso al que tuvieron acceso. Podrían haber hecho algo realmente mucho más grave. En este caso el sistema termina siendo vulnerado por un una falla de implementación dándole capacidad de causar un daño utilizando una funcionalidad aparentemente innecesaria, que no tendría un caso de uso real apropiado puesta en producción.

Nuevamente le agradezco a Facundo su aporte, y retomo para plantear que, como puede verse, un profesional de la Ciberseguridad puede prever el contexto, hacer un análisis de riesgo, saber qué medidas de seguridad implementar y proteger un sistema adecuadamente incluyendo muy especialmente -y como mencionó Facundo- a los RR.HH. no técnicos para que puedan protegerse. Repito: un profesional de la ciberseguridad (algo que requiere una definición mucho más responsable de la que suele hacerse). 

Con una adecuada intervención profesional, habría muchísimo menos ciberdelito del que venimos viendo en esta Pandemia en reinante ascenso y escalada. La realidad es que no solo no hay la cantidad adecuada de expertos en ciberseguridad (como también pasa en ciberdelitos), si no que se sigue mirando para otro lado, tomando decisiones inadecuadas e irresponsables, definiendo mal qué es un experto en la materia, e incluso generando trabas legales a su aumento y profesionalización. 

Vivimos en un mundo de una dinámica muy veloz, y esta pandemia nos demuestra el grado creciente de Profesionales (verdaderos expertos) en la materia que necesitamos, y de flexibilidad para entender qué es lo que esto significa más allá de las definiciones formales de antaño o el desconocimiento de los que “definen el puesto”. Esta tendencia se mantendrá, del mismo modo que la necesidad de la formación y capacitación profesional permanente de expertos en investigar el cibercrimen. Expertos, profesionales, conocedores comprometidos con su profesión, capaces de protegernos y mantener la seguridad del S.XXI, y de reconocer, elegir, y ayudar a formar a sus sucesores. 

Facundo Salom  es un Profesional especializado en Ciberseguridad, con más de una década como miembro fundador de la Oficina de Seguridad Informática (actualmente departamento de Seguridad Informática) del Ministerio de Justicia de la Nación. Tiene 25 años de carrera aportando soluciones tecnológicas en el ámbito de la Administración Pública Nacional y defendiendo el uso e implementación de software libre y la independencia tecnológica.

Este evento contará con la participación de la Dra. Nora Cherñavsky el 5 de agosto en el 3er Panel del encuentro «Ciberdelito y Pandemia», con el tema «Ciberdelito . Ciberpatrullaje y control de Datos» compartiendo panel con Marcelo Riquert y Christian Sueiro.

https://www.facebook.com/photo.php?fbid=3117813771643840&set=a.1653671498058082&type=3&theater

Estaremos participando en el dictado del módulo de delitos informáticos. Para ver el sitio de APP e inscribirse, hacer clic en la imágen.

© 2021 CIBERDELITO.com

Tema por Anders NorenArriba ↑