Análisis forense en cloud: ¿qué es y en qué consiste?
El análisis forense en cloud, o cloud forensics, se refiere a las investigaciones centradas en los delitos que se producen principalmente en este entorno. Esto incluye y cubre todos los tipos de ciberataques conocidos, como las violaciones de datos o los robos de identidad. La buena aplicación de estas técnicas forenses proporciona protección al propietario de la información y un mayor nivel de confianza y seguridad de cara al futuro.
Es un concepto que se puede asimilar perfectamente con la informática forense, que se refiere al conjunto de procedimientos y técnicas metodológicas que permiten la identificación, recolección, preservación, interpretación y documentación (entre otras tareas) de evidencias en el equipamiento informático cuando se produce un delito.
La informática forense ayuda a los investigadores a asegurar la integridad y la disponibilidad de las infraestructuras; obtener evidencias de cibercrimen; asegurar la protección de los datos y el cumplimiento; ayudar en la protección de los crímenes online; minimizar las pérdidas que sufren las organizaciones cuando sucede un incidente de seguridad y mucho más.
La evolución del análisis forense en los servicios IT
La ciencia forense digital tradicional está ampliamente aceptada como una de las mejores herramientas para resolver ciberdelitos. Gracias a estas técnicas, es posible reunir pruebas de software y datos, entre otras cosas, que contribuyen a la localización de los ciberdelincuentes, o bien a esclarecer los hechos asociados a un delito.
Las pruebas que se encuentran tras los diferentes análisis pueden utilizarse en un juicio, siempre que estemos dentro de la misma jurisdicción. Este punto es, quizás, el que implica mayores diferencias entre la ciencia forense digital tradicional y cloud forensics.
En este último caso, la búsqueda de pruebas es más compleja porque puede ser más complicado delimitar bien quién es el propietario de las pruebas o en qué tribunal son admisibles. Cómo es posible que los datos se almacenen fuera de las instalaciones de las empresas y que, además, estos datos puedan estar distribuidos en diferentes lugares o en un servidor propiedad de un tercero, podemos encontrarnos con barreras legales que dificulten la investigación.
Dependiendo del tipo de servicio en el cloud, así serán las dificultades a la hora de aplicar cloud forensics, siempre asociadas al responsable último de la gestión de los datos y el software:
- En el caso del SaaS, o software como servicio, tanto el software como los datos están alojados permanentemente en la nube. El usuario accede a las aplicaciones directamente en la nube, por lo que será el proveedor de servicio quien será el responsable de gestionar tanto ese software como los datos asociados y generados por él.
- Si hablamos de PaaS, plataforma como servicio, es el propietario de la plataforma quien es responsable de los datos y las aplicaciones que contiene, aunque no lo es en referencia al almacenamiento, la red, los servidores o el sistema operativo.
- En cuanto a IaaS, o infraestructura como servicio, la infraestructura se aloja en un proveedor de nube externo. Ese proveedor es el propietario de la red y del almacenamiento, pero el desarrollador del servicio final es en parte responsable de la integridad de los datos, el middleware, las aplicaciones y el sistema operativo.
Otra gran diferencia entre ambas disciplinas es que, en la tradicional, el entorno se congela mientras los activos se confiscan para el análisis. En el cloud no es tan sencillo porque en el momento del análisis, la plataforma observada no es estable. Existen muchos otros procesos y otros usuarios que están utilizando el mismo hardware y recursos que pretendemos analizar.
El trabajo de análisis será, como nos podemos imaginar a estas alturas, dentro de la jurisdicción física donde está ese servidor. Si está en otro país, todo dependerá de la legislación local. Con todo, existen medios para el rastreo de los datos como, entre otros, los de facturación, registros de operaciones y otros datos que pueden tener almacenados los proveedores de la nube, y que pueden ser decisivos para el desarrollo de las investigaciones.
En definitiva, el análisis forense en el cloud es una evolución de la informática forense tradicional que se enfrenta a nuevos retos, pero que, en el fondo, es muy necesaria de cara a mantener mayores niveles de seguridad en la nube, así como herramienta de defensa ante los ciberataques.