redseguridad 082

38 red seguridad tercer trimestre 2018 forense opinión Carlos Coscollano Senior Manager de BDO Forensic Technology Services garantizar la posibilidad de repetición de los análisis por terceras partes, y demostrar que se obtienen siempre los mismos resultados trabajando con la misma copia de la evidencia. Sin embargo, con la irrupción de nuevos modelos de almacenamiento ( cloud y virtualización), el uso de nuevos dispositivos de usuario (Apps, multimedia e IoT) y los nuevos modelos de seguridad de datos basados en uso de métodos de cifrado, se abre un nuevo paradigma en la identificación, acceso y análisis de las posibles fuentes de evidencia, según dónde se encuentren los datos y, sobre todo, cómo se pueda acceder a ellos. Esto hace que unas fases del modelo de flujo de trabajo cobren más importancia y que se tengan que reorientar los objetivos de cada fase, utilizando nuevas herramientas y métodos de adquisición y tratamiento de la evidencia. Fases y retos Los retos que se abren en cada fase serían los siguientes: X Identificación: aquí será pri- mordial seleccionar la evidencia, en tiempo y forma, y ajustada al escenario de la investigación. Definiendo guías para priorizar la selección de la evidencia a analizar (modelos de triage ) que faciliten una primera identificación de lo importante, y abandonando las prácticas de "copiar todo". Esto implica hacer una revi- sión preliminar al comienzo de la investigación para seleccionar las partes importantes de la poten- cial evidencia. Por ello, será crí- tico contar con un procedimiento de "primera respuesta" ( Digital Evidence First Responders, DFER), y en entornos corporati- vos también unos procedimientos de preparación del acceso a los datos de la evidencia. X Adquisición : habrá casos en los que la evidencia ya no será absoluta (en términos de comple- titud) y no será posible, técnica o metodológicamente, realizar una tradicional imagen completa "bit a bit". En estas situaciones, habrá que utilizar los procedimientos de priorización o triage de la fase de identificación, para determinar qué E l uso de nuevas tecnologías, la proliferación de datos de muy diver- sas fuentes y formatos y, sobre todo, su dispersión en nuevos y diferentes dispositivos o entornos de almace- namiento, así como las nuevas regu- laciones en materia de protección de datos y privacidad, impactan direc- tamente en el modelo tradicional de investigación forense basado en las fases de identificación, adquisi- ción, preservación/custodia, análisis y presentación de resultados. Hasta ahora, la mayor parte de la información electrónica ha residido en los ordenadores de la empresa, PC de usuario y servidores, haciendo que ésta fuera la garante de su preservación y acceso, basado por un lado en unas normas internas de buen uso para los empleados y, por otro, en unos planes de almacenamiento, continuidad y recuperación realizados por los departamentos de Sistemas para asegurar el acceso e integridad de los datos. Esto ha hecho que el modelo de flujo de trabajo del tratamiento de la evidencia electrónica en las investigaciones haya estado centrado en las fases de adquisición y preservación/custodia de la evidencia. Se trataba de preservar en el tiempo el acceso al original de la evidencia o una copia lo más cercana y fiable posible, para Evolución tecnológica y datos: ¿nuevo paradigma para 'forensic digital' y ciberinvestigaciones?