Javier Martín Porras es director técnico en el Laboratorio Pericial Forense, además de presidente de la Asociación Española de Peritos Judiciales, Criminalistas y Forenses. En Eserp Business & Law School ha estado para ofrecer una Masterclass sobre ‘Informática forense y extracción de móviles’.
Gracias a su amplía y dilatada trayectoria profesional pudo exponer a los alumnos temas relacionados con la informática forense, como son: la extracción forense de dispositivos electrónicos (móviles, PC, drones, tablets), la extracción avanzada de móviles destruidos o inservibles, la gestión efectiva de la cadena de custodia y la aportación válida de prueba digital. De todos estos elementos que integran la informática forense, hablamos con él en profundidad en esta entrevista.
– Para comenzar, ¿qué es la informática forense?
La informática forense se encarga, a través de una serie de procedimientos metodológicos, de investigar, examinar, preservar y, sobre todo, analizar una serie de evidencias delictivas digitales que, más tarde, serán objeto de prueba en un procedimiento judicial. No obstante, siendo esta función la más significativa de la informática forense, existen otras funciones que también se consideran importantes como la seguridad de la red respecto a un ataque cibernético o incluso la intervención contra el mal uso de la propiedad intelectual. Es por ello, que aquella persona que se ocupe de indagar en una evidencia delictiva requerirá de un alto conocimiento técnico para cumplir con el objetivo.
– ¿Qué datos puede extraer una herramienta forense?
En primer lugar, es necesario indicar que una herramienta forense está en constante evolución. Las herramientas son actualizadas cada determinado tiempo para ofrecer datos cada vez más transparentes.
De esta forma, dichas herramientas nos permiten: examinar archivos sobre discos duros y unidades de red, obtener datos acerca del hash de un determinado archivo, extraer información acerca de tomas de red, procesos en ejecución, memoria del dispositivo, etc. Dependiendo de la necesidad de cada caso, se obtendrá unos datos u otros.
– ¿Cuáles son los niveles de extracción forense en un teléfono móvil?
Haciendo referencia a los tipos de niveles que pueden existir en una extracción forense en relación, a un teléfono móvil, dependiendo de cuál sea la información que se quiere obtener, podremos seleccionar un nivel u otro.
El primer nivel, conocido comúnmente como “extracción física”, se fundamenta en la realización de un duplicado del dispositivo original en busca, por ejemplo, de espacios vacíos o aquellos elementos que han podido ser eliminados o dañados, actuando sobre el almacenamiento interno o externo.
El segundo nivel es vinculado como “extracción lógica”, en el que no se extrae toda la información del teléfono, solamente aquella que se relaciona con datos palpables, es decir, aquellos datos visibles, no se tiene acceso a los archivos que se encuentren encriptados, que en la actualidad es muy común encontrarse con este tipo de archivos.
Por último, podemos señalar un nivel conocido como “extracción manual” a través del cual, se navega a través del propio menú descriptivo del terminal, y posteriormente se graban los datos ya sean por capturas de pantalla o fotografías, obteniendo así una extracción mínima de datos, no se podrán ver los archivos borrados, ni ningún tipo de elemento que no sea el que proporciona la pantalla del dispositivo. Sistema arcaico y actualmente cada vez más en desuso.
Dada esta información, es importante resaltar que el nivel de “extracción física” es el que más se utiliza hoy en día.
No podemos obviar que en dispositivos no funcionales o destruidos existen dos métodos de extracción: el JTAG y el chip off. El análisis por JTAG se basa en conectarse a diferentes puntos de la placa que acceden directamente al chip (memoria) del terminal. Mientras que en el Chip-Off / Micro Read se extrae físicamente el chip NAND que contiene la información de la memoria del dispositivo (Chip-Off) y se lee a través de lectores de NAND (Micro Read). Estos tipos de análisis son los más complicados por tener que extraer físicamente los chips de los terminales.
– Hablando del ámbito empresarial, ¿en qué nivel de madurez sobre seguridad informática se encuentran las empresas? ¿Y el usuario?
Muchas empresas todavía no han interiorizado la importancia de la seguridad informática, consideran que con realizar la formación básica sobre protección de datos y su inclusión en la firma del correo electrónico es suficiente y para nada es así.
Se deben de implementar protocolos adecuados y correctos de seguridad informática, se debe analizar la posibilidad de un ataque y cómo de protegido se está ante él, estructura de back up. gestión de crisis cibernética: fugas de información, ataques tipo phishing, fraude del CEO, ataques contra la página web corporativa, ataques de ransomware, ataques de adware, suplantación de proveedores. Hoy en día, casi el 100% de la gestión empresarial está relacionada con las TIC, se envían constantemente correos electrónicos, se hacen transferencias, se guardan todos nuestros proveedores y clientes estratégicos, se realizan reuniones vía zoom.
Del mismo modo los usuarios se encuentran muy alejados de la seguridad informática, continuamente nos conectamos a redes WiFi públicas sin ser conscientes del riesgo que esto supone, por ejemplo.
– En la sesión impartida en eserp comentabas que la República Popular China y Rusia realizan ataques cibernéticos de manera constante, todos los días. ¿Por qué realizan esto? ¿Cómo se puede saber que están haciendo estos ataques cibernéticos?
Hemos de pensar que el secuestro de información a través del uso de las TIC supone un anonimato casi total del hacker, la posibilidad de atacar desde cualquier punto del planeta, lo que supone un bajo riesgo para el atacante y con un alto nivel de posibilidades de impacto.
Se averigua porque se analiza el origen de los ataques para realizar estadísticas, como, por ejemplo: https://threatmap.bitdefender.com/
– ¿Por qué el análisis informático forense será tan importante en el futuro?
Actualmente, los delitos informáticos han aumentado considerablemente debido al aumento de la tecnología, teniendo en cuenta, además, que la mayoría de los cibercriminales no necesitan poseer grandes habilidades informáticas. Es por esto, que la informática forense, o el análisis forense es muy importante de cara al futuro. Conforme se va actualizando la tecnología, van surgiendo nuevos ciberdelitos y, por ende, nuevas formas de hacer un mal uso de la informática. Delitos como estafas informáticas, virus informáticos, defraudaciones de telecomunicaciones o incluso ciberdelitos contra la intimidad son los casos más sonados. Los ciberdelitos nunca dejarán de existir mientras exista tecnología, por lo que, en un futuro, la informática forense seguirá siendo tan importante.
– ¿Qué opinión te merece que Eserp Business & Law School apueste por este tipo de formación (Grado en Criminología, Doble Grado en Derecho y Criminología y Máster en Ciberdelincuencia y Seguridad Informática) y por Masterclass como la que pudiste impartir en la escuela?
Se debe apostar por este tiempo de formación dada la importancia que, como pudimos ver, tiene todo el sistema TIC en la comisión de los delitos, más allá de los relacionados directamente con la tecnología si no por el uso de la misma para la comisión de acciones ilegales, por lo que habrá que tener en cuenta tanto su prevención, análisis y gestión de crisis.
– Por último, ¿una recomendación para los que quieren empezar a trabajar en este sector?
Como recomendación, diría que estar constantemente actualizándose es muy importante, puesto que, la tecnología avanza de manera exponencial y, por tanto, hay que estar siempre actualizado.
Si te interesa conocer más sobre ciberdelitos, informática y extracción forense, echa un vistazo al Grado en Criminología, al Doble Grado en Derecho y Criminología y al Máster en Ciberdelincuencia y Seguridad Informática que impartimos en ESERP.
