El maletín de los forenses

La actividad de los peritos informáticos crece «exponencialmente» en los últimos años, y añade cada vez más exigencias para respetar la cadena de custodia y la menor intervención posible en los equipos, de forma que las pruebas puedan ser utilizadas sin problemas en los procesos judiciales. Conseguir las herramientas para acceder rápidamente a los dispositivos y extraer la información necesaria sin intervenir en ellos era una de las necesidades que observaban los peritos de Forensic&Security. No las encontraron en el mercado y decidieron crear una empresa dedicada a la investigación y desarrollo de hardware y software en este campo. Así nació Direc Dump, que ha creado un maletín capaz de extraer información de manera rápida y respetando la integridad de los equipos y los datos en múltiples dispositivos y plataformas. El proyecto ha formado parte de la aceleradora del Instituto Nacional de Ciberseguridad (Incibe) Cybersecurity Ventures, y ha sido el ganador de todos los presentados en el reciente Encuentro Internacional de Seguridad de la Información.

Los socios de la empresa, que trabaja además en otros proyectos relacionados con la actividad forense en materia tecnológica, son Pilar Vila Avendaño, CEO de la sociedad, que es ingeniera informática, analista forense y perito judicial informático; Ignacio Díaz Álvarez, CTO, es técnico informático, administrador de sistemas y analista forense y Jaime Vila Avendaño, que desarrolla su actividad como CIO de la compañía y es ingeniero de Telecomunicaciones y perito judicial telemático.  

«Los peritos informáticos verificamos si un correo electrónico ha sido manipulado, mensajes de whatsapp, evidencias digitales de empresas,... Buena parte de nuestro trabajo es para empresas en las que empleados que se van cabreados borran datos, filtran información a la competencia, cambian las contraseñas,... Es necesario encontrar todas las evidencias de esa competencia desleal, y a menudo no afecta sólo a un trabajador, hemos tenido casos en los que incluso se ha ido un departamento concreto. Son muchos ordenadores y hay que extraer las evidencias de forma rápida y sin intervenir los sistemas». Pilar Vela destaca que otro de los grandes ámbitos de su trabajo son los casos en los que las empresas reciben ciberataques. «Hay forenses en los equipos que tienen que dar respuesta a estos incidentes, y su trabajo consiste en hacer una extracción rápida de datos y un informe que permita detectar el problema para plantear la mejor solución».

La ingeniera explica que el producto desarrollado con Direct Dump es «un maletín para peritos y personas que se dedican a la ciberseguridad, que se conecta a los equipos y saca la información de forma rápida, respetando su integridad. Porque no instala nada en los dispositivos». El maletín cuenta con una primera versión funcional, ya puede ser utilizado, aunque aún no se han finalizado sus capacidades.  

El producto es pionero en algunos aspectos vitales. «Hay más maletines para extraer datos, pero es necesario apagar el ordenador, sacar el disco duro, conectarlo a la máquina,... No existe algo que te permita conectarse directamente a un ordenador que no está apagado, sea cual sea su sistema operativo, porque Direct Dump es multiplataforma, y que extraiga la información sin tener que instalar nada».  

El producto permite extraer también la memoria volátil de los equipos, sin tener que instalar ningún programa. Y si el equipo está bloqueado con contraseña, permite saltársela y acceder igual. Otra de sus funcionalidades, que ya está implementada, es que frena los procesos maliciosos cuando los detecta. Es la inyección de código, que identifica y modifica los procesos de este tipo en los equipos.

 

Direct Dump responde «a la necesidad de desarrollar herramientas que no encontrábamos en el mercado, y que son vitales para los problemas que llevamos en periciales. No sólo una forma rápida de acceder a los equipos, sino que, al acudir además casi siempre con notarios, respetara la cadena de custodia. Es decir, que el juzgado pueda tener en cuenta eso como prueba, y no lo rechace por alguna sospecha de manipulación. Para evitar estos problemas desarrollamos un sistema rápido de conectividad que no requiere apagar el equipo y que es independiente de cómo se encuentre éste». Otra de las ventajas es que permite calcular el código hash, «que es como el DNI de los datos, una huella digital que los identifica. El maletín calcula este código con los datos extraídos». Direct Dump utiliza blockchain para garantizar el hash calculado, y cuenta con varios sistemas destinados fundamentalmente a asegurar la cadena de custodia.  

Pilar Vela recuerda que el trabajo de los forenses es cada vez más necesario en el ámbito tecnológico, y no sólo como responsables de aportar pruebas fiables, sino en el campo de la respuesta a incidentes, donde «es necesario ser rápido y responder a los ataques, y para eso es básico detectar qué pasó y cómo pararlo».  

Como demuestran estos tres socios con Direct Dump, las nuevas necesidades son también una oportunidad empresarial. «La demanda de productos forenses es cada vez mayor, lo sabemos porque nosotros mismos necesitamos más herramientas. Además es necesario agilizar los procesos, los casos crecen en gran medida y es necesario dedicar menos tiempo a cada incidente. Por eso desarrollamos herramientas que nos faciliten la vida, que sean rápidos y que permitan judicializar sin problema los asuntos que sea necesario».  

En este proceso Pilar Vela señala que ha sido fundamental el apoyo de la aceleradora del Incibe. «Gracias a esta ayuda le dimos al proyecto un enfoque mucho más forense, dejando al margen otros asuntos de detección de ciberataques y malware. Eso ha hecho que determinadas empresas hayan mostrado ya su interés en el producto, y gracias también a la mediación del Incibe hemos contactado con ellas». Direct Dump no ha cerrado aún negocio, pero ha mantenido varias reuniones. «Ahora sabemos que tenemos muchas más oportunidades de negocio, participar en este proyecto nos ha abierto puertas a las que de otra forma no hubiéramos podido llegar. Ahora se trata de que vayamos cerrando todos esos caminos. Entre los que hemos encontrado también propuestas de colaboración».  

Los peritos destacan en este caso la importancia de formar parte de una aceleradora especializada, «muy centrada en el sector, y que te ayuda a ajustar el enfoque de negocio. Eso es fundamental». Sobre todo en un sector tan específico como el suyo, que aún es difícil de entender por muchas personas.  

Importantes también los 34.000 euros que han conseguido al quedar primeros en la selección de Cybersecurity Ventures. Que se suman al esfuerzo que hacen como empresa. «Seguimos haciendo nuestro trabajo con las periciales, y todo lo que ganamos en esta empresa lo invertimos en investigación en Direct Dump y el resto de los proyectos».