Una vez se produce un delito, sabemos que se deben analizar todos los elementos involucrados en el crimen para poder saber con mayor precisión cómo se ha producido, y rastrear toda la información posible 🔎.
Esta misma situación se aplica en un escenario tecnológico, en la que un perito forense debe analizar todos los dispositivos afectados para averiguar qué ha sucedido, cómo y en qué orden. Y es una especialidad que pertenece al blue team.
¿Cómo se lleva a cabo un análisis forense?
Dentro de las organizaciones estos análisis deben seguir un procedimiento. Para ejecutarlo de manera correcta, se siguen las siguientes fases:
Adquisición 🏷️:
En esta parte se obtienen los dispositivos o las copias de la información involucrada en el incidente, en las que se debe realizar un clonado (llamados en frío en el caso de haberse encontrado el dispositivo apagado, y en caliente en el caso de haberse encontrado el dispositivo encendido).
Preservación 🧰:
Es donde aparece el concepto de la cadena de custodia⛓️, en el que se registran los datos (como el perito, la fecha, lugar, etc) asociados a la manipulación de la copia realizada. Para ello se suelen realizar hashes para identificar y asegurar que la información no ha sido modificada.
Recopilación 🔬:
Ahora debemos buscar todas las evidencias que se encuentren asociadas al delito, crimen, o incidente. Aquí se debe investigar:
archivos de registros,
gestor de eventos,
logs del sistema,
historiales de navegación,
memorias (RAM, del procesador, caché, etc.),
programas y aplicaciones instaladas
Otros aspectos dependiendo del entorno…
Documentación e informe 📜:
En este punto se debe documentar todo el análisis realizado, estableciendo una relación entre todas las evidencias obtenidas de forma que otro analista pudiera repetirlas si se diera el caso.
También debes tener en cuenta que según el tipo de análisis forense se deberá adaptar la información a analizar 🙂
¿Los análisis forenses digitales sólo se usan en caso de incidentes de seguridad?
La respuesta es no, también se usan para analizar dispositivos en investigaciones en las que puedan ayudar a esclarecer un delito, como puede ser una desaparición, estafas o redes criminales de delitos “graves”.
[Marta] - Creo que es mi segunda rama favorita dentro de la ciberseguridad 😊
¿Conocías esta rama de la ciberseguridad? ¡Te leo en comentarios!
Bonus track: No te lo puedes perder
RECORDATORIO: Si te apuntas durante este mes al curso del CHAW tendrás tutorías personalizadas en el avance del curso 🤓
Este mes estamos sorteando una certificación eJPTv2 entre los suscriptores de nuestro canal de Twitch.
Mola mucho esta entrega de la news y el trabajo del Blue Team. Sigo pensando que para hacer Blue Team es necesario saber Red Team (y al revés, claro). Son dos caras de la misma moneda que no se pueden separar.