A pesar de que el análisis de memoria volátil genera beneficios importantes dentro de una investigación en cómputo forense, son pocas las organizaciones en México que están implementando este tipo de técnicas, destacó Damián García, especialista en respuesta a Incidentes y Cómputo Forense de UNAM-CERT.
“Son pocas las empresas aquí en nuestro país que se dedican a la informática forense y de ellas se desconoce cuántas realmente aplican este tipo de técnicas para complementar sus averiguaciones. A diferencia de los equipos de seguridad de otros países donde es más común que empleen las herramientas y métodos de análisis de memoria volátil”, informó el experto.
Damián García explicó que al ejecutarse un análisis forense tradicional mucha información se pierde, “cuando ocurre un incidente en el análisis forense tradicional se procede a apagar los sistemas, se toma una imagen del equipo y después se analiza para tratar de identificar qué fue lo que ocurrió”.
Sin embargo, dijo el especialista de la UNAM-CERT, cuando se lleva a cabo dicho procedimiento hay mucha información volátil que se pierde, pero si se utilizan las técnicas de memoria volátil los datos se recuperan y luego se analizan. Es posible encontrar los procesos que estaban en ejecución en ese momento, también conexiones de red, archivos abiertos, contraseñas en texto clave especialmente cuando se utilizan herramientas para acceder a la información.
García opinó que en algún punto los investigadores se dieron cuenta de que la memoria RAM tenía mucha información útil y el paradigma cambió; no obstante, es posible que algunos especialistas de seguridad no estén conscientes todavía de la importancia de analizar la memoria volátil. “Entonces utilizar estos métodos de análisis dentro de las investigaciones que ya se vienen realizando le da un valor adicional a la capacidad del analista para poder determinar qué fue lo que ocurrió en un sistema”.
El experto informó que en los últimos años, la comunidad se ha puesto a desarrollar herramientas para poder aplicar este tipo de análisis. Aclaró: “cuando tu recuperas la memoria volátil de un sistema lo que rescatas es información en crudo, no tiene ningún formato. Entonces los especialistas empezaron a desarrollar herramientas que son capaces de encontrar ciertas estructuras de datos para poder extraer la información precisa relacionada a procesos en ejecución”.
Es importante mencionar que la UNAM-CERT no tiene estas herramientas, pero sí las metodologías para poder aplicar los procedimientos necesarios para realizar este análisis de memoria volátil. “Las herramientas ya desarrolladas son de acceso libre, lo que nosotros hacemos es tomarlas, estudiarlas e implementar las metodologías en investigaciones reales”, finalizó Damián García.
-Mireya Cortés
