Ciberseguridad: en el centro de la investigación digital

Este experto revela las cuestiones, los métodos y las herramientas que intervienen en este apasionante campo y en constante evolución. Desde el concepto de respuesta a incidentes hasta la búsqueda de pruebas y la supervisión constante, Alain Menelet levanta un poco el velo sobre esta práctica, pero también sobre su carrera y su experiencia como escritor.

ENI: ¿Qué es exactamente la investigación digital?

Alain Menelet: La investigación, ya sea digital o no, consiste en apoyarse en un conjunto de metodologías científicas con el objetivo de obtener una comprensión factual de lo que ocurrió y de las acciones que condujeron al incidente observado. La recogida, la conservación y el análisis de las pruebas desempeñan un papel central en este enfoque, desde el momento en que se recogen hasta el momento en que se utilizan, respetando las limitaciones de integridad. Resulta especialmente fascinante desentrañar las acciones del atacante y organizarlas cronológicamente.

Se inscribe naturalmente en un proceso más global, el de la respuesta a incidentes. La respuesta a incidentes se ocupa de cuestiones más amplias, como la gestión de crisis y la reanudación de la actividad. Mientras que la prioridad de la investigación digital es comprender lo que ha ocurrido y tomarse el tiempo necesario para responder a las hipótesis planteadas, la respuesta a incidentes tiene sobre todo limitaciones financieras, por lo que no conviene perder demasiado tiempo.

ENI: ¿Qué tipo de acontecimientos o contextos intervienen en la investigación digital? ¿Es una reacción a los acontecimientos o a veces una anticipación?

Alain: Muy buena pregunta. Para responder a la segunda parte de su pregunta, tenemos que volver a la respuesta a incidentes, que puede ser de varios tipos.

Puede ser de carácter preventivo. Es decir, se trata de tomar una serie de muestras iniciales para poder comparar nuestras referencias con el estado del sistema durante un incidente de seguridad, garantizando así la posibilidad de realizar un análisis comparativo. La ventaja de este enfoque es que mejora la comprensión del sistema de información para el equipo de respuesta a incidentes. Sin embargo, se enfrenta a una serie de limitaciones, en particular el seguimiento de los cambios en el sistema en el que se tomaron las muestras. Si no se toman muestras tras las actualizaciones o mejoras del sistema, nuestras referencias quedan obsoletas.

El otro caso es la respuesta a un incidente de seguridad. El CSIRT (Computer Security Incident Response Team) desplegará entonces sus equipos para llevar a cabo una respuesta al incidente y una investigación digital. Este es el enfoque que se detalla en el libro. Cabe señalar que muchas herramientas son comunes a estos dos enfoques.

Volviendo a la primera parte de su pregunta, una investigación digital se lleva a cabo tras un incidente de seguridad o como parte de una investigación más amplia. Para ilustrarlo, tenemos, por ejemplo, la intervención de seguimiento de un ataque informático a una PYME con cifrado de datos o el análisis de un teléfono móvil incautado en el marco de un registro.

ENI: Conciliar teoría y práctica en un libro sobre este tema es muy raro...

Alain: Partí de una observación. En informática y ciberseguridad en sentido amplio, creo que es esencial mantener una vigilancia constante. No nos queda más remedio. Afortunadamente, disponemos de tantos vectores de conocimiento que ya no es posible NO saber. Por otra parte, cada vez es más difícil estar seguro de la exactitud y pertinencia de los datos en esta masa de información.

En mi opinión, faltan libros sobre este tema. Resulta paradójico, si se tiene en cuenta la importancia y abarque del idioma inglés, ya que existe abundante bibliografía sobre este tema en ese idioma. Tras haber tenido la oportunidad de impartir clases de informática forense en diversos contextos, me pareció que había una carencia de explicación en este campo, de ahí la intención de escribir este libro.

ENI: Hablaba de la necesidad de mantener la vigilancia, pero ¿significa eso que hay que actualizar constantemente la práctica?

Alain: Sí y no. Es importante comprender el modus operandi del enemigo, tanto ofensiva como defensivamente. Los atacantes intentarán reducir sus rastros al mínimo, así que hay que entender las herramientas y acciones que utilizan para saber dónde buscar. Esto también significa desarrollar herramientas de detección basadas en los elementos ofensivos utilizados. ¡Un auténtico juego del gato y el ratón!

Un punto importante es el dominio por parte del analista de sus herramientas y, en particular, su inocuidad (…) El análisis forense digital han evolucionado mucho en los últimos años, sobre todo con la democratización de las soluciones en la nube. Esto trae consigo un nuevo campo de juego, nuevas herramientas y nueva legislación (…)

ENI: Entonces, ¿vamos a tener que reinventarnos?

Alain: Eso es coherente con la noción de vigilancia constante y la necesidad de estar siempre alerta para conocer las herramientas y metodologías utilizadas por los atacantes, así como las doctrinas y la evolución en términos de normativas y procedimientos legales.

ENI: ¿Qué trayectoria profesional le llevó a este campo de la investigación digital y qué consejos daría para seguir este camino?

Alain: En mi opinión, antes de trabajar en ciberdefensa, hay que tener formación en informática. Puede sonar extraño, pero tengo la sensación de que a menudo se pasa por alto. Este campo abarca tantas áreas de TI (redes, sistemas, web, desarrollo, etc.) que es necesario tener una base sólida.

Como ingeniero informático, sigo confiando en el nivel de las escuelas de ingeniería y en su capacidad para afrontar los retos del mañana. Tras completar este tipo de formación, hay muchas oportunidades, tanto en un SOC (Centro de Operaciones de Seguridad) como en un equipo CSIRT. Y lo más importante, pasión.

Alain MENELET ha sido responsable de equipos de respuesta a incidentes en el Ministerio de las Fuerzas Armadas francés, así como director de proyecto de un SOC, lo que le da una visión global de los procesos que rigen la detección y respuesta a un ciber-incidente. También es autor de numerosos artículos e imparte clases de análisis forense digital, estrategias de detección de SOC y análisis de malware. Actualmente dirige el centro de excelencia de ciberdefensa en el sector aeroespacial de la Academia Francesa de las Fuerzas Aéreas y Espaciales, y ha volcado toda su experiencia en este libro sobre análisis forense digital en los entornos Microsoft Windows y GNU/Linux.

La seguridad informática es un desafío crucial para empresas y particulares. Implementar medidas para reforzar la seguridad digital, así como prácticas de hacking ético es esencial para prevenir y detectar ataques. Para conocer más sobre este tema, conoce un poco de nuestro contenido en español :