Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
NOTICIA

Congreso Informática Forense y Seguridad

Un análisis de las evidencias digitales 08/05/2019 - Por D. Marchal, E. González y J. Sanz
Ondata International y Red Seguridad, organizadores del evento, prepararon un completo programa con ponentes nacionales e internacionales y más de 25 empresas colaboradoras. Los retos en las investigaciones de las fuerzas de seguridad, la tecnología de los laboratorios de informática forense, la investigación informática remota forense a través del network, el reconocimiento facial, la inteligencia, las fake news y el Big Data fueron algunos de los principales protagonistas del congreso celebrado el 9 de abril en Madrid.

El espacio COEM de Madrid fue el lugar elegido por la compañía Ondata International y la revista Red Seguridad para celebrar el primer Congreso de Informática Forense y Seguridad, una jornada en la que más de 300 profesionales del sector pudieron conocer de primera mano el presente y futuro de la tecnología forense aplicada a la ciberseguridad. Además, el evento contó con la presencia de más de una veintena de ponentes, muchos de ellos internacionales, quienes expusieron sus puntos de vista al respecto; gran cantidad de representantes de las Fuerzas y Cuerpos de la Seguridad (FCS) del Estado; así como numerosos proveedores que colaboraron con stands en donde mostraron a los asistentes sus soluciones y servicios.

La inauguración corrió a cargo de Arturo Espejo, general de Brigada de la Guardia Civil; Santiago Maroto, comisario jefe de la Brigada de Seguridad Informática del Cuerpo Nacional de Policía; Alfredo Ruiz, CEO de Ondata International; y Ana Borredá, directora general de Borrmart y de Red Seguridad, quien agradeció a los asistentes su presencia. El primero hizo un repaso de cómo la ciberdelincuencia se ha ido incrementando y sofisticando en los últimos años. Esto está dificultando la labor de las fuerzas de seguridad de conseguir evidencias digitales, primero por su volatilidad, y después por intentar que le integridad se mantenga. Por eso, comentó: “nuestra misión es colaborar para desvirtuar la presunción de inocencia sin producir indefensión”.

A continuación, Maroto se refirió a las Estrategias de Seguridad y Ciberseguridad Nacionales y todas las estrategias estatales y europeas, puesto que todas ellas establecen el ciberespacio como un escenario fundamental que es preciso proteger. En este sentido, según Maroto, “la ciberseguridad es un reto imprescindible”, en tanto en cuanto debe ser el punto de unión de la colaboración público-privada (empresas, universidades, administración, FCS, sociedad civil...). “Entre todos juntos podemos conseguir las mejores soluciones de protección”, completó.

Por su parte, Ruiz afirmó que las FCS están realizando “un trabajo excelente de contención de la criminalidad en nuestro país, pero aun así tiene retos”. Ese fue el motivo fundamental por el que Ondata decidió organizar este congreso, en colaboración con la revista Red Seguridad, que pretende convertirse en “un foro donde las FCS y las empresas puedan discutir esos desafíos, y más de 25 fabricantes puedan presentan soluciones tecnológicas para superar estos retos, con el fin de ayudar a tener una sociedad más segura y confiada”.

Fuerzas de seguridad

El primer panel de la jornada giró en torno a los desafíos que tienen las FCS en las investigaciones. En él intervino Luis Fernando Hernández, coronel del Área Técnica de la Jefatura de Información de la Guardia Civil, quien confirmó que las investigaciones sobre los delitos han ido evolucionando en los últimos años. “El delito sigue estando, pero las técnicas de investigación han mutado y la carga de tecnología es un hecho en cualquier indagación criminal”, comentó. Asimismo, destacó la necesidad de “buscar alianzas en el sector empresarial” para luchar contra los cibercriminales, apoyándose en soluciones comerciales, porque si no hicieran eso, no serían “eficientes”.

Junto a él también participó Santiago Maroto, comisario jefe de la Brigada de Seguridad Informática de la Unidad Central de Ciberdelincuencia del Cuerpo Nacional de Policía. Maroto habló sobre la modificación del Código Penal para adaptarse a los nuevos tiempos, el problema normativo que suponen los paraísos cibercriminales, la heterogeneidad del marco jurídico internacional, la tecnología y la formación de talento como algunos de los principales retos a los que su departamento debe hacer frente para avanzar en la investigación de los ciberdelitos. No en vano, “la mitad de las denuncias de delitos que llegan a una comisaría son provocados o generados por las nuevas tecnologías. Y de ellas, el 75 por ciento son fraudes online”.

ONDATA POLICIA Y GUARDIA CIVIL
De izquierda a derecha: Javier Candau (CCN), Luis Fernando Hernández (Guardia Civil), Alfredo Ruiz (Ondata International) y Santiago Maroto (Policía Nacional).

Finalmente, el último en intervenir fue Javier Candau, jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional, quien describió algunas de las técnicas antiforenses (como la modificación de la fecha de creación de ficheros, el borrado de registro de Windows, la detección de máquinas virtuales…) a las que desde su departamento tiene que plantar cara para poder realizar correctamente su trabajo. “Nosotros no perseguimos el delito, sino que apoyamos a las FCS a perseguirlo”, enfatizó en este sentido.

Investigaciones de empresas

El siguiente panel abordó los desafíos que tienen las empresas en las investigaciones forenses. Para hablar de ello tomó la palabra David Escudero, Attack Surface Reduction & Threat Management, Global Forensics de BBVA. Este profesional hizo un repaso de aquellos aspectos que repercuten a la hora de investigar un incidente, como la ausencia de procedimientos, la falta de información de contexto o la carencia o deficiencia de logs. Por eso, en BBVA pusieron en marcha un modelo de madurez Forensic Readness, para contar con una capacidad investigadora continua. “Nunca se está al cien por ciento preparado, porque cada incidente es diferente, por mucho que uno crea que está listo”, argumentó.

A continuación intervino Ignacio García-Monedero, Computer Security Incident Response Team Manager de Mapfre, quien explicó cómo el hecho de pertenecer a una empresa como la suya, con una gran dispersión geográfica en todo el mundo, dificulta la investigación forense de los ciberdelitos. Además, analizó varias situaciones que se pueden dar tras la detección de un incidente y que hacen que su resolución sea más o menos efectiva. “Cuando no tenemos todas las capacidades, nos apoyamos en proveedores que nos aportan un extra de conocimiento, el cual hace falta en algunas situaciones”, aseguró.

Javier Pinillos, Information Security Manager de FCC Servicios Ciudadanos, fue el último en intervenir en este panel. En su ponencia, el directivo comentó que en cualquier proceso forense hay que conjugar tres factores fundamentales: el tiempo, puesto que la mayor parte de las peticiones son urgentes; el tamaño, con casos complejos con muchas aristas; y el cumplimiento, ya que cada vez hay más obligaciones legales que cumplir. Por tanto, para Pinillos, “la clave es encontrar el equilibrio entre estos tres conceptos para poder hacer una gestión eficiente”.

Laboratorio forense

El siguiente panel estuvo dedicado a los laboratorios de informática forense. Mark McCluskie, director de Investigación de Nuix, se centró en la integración de recursos tecnológicos para llevar a cabo las investigaciones, como son los datos GPS, drones, redes sociales, etc. No obstante, destacó que la validez de las pruebas que se obtienen debe ser el principal objetivo. “Hay juzgados que desestiman investigaciones por considerar que no son transparentes”, aseguró antes de solicitar la ayuda de las autoridades públicas a la hora de llevar este trabajo. Especialmente se refirió a la necesidad de intercambiar información sobre datos claves para la investigación, que se suele demorar en exceso.

Seguidamente, Damien Touidjine, Regional Area Sales Manager Spain & Portugal de XRY/MSAB, dedicó su espacio a las investigaciones en tecnologías como la telefonía móvil, tablets, drones o aparatos IoT (Internet de las Cosas). Según explicó el ponente, en una investigación criminal “las 48 primeras horas son cruciales y hay incluso quien señala que son las cinco primeras”. Por ello es necesario contar con herramientas que permitan hacer la labor de la manera más rápida posible y apostar por soluciones de automatización para agilizar la tarea.

Por otro lado, y para finalizar la primera parte de este panel Martin Hermann, CEO de mh Service, presentó el laboratorio móvil que ha construido su compañía para ayudar a sus clientes en las investigaciones. Se trata de un camión equipado con tecnologías para el análisis forense y la extracción de evidencias que “más bien es un centro de datos”. Tal como explicó Hermann, gracias a este vehículo el equipo de investigadores se puede desplazar al lugar de los hechos, recabar allí pruebas y analizarlas rápidamente mediante herramientas especializadas que pueden, por ejemplo, extraer información de teléfonos móviles.

Tras una pausa para tomar café, y continuando con el panel dedicado a los laboratorios de informática forense, Jim Martin, consultor forense senior en OpenText, estudió en profundidad las investigaciones forenses. Para ello destacó la inteligencia como herramienta principal de este trabajo: “no se trata de trabajar más, sino de forma más inteligente”, afirmó, a lo que le añadió que el ser humano tiene una importancia vital en todo este proceso.

A continuación intervino Tanya Pankova, Product Marketing de Oxygen Forensic, para estudiar la extracción y el descifrado de los datos de WhatsApp a través de diferentes metodologías. Entre ellas explicó la extracción lógica de la información, los backups locales y en la nube, el acceso al servidor de WhatsApp y la extracción de datos a través de WhatsApp Web.

Por su parte, los retos actuales en las imágenes forenses en dispositivos MAC fueron los protagonistas de la ponencia de Tim Thorne, Solutions Engineer de BlackBag Technologies. Tras contar la experiencia de su empresa en el terreno de las investigaciones digitales, el experto basó su ponencia en la extracción de información en este tipo de dispositivos. “La mayoría de los sistemas MAC cuentan con sistemas T2, aunque las imágenes físicas nos dan muchos más datos”, destacó en su intervención.

Posteriormente, Patrick Griffith, Regional Account Manager para la región EMEA de Magnet Forensics, trató la investigación de los artefactos de Internet. “Cada vez hay más herramientas y la gente está menos cualificada en esta materia”, comenzó su explicación. Es por ello que para el experto se tienen que establecer como principales objetivos de esta actividad su modernización y democratización, además del fomento de la colaboración y la inteligencia.

Para acabar el panel dedicado a los laboratorios forenses, Maria Khripun, Marketing Manager de Belkasoft, habló sobre las investigaciones digitales de bases de datos SQLite. Tras exponer un caso de éxito de recuperación de mensajes sospechosos de la red social Telegram, Khripun mencionó las características principales de SQLite: “esta base de datos es relacional, ligera, no necesita instalación y requiere solamente un fichero en el disco”, enumeró entre otras. Asimismo, citó las ventajas de una buena herramienta forense, como el historial de transacciones o el conocimiento de los datos de registro eliminados.

Investigación informática remota

El siguiente panel de la mañana fue el denominado “Investigación informática remota forense a través del network”, que contó con cuatro ponentes. El primero de ellos fue Ledie Toscano, Country Manager para el Sur de Europa de AccessData, quien habló de la solución de su empresa para realizar investigaciones forenses, denominada AD Enterprise, que actualmente va por la versión 6.5, y de las prestaciones que ofrece. Sin embargo, adelantó que en los próximos meses se lanzará la 7.1, de la que mencionó algunas mejoras, como “el soporte completo para APIs, el soporte para Python, el cifrado, la escalabilidad bajo demanda y los parsers adicionales para datos móviles”.

Seguidamente intervino Jean-Philippe Rantin, Solution Consultant Manager de EnCase/OpenText, quien abordó el tema de los incidentes de seguridad y la gestión de riesgos. Para ello puso sobre la mesa dos de las soluciones con las que cuenta su empresa en este ámbito y que vienen a cumplir con el Reglamento General de Protección de Datos: “EnCase Risk Manager, que permite analizar dónde están los datos sensibles y privados almacenados; y EnCase Endpoint Security, que detecta los equipos afectados cuando se produce un fallo de seguridad”, explicó.

ONDATA STANDS
Los visitantes pudieron ser testigos de las últimas novedades de 27 compañías en sus respectivos stands.

A continuación tomó la palabra Nicholas Pollard, Head of Security & Intelligence EMEA de Nuix, para explicar a qué se dedica su empresa: “convertir el caos en algo útil”. Y es que, según comentó, “no solo somos motor de procesamiento e investigación forense, sino que también damos inteligencia a los datos”. De hecho, la compañía cuenta con una gama de soluciones (Nuix Discovery, Investigate, Workstation, Endpoint y Orquestation) que proporciona a los usuarios “los datos correctos en el momento adecuado”.

Finalmente, Eric Hamon, COO/Product Manager de Samoby, cerró este panel poniendo el foco en los dispositivos móviles y su seguridad. El profesional aclaró que para proteger estos entornos no basta con soluciones Mobile Device Management, sino que se requiere un enfoque Mobile Threat Defense, que es el que aporta su empresa, un tipo de supervisión donde se sabe en cada momento qué pasa en un móvil y se almacena esa información para analizarla. El objetivo, según aclaró, es “ser capaz de reaccionar en tiempo real a ataques o problemas que se puedan detectar en este tipo de dispositivos”.

Reconocimiento facial

Para finalizar las ponencias de la mañana tuvo lugar el panel “Reconocimiento facial para el análisis forense e inteligencia”, que contó con dos presentaciones. La primera estuvo protagonizada por Javier Rodríguez, CEO de Herta Security, en la que desgranó el negocio principal de su empresa, centrada en el reconocimiento facial y especializada en el análisis de multitudes, como en estaciones de trenes o eventos deportivos. “Contamos con una tecnología que realiza 50 millones de comparaciones en menos de un segundo, lo que nos permite encontrar a una persona entre mucha gente en muy poco tiempo. Eso ayuda a la resolución del delito en el ámbito de la investigación forense”, afirmó.

La segunda corrió a cargo de Miguel Ángel Gallego, director de Seguridad de la Estación Sur de Autobuses de Madrid, quien presentó a los asistentes cómo es la Estación, la mayor de Europa, con una afluencia de 20 millones de personas al año. Además, explicó la necesidad de contar con un buen sistema con cámaras IP de alta resolución para detectar personas sospechosas. “Si la tecnología instalada encuentra una imagen similar a las almacenadas en nuestra base de datos, salta la alarma”, declaró. Incluso eso les permite hacer reconocimiento de personas en pasado con analítica forense.

Tecnología biométrica

La sesión de tarde se reanudó con el panel “Uso de tecnología biométrica en las investigaciones”, que contó con la presencia de Victor Gomis, Global OEMs & Public Sector de Nuance Communications, cuya presentación giró en torno a la tecnología del habla, que es el negocio de su empresa, y a cómo esta se puede utilizar en las investigaciones forenses. De hecho, la compañía ayuda a las FCS a extraer información sensible de los audios, aunque también tiene otras utilidades, como “las de autenticar, prevenir fraude y mejorar la seguridad pública”, en palabras del profesional. Para demostrarlo, Gomis puso un ejemplo de una entidad canadiense que tiene implementada la autenticación por voz para que sus clientes accedan a sus cuentas bancarias.

Por su parte, Miguel Cabeza, Senior Presales and Technical Manager de Dahua Iberia, centró su ponencia en la inteligencia artificial aplicada a los sistemas de reconocimiento facial y de matrículas, un ámbito en el que está trabajando su empresa. “Somos capaces de hacer seguimiento de una persona o un vehículo en una distribución geográfica y funcional”, comentó, y añadió: “utilizamos la inteligencia artificial aplicada a la seguridad física, lo que nos permite detectar personas con barba, gafas, bufanda…”.

Fuentes abiertas

La siguiente sesión de tarde fue el panel “Inteligencia: fuentes abiertas, redes sociales, OSINT, SOCMINT y dark web”. El primer ponente en intervenir en él fue Chris Brown, VP International de BasisTech, que abordó qué es el procesamiento del lenguaje natural y cómo, con la ayuda de la inteligencia artificial, permite encontrar pruebas en investigaciones forenses analizando los metadatos. El resultado de esto, según Brown, es “extraer datos de muchas fuentes, organizarlos de forma que tengan sentido para aplicarlos y luego decidir qué hacer con ellos”. Y la ventaja de este sistema en el que está especializada su empresa es que resulta muy fácil de integrar en las herramientas de informática digital.

Por último, Martin Hermann, CEO de mh Service GmbH, focalizó su intervención en la conocida como dark web o deep web y en la facilidad para enmascarar las acciones de los ciberdelincuentes a través de ella. Precisamente, para hacer frente a este problema, el ponente presentó su solución Web-I-Qube, “un servidor stand alone para la investigación forense que, con la ayuda de la inteligencia artificial, permite realizar análisis de la dark web”, afirmó.

Adquisición de evidencias

Linda M. Davis, directora de Marketing de Logicube, fue la primera profesional en intervenir en el panel que estudió la adquisición de evidencias y el borrado de datos. Para ello basó su ponencia en la utilización de herramientas de hardware con el objetivo de conseguir imágenes forenses y así optimizar este proceso. “El crecimiento del número de datos es un reto para los investigadores forenses, y la manera de recogerlos de manera rápida y segura es importante para la propia investigación”, destacó.

Para finalizar esta sección intervino Michael Harstrick, Chief Global Development Officer de Garner, quien basó su participación en los discos duros. “Cada dos años duplicamos los datos almacenados. Por lo tanto, el problema es que nuestro dispositivo de almacenamiento a veces se desgasta o queremos uno más grande, potente y rápido. Pero, ¿qué hacemos al final de su ciclo de vida?”, se preguntó Harstrick. Para dar respuesta a esta cuestión explicó los tres métodos de destrucción de discos duros según la Agencia de Seguridad Nacional estadounidense: quemarlos, degausarlos o romperlos en trozos de dos milímetros.

‘Fake news’

Las noticias falsas fueron el siguiente tema a estudiar durante el evento. Chris Brown, VP International de BasisTech, expuso la localización de su origen y las contramedidas para hacerlas frente. En concreto, mencionó que los hostigadores de este tipo de informaciones casi siempre son los mismos, por lo que se pueden descubrir patrones  y tendencias. Sin embargo, tal y como destacó el ponente, el tiempo y la paciencia son dos pilares fundamentales para el hallazgo de fake news.

Por su parte, Enrique Jorda, Senior Partner Manager Iberia Channel & Alliances de OpenText, estudió el aprendizaje automático y el análisis predictivo a través de la plataforma OpenText Magellan. Tras exponer sus diferentes características, Jorda destacó una serie de casos de uso en los que puede actuar Magellan en entidades financieras, entre los que citó la prevención de fraude, el análisis de transacciones y el conocimiento del origen del dinero.

Retos del investigador

El Congreso de Informática Forense finalizó con una mesa redonda sobre los retos que se encuentra en su trabajo el perito informático. En ella participaron el comandante Marcos Ciudad, jefe del Departamento de Ingeniería del Servicio de Criminalística de la Guardia Civil; el inspector jefe José Alberto Martínez, jefe de la Sección de Ingeniería de Informática forense de la Comisaría General de Policía Científica; Álvaro Ortigosa, director del Instituto de Ciencias Forenses y Seguridad de la Universidad Autónoma de Madrid; y Ángel Bahamontes, presidente de la Asociación Nacional de Peritos Informáticos (ANTPJI); bajo la moderación de Carlos Sánchez, general manager de Ondata International.

Uno de los principales retos que señalaron para el investigador fue encontrar evidencias incriminatorias y preservar la protección de datos, así como la cadena de custodia. Respecto a la preservación de la intimidad del acusado, Marcos Ciudad señaló que durante los análisis forenses “en ningún caso” se recaban datos de los acusados ni de las víctimas. “Por tanto no se almacenan ni hacemos tratamiento de datos”, recordó el guardia civil.

Los invitados también trataron la falta de validez de la evidencia digital. Al respecto Ángel Bahamontes incidió en que “la evidencia electrónica es muy volátil y es muy fácil que se pierda”. Y por otro lado, recordó que uno de los problemas con los que se encuentra el perito es explicarles a los jueces el resultado de sus pesquisas. “Tenemos un lenguaje muy técnico y hay que hacerlo entendible al juez”, expresó.

ONDATA MESA FINAL
Los retos del investigador y del perito informático fue el protagonista de la mesa redonda formada por la Universidad Autónoma de Madrid, la Policía Nacional, la Guardia Civil y la ANTPJI.

Los componentes de la mesa opinaron también sobre el futuro de las investigaciones. Por ejemplo, José Alberto Martínez consideró que “la investigación forense no tiene sentido sin una investigación digital que sea complementaria. Sin un previo conocimiento de la investigación digital en la Red no tendrá sentido una investigación forense”.

Por su parte, Álvaro Ortigosa observó que “en el futuro inmediato también será importante la inteligencia artificial, que ya se ha incorporado a las herramientas y será indispensable en los próximos años”.

Con estas reflexiones finalizó el Congreso de Informática Forense, tras una intensa jornada a la que acudieron más de 300 profesionales de la informática forense y más de una treintena ponentes especialistas de la materia tanto nacionales como internacionales.

Presentaciones de herramientas forenses

El Congreso de Informática Forense contó con una sala diferenciada del auditorio para realizar presentaciones de herramientas de informática forense. En ella, Damien Touidjine, Regional Area Sales Manager Spain & Portugal de XRY/MSAB, hizo una demostración de extracción de datos y análisis de consolas de vehículos con tecnología BERLA; y Miguel González, CEO de eCapture, otra sobre reconstrucción en tres dimensiones de imágenes de drones, helicópteros, escenas del crimen y accidentes de tráfico.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual