Por: Julián Rios, CEO, CISSP/CFE
Researcher certificado en Ciberseguridad, Ethical Hacking, Análisis Forense, Incidentes, Big Data y Anti-fraude. Colaborador de Auditool.
A pesar de que en una examinación de fraude se puede encontrar información almacenada en la nube, conducir una investigación forense digital en éste ambiente presenta retos que no están descritos en los métodos tradicionales del análisis forense.
RETOS DEL CLOUD FORENSICS
Algunos de los retos más importantes son:
- Ausencia de frameworks y herramientas especializadas
- Ausencia de la posibilidad de acceso a la información
- Ausencia del control de la información
- Almacenamiento atado a la jurisdicción
- Preservación de la cadena de custodia
- Ausencia de conocimiento específico en la nube
La creciente complejidad de los sistemas en la nube podría impedir una investigación de fraude y dejar impune un delito.
AUSENCIA DE FRAMEWORKS
A diferencia de los métodos forenses tradicionales, donde existen claros paso-a-paso y herramientas especializadas para la recolección de evidencia y posterior presentación en la corte, aquí en la nube no existen frameworks o herramientas de recolección de información. De hecho, muchas herramientas forenses están específicamente diseñadas para no trabajar en este entorno. Se necesitan herramientas y métodos para poder aislar, localizar y preservar la información en la nube.
AUSENCIA DE ACCESO A LA INFORMACIÓN
El cloud computing complica la recolección de datos porque el almacenamiento en los sistemas no son locales, y por lo tanto, existe un impedimento inicial para el acceso a dicha información a través del software forense. Los clientes casi nunca tienen acceso físico a la ubicación de sus datos en la nube. No es suficiente con acceder a la copia local de la información sincronizada en el computador a investigar, es necesario siempre, según los procedimientos forenses, localizar el medio original de almacenamiento donde reside la información.
AUSENCIA DEL CONTROL DE LA INFORMACIÓN
Los clientes no tienen control físico del almacenamiento de sus datos en la nube y mucho menos de los sistemas de comunicaciones que les permiten accederlos. No todos los proveedores de servicios manejan la misma infraestructura y hay quienes usan tecnologías de acceso a los datos mas y menos usados y los reparten en dispositivos de almacenamiento diferentes. Esta técnica es llamada almacenamiento por jerarquía y no se sabría exactamente en que dispositivo se encuentran los datos.
ALMACENAMIENTO ATADO A LA JURISDICCIÓN
Muchos proveedores de servicio no siempre almacenan los datos en una misma ubicación geográfica y esto puede traer serias consecuencias a la investigación porque dependiendo de donde se encuentre la evidencia, pueden existir normas y regulaciones legales para su acceso, con las correspondientes leyes de protección a la privacidad.
PRESERVACIÓN DE LA CADENA DE CUSTODIA
Mantener la integridad de la evidencia almacenada en la nube es difícil porque la siguiente información haría falta:
- Cómo es procesada la información y por quién
- Quién ha tenido acceso a la información y cuándo
- Si la información en la central proviene de mas ubicaciones cliente
- Quién preservará dicha información y cómo
- Quién realizará la adquisición de la evidencia original
AUSENCIA DE CONOCIMIENTO ESPECÍFICO
Incluso si el investigador llegase a tener acceso a la información y medios originales, podría ser difícil interpretar la información relevante del sistema ya que cada proveedor podría usar tecnologías de almacenamiento y sistemas operativos diseñados a la medida para la optimización de sus funciones.
Referencias
International Fraud Examiners Manual (2015), ACFE, http://www.acfe.com .
ACERCA DE JULIÁN
Julián Ríos, experto y certificado en materia de Antifraude y Seguridad de la Información, es el fundador de la firma internacional NF, con base en la ciudad de Medellín, Colombia. También es el creador del software antifraude The Fraud Explorer y apoya a personas y empresas a enfrentar y solucionar sus retos en materia de Ciberseguridad y combate del fraude.
Y luego Agregar a la pantalla de inicio.