En informática, los expertos forenses están entre los más solicitados, tanto por las autoridades investigadoras como por las empresas. Son responsables de asegurar pruebas en caso de un ciberataque. Preguntamos a nuestro experto forense Julian Krautwald sobre su trabajo. En la primera parte de nuestra entrevista, descubrimos qué hace realmente un experto forense en informática.

Julian, eres un experto forense informático.

¿En qué se diferencia tu trabajo del de un experto en TI?

El experto en TI es tu primer punto de contacto para todos los asuntos técnicos. Se aseguran de que tu equipo informático funcione correctamente y que dispongas de todas las herramientas necesarias para realizar tu trabajo diario en el ordenador de trabajo. También deberían ser el primer punto de contacto para problemas técnicos y fallos en tu lugar de trabajo.

Más concretamente, se encargan de la instalación, configuración, operación y mantenimiento de componentes, sistemas y servicios de infraestructura/red, tanto hardware como software. Son responsables del diagnóstico técnico de fallos y de la recuperación de sistemas y datos. También mantienen documentación de procesos técnicos, instrucciones y configuraciones.

Luego está el experto en seguridad informática. ¿Qué hacen exactamente y en qué se diferencian de ti?

No notarás mucho del trabajo del experto en seguridad informática en tus actividades diarias. Esto se debe principalmente a que los expertos en seguridad informática trabajan muy estrechamente con ellos para implementar medidas de seguridad, pero no son el primer punto de contacto para los empleados. Es más probable que notes las medidas implementadas por el experto en seguridad informática de forma subconsciente. Por ejemplo, cuando el sistema operativo de tu ordenador de trabajo te pide de repente (otra vez) que cambies tu contraseña de acceso. Muchas de estas medidas inicialmente se presentan para la mayoría de los empleados como una restricción a la facilidad de uso de los sistemas que utilizan. Solo cuando un experto en seguridad informática ofrece a los empleados una visión de por qué ciertas medidas son extremadamente importantes y qué puede ocurrir si no se implementan, esto suele llevar a una mayor aceptación de su trabajo dentro de la empresa.

¿Y dónde entra tu trabajo como experto forense en informática?

Solo cuando tu empresa ya ha sido víctima de un ciberataque —o al menos sospechas que es así— y los compañeros descritos arriba no pueden determinar claramente cómo ocurrió el incidente y/o cuál es la mejor estrategia para contener los daños y devolver las operaciones a la ‘normalidad’. Un experto forense informático apoya y asesora a estos colegas en el diagnóstico, análisis e investigación de las causas, pero también en la priorización de medidas inmediatas en respuesta a incidentes de seguridad de la información.

Esto implica analizar grandes cantidades de datos, registros técnicos e imágenes de todo el sistema. El objetivo del análisis es identificar señales y causas de un incidente de seguridad de la información, evaluar el nivel de compromiso y, si es necesario, preparar las pruebas encontradas en un formato que pueda utilizarse en el tribunal. Además, son responsables de desarrollar estrategias de defensa e iniciar las medidas necesarias para mitigar los daños. También definen las contramedidas. Y por último, pero no menos importante, documentan los hechos y las actividades llevadas a cabo.

¿Qué preguntas deberían responder idealmente las víctimas para que puedan aclarar y gestionar rápidamente la emergencia cibernética?

Para aclarar lo que ocurrió, al menos debería ser posible responder a las preguntas clásicas de la W:

Cuestionario en una emergencia

• ¿Qué pasó exactamente?
• ¿Cómo se descubrió el incidente (por ejemplo, ¿hubo un mensaje de advertencia del sistema? ¿Notaste un aumento en la utilización del sistema o tiempos de respuesta más largos?)
• ¿Cómo se manifiesta el incidente (por ejemplo, anomalías en los clientes)?
• ¿Qué actividades se realizaban antes (por ejemplo, navegar por internet, leer correos electrónicos, insertar un USB)?
• ¿Se tomaron medidas inmediatas tras el descubrimiento del incidente (por ejemplo, escaneos de virus, eliminación de datos, cambios en archivos del sistema)?
• ¿Ha habido un problema similar en el pasado? ¿Cómo se resolvió este problema?
• ¿Qué sistemas (SO) y/o aplicaciones se ven afectados?
• ¿Cuántos sistemas se ven afectados?
• ¿Son estos sistemas cliente o servidor, o ambos?
• ¿Quién tiene acceso a los sistemas afectados?
• ¿Qué usuarios/grupos de usuarios se ven afectados?
• ¿Cuántos usuarios se ven afectados?
• ¿Qué derechos tienen los usuarios afectados sobre los sistemas afectados?
• ¿Cómo se aseguran los sistemas afectados (cortafuegos, antivirus, IDS, IPS, etc.)?

En general, sin embargo, cuanto más detallado pueda describirse el incidente, mejor será para diagnosticar y resolver el problema. Si dispone de un smartphone con función de cámara, también puede ser útil documentar el incidente con fotos.

(Fin de la Parte 1)