02/05/2024

Mes: marzo 2019

TAF: BORRADO DE CIBER HUELLAS

Guido Rosales 26/03/2019

Por diferentes motivos los eventos deben dejar huella de su ocurrencia. Esta huella generalmente tiene ciertas características como autor, lugar, hora y fecha que en un contexto digital se traducen en usuario, IP origen, IP destino, hora y fecha por decirlo en términos simples. De los mas básicos y esenciales tenemos los registros del sistema operativo windows. Con el tiempo no han cambiado mucho. Tenemos los eventos de seguridad, aplicaciones, sistema y otros. Traen un detalle muy exquisito.

Existen diferentes niveles de REGISTROS de eventos o bitácoras por así llamarlas. Reciben nombres como Audit Trail o pistas de auditoria, también es muy popular el nombre de LOGs.

Son para un dispositivo computacional como la Caja negra de un avión, donde se guardan los registros e muchos sensores y dicen de la actividad tanto en el avión como en la cabina.

En síntesis, gran parte de los eventos que ocurren en un dispositivo computacional dejan huella. Desde el sistema operativo, las diferentes aplicaciones y utilitarios. Estas huellas incluyen también acciones del sistema operativo y sobre todo lo que nos interesa, acciones de los usuarios.

Por ejemplo el historial de navegacion:

Los registros de antivirus:

 

 

Una instalación y uso normal de un equipo, llega a acumular gran cantidad de estos registros. Por supuesto que son muy malos desde el punto de vista de la PRIVACIDAD en caso de caer en manos ajenas al dueño de equipo., pero son una mina de oro para investigaciones forenses y análisis de evidencia digital.

Sin embargo, estas facilidades pueden ser bloqueadas, inutilizadas, corrompidas o eliminadas. De manera parcial o total, de manera directa o indirecta.

 

EFECTO ANTIFORENSE

 

Eliminan la posibilidad de identificar los eventos con precisión. Pueden confundir la investigación si han sido corrompidos o adulterados.

Su ausencia puede ser sintomática y sospechosa, pero eso no ayuda mucho.

 

RECOMENDACIONES

La protección de logs y eventos de auditoria deben estar normados en el negocio. Tocarlos de alguna manera para afectar su funcionalidad debe ser una decisión Gerencial con todos los respaldos.

Tenemos casos donde aduciendo su interferencia a la funcionalidad del sistema han sido apagados, lastimosamente en fechas donde se han cometido ilícitos.

Les recomiendo leer el post sobre la Seguridad Shakira. Sin Logs los sistemas se vuelven Ciegos, sordos y mudos.

Para los colegas forenses, se debe validar la integridad de estos archivos. Su ausencia es sintomática.

Autor: Guido Rosales

 

 

 

 

 

 

 

 

Nepotismo empresarial en tiempos de RRSS

Guido Rosales 25/03/2019

Nepotismo: más allá del sector publico

Si bien el nepotismo está asociado al sector púbico, puede de alguna manera simplificar con una palabra la acción de favorecer a amigos o familiares para su contratación en la empresa independientemente de si es la mejor opción o no.

En muchos casos se dice que vale más un empleado LEAL que uno COMPETITIVO. Al final podrás estar desarrollando un competidor desleal que después de haber aprovechado el apoyo empresarial, pasa al frente y se convierte en un enemigo modalidad Examigo.

Hay muchas formas de ver este problema, pero vamos a hacerlo desde el enfoque del RIESGO y Prevención del FRAUDE.

Si el grupo empresarial está conformado por el amigo, familiar, camarada puede ser muy bueno, pero DEBE convivir con el RIESGO de la falta de control independiente. Entonces si estamos en el momento de la prevención o detección debemos considerar este aspecto para el sistema anti fraude.

Fundamente esta opinión en más de 20 años de experiencia investigando fraudes en entornos empresariales tanto públicos como privados. Es decir, más allá del marco teórico, he podido comprobar el efecto negativo que tiene en la empresa este NEPOTISMO PRIVADO.

Sin duda alguna los acontecimientos de corrupción y fraude empresarial que están adornando nuestros periódicos de forma casi muy frecuente y constante, nos demuestran la necesidad de cambiar los enfoques de control y seguridad.

En temas de control existe una frase muy trillada “SEGREGACIÓN DE FUNCIONES QUE PRIVILEGIE LA OPOSICIÓN DE INTERESES”. Puede que la segregación exista, pero esta distribuida en grupos humanos muy cohesionados por diferentes motivos. Entonces la capacidad de CONTROL se diluye en ese marco de tolerancia por la característica del grupo.

Las características de grupo que generalmente son analizadas en investigaciones de fraude son: Vínculos familiares y sociales. Los primeros son muy claros, únicamente deben ser extensivos por línea materna y paterna, conyugue y esposa. Los vínculos sociales pueden ser enraizados o laterales.

Los vínculos enraizados vienen por amistad y compañerismo de Colegio, como 12 años de amistad que pueden ser mas fuertes que los vínculos familiares inclusive. Después vienen vínculos de Universidad, unos 5 a 7 dependiendo las carreras. Vínculos laborales donde tendrá relevancia la cantidad de años.

Las RRSS nos ayudan a establecer Redes Familiares

En menor grado si tomamos en cuenta cantidad de años, pero en mayor grado de cohesión si tomamos los eventos están los vínculos de fraternidad, comparsa, logia, club, servicio militar, equipo deportivo y similares. Una característica especial generalmente son las reuniones sociales donde existe alcohol, drogas y demás excesos. Se dice que estos eventos llevan las relaciones a niveles de mucha SINCERIDAD y pueden crear vínculos muy fuertes de amistad y en algunos casos ligados inclusive a relaciones íntimas sexuales o mentales.

Por ejemplo, las fraternidades o comparsas que nacieron para el carnaval, se mantienen en contacto todo el año. Ya sea para participar en actos sociales, entradas folclóricas o simplemente confraternizaciones. Estos grupos tiene una raíz de muchos años. Participaron abuelos, padres, hijos y seguro lo harán los nietos.

SUPERVICION INDEPENDIENTE LAXA

Si llevamos estos grupos humanos a la EMPRESA y esperamos que se apliquen controles y supervisión independiente, podemos pensar que estamos ARANDO EN LA PLAYA DEL MAR.

Puede ser que en la empresa exista cierta jerarquía, cierto orden, pero en la vida social o familiar puede ser distinto. Difícilmente se podrá imponer un control independiente si los nexos humanos son mas fuertes que las normas de control.

EL ROL DE LAS REDES SOCIALES:

Si pensamos en sociedades secretas, difícilmente podríamos llegar a conocer ese potencial RIESGO en los grupos humanos con tendencia a vulnerar los controles. Pero hoy en día las REDES SOCIALES y la transformación digital tanto de las empresas como de los individuos que va muy ligado a su edad, permite conocer mediante la vinculación manual o automatizada esos vínculos sociales que sin animo de decir algo negativo, nos permitirían desarrollar controles mas rigurosos cuando las relaciones pueden ser muy fuertes.

Por ejemplo, más allá de la simple red social, están las teorías de GRAFOS: Teoría de los 6 grados de separación de Milgran, así mismo herramientas forenses y de investigación de fraudes donde podemos de forma grafica establecer esos nexos sociales.

La información en formato analógico o digital existe. ¡¡Hay que explotarla!!

CONCLUSIÓN

Por naturaleza el hombre es un animal GREGARIO, busca a sus semejantes para hacer grupo y potenciar sus debilidades con la fortaleza que el grupo le pueda dar. Entonces no vamos a indicar que tener amigos, camaradas, comparseros, fraternos, u otros sea una característica negativa del grupo en la empresa, sino debe ser una señal de alerta cuando la segregación de funciones está siendo debilitada por esos nexos sociales. La lógica debe ser “A MAYOR NEXO SOCIAL, MAYOR CONTROL”

Recomendamos un video sobre el tema

https://youtu.be/N1jVSklN1JA

TAF 4: Autoinfeccion con Malware

Guido Rosales 22/03/2019

Continuando con la SAGA TAF - Técnicas Anti Forenses, hoy vamos a referirnos a la acción de AUTOINFECCION CON MALWARE.

Se debe entender que MALWARE es un nombre genérico para diferentes tipos de programas maliciosos, es decir, programas construidos para hacer cosas raras, generalmente con desconocimiento del usuario en el dispositivo infectado.

La clasificación de malware es muy amplia, podemos ver algo en la imagen siguiente:

En que consiste la AUTOINFECCION?

Ya sea de manera particular mediante la acumulación de programas maliciosos o descargando ejemplos de estos de manera intencional

Malware detectado, pero no necesariamente eliminado. Puede quedar en estado de cuarentena, pero sigue latente en el computador. Todo dependerá de la acción siguiente a su detección.

Muestra de un sitio web donde uno puede encontrar muestras de malware. Imaginen un laboratorio de bioquímica donde tienen diferentes cepas de virus, pero cualquiera puede acceder a ellos y descargar unos cuantos.

Evidentemente para esto debe ocurrir una de 2 cosas:

  1. El equipo NO tiene antivirus o este esta completamente desactualizado
  2. El usuario desactiva o reconfigura el antivirus para permitir el ingreso de estos programas. Es como retirar al guardia de la puesta para que entren los ladrones.

Al final, el efecto es tener dispositivos tanto de procesamiento como de almacenamiento con varias muestras de virus.

EFECTO ANTIFORENSE

La acción del Malware es muy diversa, desde simplemente existir, robar claves, colocar archivos, acceder a otros equipos, robar datos, etc. Si el sospechosos ha procedido a ejecutar como acto preparatorio esta TAF, entonces cuando su equipo tenga que ser analizado podrá recurrir a la llave MALWARE para eludir responsabilidad. Es decir apelar a la inocencia parcial o toral y decir que algún intruso mediante técnicas de intrusión con malware ha logrado colocar, borrar u otra acción.

Se han dado casos donde los sospechosos han mantenido esta condición pelando luego a la inocencia parcial por hackers o intrusos que hubieran comprometido sus equipos y acciones desde estos mediante el accionar de algún malware.
No vamos a descartar la DUDA RAZONABLE, dado que en algunos casos el usuario infectado puede ceder claves que posteriormente son utilizadas para la comisión de algún delito.
 
Pregunto a los colegas del aea legal Podría darse una figura de inimputabilidad informática?
 
CONDICION DE INIMPUTABLE.
Un sujeto inimputable es aquel que no es responsable penalmente de un ilícito que cometió ya que no está en condiciones de comprender su accionar o las consecuencias de éste.

Podar pedir como punto pericial. la indetificacion de malware en su equipo. Incluso podria tener activado alguno. Ojo. Algo asi como apelar a la demencia temporal.

Por si acaso esta técnica puede ser también defensiva en caso de ver comprometidos sus archivos. Activar un Ransomware, pero estas TAF la veremos en otro capitulo.

Ultima recomendación para los colegas peritos informáticos: El análisis de evidencia digital debe ser realizado en una suerte de SANDBOX o ambiente aislado para mitigar el riesgo de virus.

No se olviden de leer las TAFs ya publicadas:

  1. TAF1: Modificacion de hora y fecha
  2. TAF2: DEFRAGmentacion de disco
  3. TAF3: Borrado seguro

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023