Mauricio Eastman.
Con el fin de poner en perspectiva los usos y alcances de la Informática Forense, partiré comentando las diferencias entre auditoría y peritaje. Un peritaje es realizado por un perito que goza de tal calidad al ser un experto y que tiene la potencialidad de estar validado como tal, siendo una de aquellas validaciones la nómina que disponen las diferentes Cortes de Apelaciones, y no siendo para nada una instancia excluyente, sino solo la más conocida de las validaciones. El peritaje siempre estará destinado a temas judicializados o en vías de judicializarse.
Una auditoría, en cambio, es aplicar una serie de técnicas y métodos para investigar un hecho o circunstancia que ha afectado a una persona, organización o entidad y que debe establecer cómo ocurrió y las circunstancias del hecho. En el área informática además existen metodologías, técnicas, software forenses y hardware que garantizan la indemnidad de la información. Bastará que esta evidencia sea alterada por desconocimiento para invalidar toda una evidencia.
Existen diferentes certificaciones y normativas que establecen grados de expertise y de validez que en otro momento podremos analizar y discutir, sin embargo, lo que persigue esta columna es que cuando alguien se enfrente al escenario de querer establecer un hecho específico, ya sea para conocerlo o para usarlo como una evidencia objetiva, no equivoque el camino y lo encargue a quien carece de las competencias, experiencia y equipamiento, tanto a nivel de software como hardware, y termine recibiendo una serie de información poco útil y sin los respaldos técnicos adecuados.
Tipos de auditorías
En términos de auditorías informáticas, entre las que deberían aplicarse de rutina figuran los Pentesting, que son un conjunto de pruebas establecidas y realizadas sobre plataformas informáticas por software licenciados que reportan las vulnerabilidades de la red y sus componentes, tanto para formatos web como sistemas integrales.
Otra tarea a aplicar en forma preventiva es un Ethical Hacking como se denomina al conjunto de técnicas, procedimientos y acciones que se desarrollan sobre una red, plataforma y/o sistemas, y que objetiva las falencias de seguridad que existen, evidenciando las formas en que un externo vulnera la seguridad de usuarios, administradores, bases de datos, sistemas, etc.
Muchas empresas reaccionan cuando se ven afectadas y ya se ha perdido gran parte de sus activos de la información; la mejor evidencia son los virus de variedad Ransomware que no borran, sino que cifran (encriptan) diferentes carpetas o servidores con información, solicitando dinero vía transferencia de bitcoin, conocido como dinero virtual pero que en definitiva es dinero para que les envíen la llave de desencriptación. Muchos han pagado y no recibieron nada, perdiendo en muchos casos información valiosa.
Lo más penoso de esto es que más que identificar las falencias de sus sistemas “les hacen creer que falló el antivirus” … y creen que su mayor problema es recuperar la información perdida.
Otra auditoría que debería ser aplicada regularmente es Activos de Red, que evidencia cual es el parque de usuarios de la red, cuáles son sus equipos, en qué condiciones están estos y que privilegios informáticos tienen.
Esta acción permite saber quién está en mi red, con qué equipo y poder conocer todas las características en términos de aplicaciones, software y elementos que tiene cada usuario; verificar los consumos y poder establecer las comparativas con las métricas establecidas, y si no existen, a partir de aquí, crearlas.
Muchas consecuencias derivadas de no conocer que tengo y en qué circunstancias, calidad y condiciones está. A la vez de saber quién puede hacer tal o cual cosa… Esto, no solo es válido a nivel de usuarios, pues muchas veces afecta a servidores, routers, switchs, firewall, etc.
Absolutamente todo deja trazabilidad
Es primordial señalar que, tras un fraude, siempre habrá algo que la Informática Forense y las auditorías informáticas pueden hacer.
Se debe recordar que “todo, absolutamente todo” deja trazabilidad y que la información borrada, eliminada o formateada, o cualquier proceso que pretenda ocultarla, se puede recuperar, construir y leer para establecer circunstancias, fechas, comunicaciones, extracciones, y toda forma de participación y comunicación que ocurra en un computador o sistema informático.
Se debe tener muy presente la legislación que regula cada acto y evitar acciones que podrían derivar en delitos o faltas que se cometen al no conocer con propiedad los límites que establece el marco regulatorio jurídico y los derechos que gozan los ciudadanos. Un claro ejemplo de esto es suponer que el correo corporativo y lo contenido en él, es de la empresa, lo que no solo es un error sino un delito, pues al leer su contenido, se comete un delito sancionado en el código penal y con claros dictámenes en diferentes instancias.
A considerar entonces que cuando se quiera llevar adelante una investigación que involucre tecnologías, lo apropiado es buscar a quienes cuenten con la expertise e idoneidad profesional y la infraestructura para llevar adelante estas acciones. El intentar resolverlas a mutuo propio, puede no solo no conseguir el objetivo, sino transformar una prueba en un problema y un resultado en un delito.