¿Qué es el triaje forense? Se trata de un concepto que habitualmente no aparece en las conversaciones ni en las tertulias. El término procede de la palabra francesa ‘trier’, que significa escoger, separar o clasificar. Su origen se remonta a los tiempos de las guerras napoleónicas. Al final de un día duro de batalla, se realizaba una evaluación de soldados heridos y fallecidos. El objetivo consistía en comprobar cuántas de estas personas eran operativas para poder seguir combatiendo. En la actualidad, se utiliza para la clasificación o priorización de la atención urgente de pacientes. Y forense, en fin, alude a un médico adscrito a un juzgado de instrucción para realizar prácticas periciales propias de la medicina legal.
Pero el triaje forense a nivel informático no tiene nada que ver con heridos ni con series de televisión. Se trata de las técnicas de localización, adquisición y análisis que realizan las Fuerzas y Cuerpos de Seguridad del Estado sobre cualquier tipo de dispositivo en una empresa o en un domicilio, en el marco de una investigación. El propósito es obtener la máxima información relativa una persona o entidad.
Las jornadas STIC CCN-CERT / Ciberdefensa ESPDEF-CERT acogieron la ponencia del capitán Juan Luis Barrios Dolader, titulada Triaje, el primer paso de la investigación forense. Barrios es jefe del Grupo de Intervención Tecnológica del Departamento contra el Cibercrimen de la Guardia Civil, durante los 4 últimos años.
El experto, ingeniero informático en posesión de un máster en seguridad informática, describió la necesidad de realizar un triaje forense, durante la entrada y registro en un domicilio, para la adquisición de evidencias digitales que contribuyan de cerrar una investigación criminal. Además detalló las características del proceso.
Objetivos del triaje forense informático
El objetivo como unidad operativa es “conseguir información para atestiguar y validar la investigación previa y que el juez pueda verificar los posibles delitos”, explica. El Grupo de Intervención Tecnológica del Departamento contra el Cibercrimen de la Guardia Civil se divide en dos partes: una, que realiza apoyo técnico en las investigaciones, y otra, que proporciona las infraestructuras necesarias para acceder a la información.
“En un primer momento, debemos asegurarnos de que la información que hemos recogido sea accesible para cuando la llevemos al laboratorio a realizar análisis más exhaustivo. También tenemos que cerciorarnos de que las evidencias no son ni alteradas ni modificadas en absoluto, porque eso desvirtuaría la evidencia”, señala.
¿Cómo es el proceso?
Cuando se accede a una ubicación donde se sabe que hay dispositivos cifrados, lo que interesa en el triaje forense es la adquisición en caliente de los dispositivos. Se trata de seguir el orden de volatilidad, primero la memoria RAM, y luego todos aquellos registros que sean susceptibles de realizarse sin necesidad de modificar nada.
Otra de las actuaciones se basa en la obtención de contraseñas, aunque sean en sistemas de almacenamiento remotos. Esta investigación también se realiza sobre dispositivos externos, como pendrives, discos duros, DVDs o CDs. La actuación es sobre equipos encendidos y apagados.
¿Cuáles son los riesgos?
Afirma Barrios que “cuando accedemos a un dispositivo, pinchamos un pendrive o un disco duro, y ejecutamos sobre memoria, sobre herramientas, ya estamos modificando, alterando lo que es la evidencia”. “Para eso es necesario que el personal que va a realizarlo esté perfectamente cualificado”, añade. ¿Qué no se puede llevar al laboratorio? Obviamente, no se pueden analizar en el Departamento los servidores físicos. Entonces se accede a la máquina virtual y se coge el contenido completo que se encuentre en esos servidores.
Mandamiento judicial
La investigación tecnológica ha de ser autorizada por un juez, que detalla cuándo se puede realizar y en qué consistirá el registro. “Siempre vamos acompañados —comenta el capitán— del letrado de la Administración de Justicia, que en todo momento da fe de las operaciones que estamos realizando sobre evidencias electrónicas”. Los correos electrónicos corporativos presentan un problema, porque son datos protegidos. Para poder acceder se precisa previamente que dentro del mandamiento judicial se permita acceder a esa cuenta exclusiva en unas fechas determinadas.
La mayoría del triaje se realiza sobre el sistema operativo Windows. Los pasos que se deben seguir son: saber cómo obtener la información, conocer cuál es la información que se necesita y cuál es la metodología de acceso que se va a usar, y cuál es la tipología de la extracción. “Cuando hacemos una entrada y registro, antes hemos catalogado el tipo de delito sobre el que estamos investigando. No es lo mismo un delito económico que un delito relativo a la explotación sexual infantil”, relata Barrios.
Existen varias fórmulas para obtener la información: a través de la ejecución de algún software de extracción (hay herramientas gratuitas), generar un script y programar. Dentro del sistema Windows, el investigador intentará el acceso a todos aquellos registros que puedan dar información, tipo de sistema, conexiones de red y a los distintos puertos, procesos, eventos del sistema… Es imprescindible revisar la papelera de reciclaje. Y las comunicaciones, WhatsApp, Telegram. De las conversaciones se debe solicitar un clonado.