Laura Villafuerte / ELUNIVERSAL.com.mx
El Universal
Viernes 07 de julio de 2006
Cuando se vulnera la seguridad de una página, los sistemas de información mantienen subsistemas que tienen bitácoras con información de todo lo que está pasando en el servidor, explica el especialista en cómputo forense, Andrés Velázquez
10:00 Para identificar a la persona que vulnera la seguridad de una página de internet, es necesario que el administrador de redes revise las bitácoras que se crean en los subsistemas de información, las cuales tienen los datos necesarios para iniciar la investigación, asegura Andrés Velázquez*, especialista en cómputo forense.
Señala que en esas bitácoras debe existir la evidencia de quién está detrás de la violación de seguridad de una página.
“Todos los sistemas y servidores web traen información ya por default, y toda la información de una computadora deja un rastro, que se puede llegar a seguir para identificar una máquina, por medio de su IP y ya esta se puede vincular con una persona”, explica Velázquez.
Además agrega que “el proveedor de internet, aunque no tiene la culpa de que se vulnere la seguridad de una página, sí puede tener información, aparte del administrador del sitio, que si se comparte, puede otorgar elementos a la investigación”.
Velázquez asegura que toda administración de redes cuenta con esta información de las bitácoras, a menos que el mismo administrador lo haya deshabilitado, o bien, que el hacker haya borrado datos, pero en este caso, se puede saber que algo se alteró, fue eliminado o que hay una inconsistencia en la información, lo cual aporta datos a la investigación.
Además aclara que el servidor es completamente propiedad del cliente, y aunque estuviera alojado en las instalaciones del prestador de servicios, la administración y control del servidor sigue estando del lado del cliente, por tanto el administrador trabaja para el cliente, esté o no en sus oficinas y esté contratado o subcontratado.
Por tanto, el administrador puede tener toda la información necesaria para investigar la identidad de quien vulneró la seguridad de una página, la cual puede ser analizada por él mismo o algún especialista.
“Lo que se debe descubrir, para empezar, es la IP, con esto se puede saber de dónde viene la operación. Además, no sólo se trata de tener este dato, sino de revisar método, motivo y oportunidad.... cómo fue que se metió, qué oportunidad tuvo, qué estaba mal”.
Para saber quién está detrás de esa IP, explica, se involucran cuestiones legales, ya que “se tiene que levantar una denuncia o querella ante el Ministerio Público, el cual otorga una orden para que los peritos de la Procuraduría General de la República (PGR) revisen la investigación y soliciten el dato al proveedor de ese servicio, que puede ser Telmex, Avantel, AT&T, entre otros muchos”.
Si la IP se encuentra fuera de México, se tiene que revisar si hay cooperación internacional con el país y seguir los protocolos.
Finalmente, a pregunta expresa, señala que un hackeo puede ocurrir por varias razones, entre ellas que, quien contrata la página, no contrate servicios adicionales, o la página sea mal administrada, no cuente con sistemas de seguridad o no tenga actualizadas sus aplicaciones.
*Andrés Velázquez, es también director general de Evidencia digital, unidad de negocios de Mattica.
lv/pmm
Fuente:
http://www.eluniversal.com.mx/articulos/vi_32889.html
