Opinión
Rogelio Saavedra.
Rogelio Saavedra Auditor de Ciberseguridad Leet Security

Informática forense y teletrabajo en tiempos de virus

Informática forense y teletrabajo.

Desde hace décadas se viene planteando una duda: ¿son los virus seres vivos o solo material genético desbocado que interactúa de forma implacable con todos los seres vivos? Aunque no existe un consenso, se les tiende a considerar como estructuras biológicas no vivas. Es decir, que unos seres que ni están vivos ni muertos nos tienen contra las cuerdas… Da qué pensar.

Por fortuna, en el entorno digital, en el que cada vez estamos más inmersos, se ha dado el efecto contrario. El consenso en las medidas de seguridad a tomar, medidas prácticas, ha sido el que ha guiado las políticas y estrategias para afrontar las consecuencias de la pandemia, que aún seguimos sufriendo.

Teletrabajo e informática forense

Aunque la necesidad ha hecho que el teletrabajo se imponga como medio para dar continuidad a todas las actividades de las empresas transformadas o en transformación digital, no todo es un camino de rosas. Y menos cuando hablamos del trabajo de la informática forense, que, por definición, se basa en la recolección de evidencias en un proceso, hasta ahora, casi siempre in situ.

La ciencia forense digital es un campo nacido de la ciberseguridad que está especializado en todo lo relacionado con la recuperación de pruebas de medios de almacenamiento digital, aplicando los procesos y procedimientos forenses tradicionales. En sus operativas habituales se han de tomar las medidas necesarias para preservar la cadena de custodia y reconstruir, con ellas, los acontecimientos relacionados con el caso que se estudia.

Para apoyar estas actividades, a uno y otro lado del Atlántico se han desarrollado normativas y procedimientos, sobre todo en su naturaleza de «teleproceso», para adaptarse a las condiciones generadas por la pandemia.

En un reciente documento, la SWGDE (Scientific Working Group on Digital Evidence) indica que el teletrabajo tiene carácter temporal mientras persistan las condiciones actuales, y señala las especificaciones que deben tener en cuenta las organizaciones sobre las pruebas digitales en el teletrabajo forense en los siguientes ámbitos:

  • Ruta para el proceso de políticas para los laboratorios.
  • Confidencialidad de las pruebas/datos en comunicaciones con los clientes.
  • Instalaciones.
  • Gestión del equipo y software.
  • La integridad de los datos y la gestión de los dispositivos físicos.
  • La gestión de riesgos específica del teletrabajo y oportunidades de mejora.

Complementario al anterior, el OSAC (Overseas Security Advisory Council) indica que el trabajo remoto no está permitido, pero debido a las especiales circunstancias actuales y a que la duplicación de información de los dispositivos a estudiar es posible en remoto, se habilita y apoya. En ese sentido, señala que:

  • Los planes de contingencia pueden suponer riesgos para la confidencialidad, la integridad y la fidelidad de los exámenes forenses digitales/multimedia, y deben mitigarse con medidas específicas.
  • Se han de determinar precisamente los parámetros de seguridad básicos.
  • Hay que conocer las posibles limitaciones de las herramientas o equipos utilizados.
  • El examen forense no debe realizarse en áreas públicas que lo expongan a observaciones incidentales. En el entorno privado de teletrabajo se deben evitar las áreas compartidas.
  • Acceder a estaciones de trabajo remotas a través de una conexión segura con equipos de la organización.
  • Cuando no se dispone de los medios anteriores, se ha de proporcionar una estación de trabajo forense autónoma con dispositivos para la extracción de las evidencias, que sean portables, siendo verificadas con los procedimientos habituales.
  • La computación en la nube proporciona una ventaja para el teletrabajo al evitar pérdidas o daños consecuentes con la extracción física y el transporte de las evidencias.
  • Si se ha de transferir información desde la ubicación de examen al entorno de teletrabajo, ha de hacerse mediante SFTP (FTP seguro).

En mayo de este año, el Centro Criptológico Nacional actualizó, por el estado de alarma, el documento Informe de Recomendaciones de seguridad para situaciones de teletrabajo y refuerzo en vigilancia, denominado CCN-CERT BP/18. En este documento se ofrecen pautas para garantizar la seguridad durante el teletrabajo, dedicando un apartado (8.5.7) a «detallar los servicios de adquisición de evidencias de dispositivos electrónicos para incidentes de seguridad que limiten la prestación de servicios esenciales durante este estado de alarma».

Recomendaciones

Desde mi punto de vista, la planificación es la actividad más importante para un buen desarrollo, máxime en el nuevo entorno telemático que se nos plantea. Por ello, no se puede dejar nada al azar y es recomendable tener en cuenta lo siguiente:

  • Gestionar bien tanto la identificación como la organización de los interlocutores durante las videoconferencias es fundamental.
  • Todo documento necesario y toda evidencia deberán estar previstas previamente. Esto acortará los tiempos de trabajo y permitirá desligar esta actividad del proceso de auditoría online que se ha de seguir. Subscribir un correcto NDA (acuerdo de no divulgación) con la entidad auditada allanará el camino y ahorrará contratiempos.
  • Acotar bien los alcances de la actividad permitirá centrar el trabajo y optimizar la revisión de los referenciales sobre los que auditar al cliente.
  • Un security-by-design en todo el proceso, desde la selección de las herramientas más adecuadas, seguras y actualizadas posible para el establecimiento de las teleconferencias, hasta los medios de transferencia de la documentación de forma telemática (con especial énfasis en el uso de cifrado), añadirá confianza al proceso. Han de considerarse también soluciones ante situaciones no deseadas, como los habituales fallos en la plataforma de comunicación.
  • Gestionar bien los tiempos de las videoconferencias significa no alargar demasiado la estancia ante el monitor. La conjunción de trabajo independiente sobre la evaluación de la documentación, junto con la auditoría per se, permitirá centrar más la revisión de evidencias con menos esfuerzo y en tiempos más acotados.

Cuestiones a reforzar

Quizá la labor de la informática forense se vería respaldada, tanto por trazabilidad como por reducción de exposición a incidentes, si los departamentos de sistemas de información reforzaran:

  • La cualificación de los roles de IT con respecto a las tecnologías de acceso y securización que impone el teletrabajo.
  • La formación y concienciación de los usuarios, sin cuya colaboración no hay efectividad en las medidas anteriores.
  • Los equipos de trabajo de los empleados han de tener configuraciones probadas y aprobadas que excluyan, además, el uso de equipos personales para el acceso a los sistemas de explotación.
  • Reforzar los procesos operativos para la conectividad con el entorno de trabajo, ya que se ha ampliado el área de exposición a incidentes de seguridad.

Confianza cero

Emprender una estrategia de reforzamiento de seguridad basada en una filosofía de «confianza cero» (Zero Trust) debería complementar, de forma holística, a todos los medios que impidan la exposición a vulnerabilidades debido a la confianza en los sistemas que acceden. En ese sentido, es recomendable:

  • No confiar en nadie por defecto: todo acceso se chequea y se basa en una política de menor privilegio.
  • Acceso passwordless que sustituya el modo tradicional de acceso por contraseña estática por una autenticación de múltiples factores.
  • Uso de la microsegmentación: dividir los perímetros de seguridad en pequeñas zonas para mantener un acceso separado para las distintas partes de la red.
  • Se acelerará la implantación de sistemas cloud, ya que las capacidades de definición de servicios y redes por software están embebidas en su core.
  • Uso de soluciones CASB entre usuarios y servicios, tales como PaaS, IaaS, SaaS, securizando estos entornos y extendiendo las políticas que se generen a diferentes contextos cloud configurables.
  • Monitorizar y controlar qué y quién accede a la red, comprobando su autorización.

En el proceso de adaptarnos a estas circunstancias adversas, hemos avanzado casi una década en una transformación digital que ya estaba en marcha y que era necesaria. Y que, además, refuerza la tesis de la fórmula de la crisis: crisis es igual a riesgo más oportunidad.