Skip to main content
Blog

Principales desafíos del análisis forense digital en entornos cloud

By 13. Februar 2025No Comments
By Jael Báez, Cybersecurity Consultant

El análisis forense digital ha sido utilizado bajo diferentes contextos para la investigación de incidentes y en el ámbito legal. En la ciberseguridad, permite detectar ataques y recopilar evidencia digital con el fin de comprender y mitigar amenazas. Por el ámbito legal, se emplea como apoyo en investigaciones donde los dispositivos fueron utilizados como medio para cometer ilícitos, como en casos de fraude, filtración de información, acoso digital, entre otros. Sin embargo, con la evolución de la tecnología y el crecimiento de la infraestructura en la nube, el enfoque forense se ha adaptado a estas nuevas tendencias.

El forense tradicional y el forense en la nube desempeñan roles fundamentales en la respuesta a incidentes, pero su enfoque es distinto, al igual que sus metodologías según los entornos en los que operan.

En el forense digital tradicional el enfoque de la investigación se realiza directamente sobre dispositivos físicos, en donde se tiene el acceso directo a la evidencia. En cambio, el forense en la nube se basa en un enfoque diferente, ya que la evidencia no se encuentra en dispositivos físicos, sino que en servidores de proveedores en la nube como Amazon Web Services (AWS), Microsoft Azure o Google Cloud Platform (GCP).

A pesar de estas diferencias entre el forense tradicional y el forense en la nube, ambos enfoques comparten similitudes. En ambos casos, implica reconstruir los hechos que llevaron al incidente con base en la evidencia digital, lo que puede incluir volcado de memoria, logs, tráfico de red y archivos de sistemas. Para ello, se aplican técnicas de análisis de estructura de archivos, metadatos, marcas de tiempo y de memoria con el fin de reconstruir la línea de tiempo del incidente, alcance y causa raíz. La diferencia entre estos puntos recae en que, en entornos tradicionales, la evidencia digital suele almacenarse en copias en otros discos, sin embargo, en entornos cloud, se utiliza el almacenamiento en la nube para guardar la evidencia, independientemente del proveedor de servicio en la nube. Si existe la sospecha de que el entorno haya sido comprometido, se recomienda almacenar la evidencia de manera offline para su posterior análisis y evitar la alteración de datos.

El forense en la nube introduce una serie de desafíos adicionales y, aunque sigue los mismos principios que el forense tradicional, requiere técnicas y adaptarse a la infraestructura. Algunos de los principales desafíos basados en el manejo de evidencia digital se exponen en el siguiente cuadro comparativo.

Etapa
Forense tradicional
Forense cloud
Identificación

 

 Implica analizar dispositivos físicos como computadores, servidores y dispositivos móviles, dar prioridad a las evidencias en función de su volatilidad, minimizar el riesgo de alteración o daños a los datos digitales e identificar evidencia oculta. Además de sumarse estos principios, se centra en entornos virtualizados y distribuidos o según sea el modelo del servicio cloud utilizado. Por ejemplo, en infraestructura como servicio (IaaS) se identifican los logs del hipervisor, snapshots, RAM, entre otros. El foco de software como servicio (SaaS) está en los logs a nivel de aplicación, proporcionando información sobre la actividad del usuario y otros eventos relevantes. En el modelo de plataforma como servicio (PaaS) se identifican prioritariamente los logs de aplicación especialmente por API, estado de los parches, errores de autenticación, etc.

 
Recopilación En el forense tradicional, la recopilación corresponde a un proceso donde los dispositivos que contienen evidencia digital se retiran de su ubicación original y se llevan a un entorno controlado para su adquisición y análisis. En la nube suele priorizarse la adquisición por sobre la recopilación, esto es debido a que los datos pueden estar distribuidos en múltiples ubicaciones y no se tiene acceso físico a los servidores en la nube donde se encuentran los datos, por lo que la recopilación solamente podría ser realizada por el CSP (Cloud Service Provider).
Adquisición La adquisición se lleva a cabo realizando una imagen forense de la evidencia digital. Todos los componentes físicos como discos duros, RAM, etc., son elementos lógicos, por lo que la adquisición debe centrarse en estos elementos lógicos en lugar de utilizar los físicos donde residen.
Preservación Implica garantizar la integridad mediante técnicas como verificación por medio de hashing y el uso de medios protegidos contra escritura para evitar modificaciones no autorizadas. Además, se establecen medidas físicas de seguridad, como el acceso restringido a los dispositivos y el uso de contenedores sellados La cadena de custodia se documenta para asegurar la trazabilidad y custodia de la evidencia digital. Aunque los principios de preservación son los mismos en entornos cloud, existen desafíos adicionales. La repetibilidad y la reproducibilidad son difíciles de garantizar debido a su dinámica, lo que pone en duda la validez de la evidencia. Para mitigar esto, se recomienda el uso de snapshots. Si bien cada snapshot puede capturar un estado ligeramente diferente, la documentación puede garantizar la identidad, ubicación y tiempo de la captura. La integridad se puede mantener mediante hashing y la cadena de custodia indicando detalles como la fecha, hora, el lugar y la persona de cada acción y evento relacionado a la evidencia.

Si bien el forense tradicional y en la nube comparten los principios en cuanto a las etapas del proceso forense digital, el forense en la nube contiene complejidades adicionales. Para ello, los proveedores de servicios cloud ofrecen amplias capacidades de registro y auditoría, proporcionando información detallada sobre la actividad del sistema. Sin embargo, puede considerarse complejo y tener un costo adicional, ya sea por volumen de logs o herramientas. Además, las herramientas tradicionales forenses pueden no ser completamente aplicables en entornos en la nube debido a las diferencias en la arquitectura y la necesidad de herramientas especializadas.

Es importante considerar que las configuraciones incorrectas en entornos cloud representan un riesgo y son una de las principales causas de brechas de seguridad. Estos descuidos otorgan a los actores de amenazas acceso no autorizado o información que les permite avanzar en sus intrusiones. A continuación, se presentan algunos errores comunes en la configuración de servicios en la nube y algunos de sus posibles indicadores para encontrar la evidencia durante un análisis forense.

Error común
Descripción
Indicador a nivel host (Windows)
Indicador a nivel de CSP

Puertos abiertos

 

 Dejar puertos abiertos innecesarios o no utilizados amplía la superficie de ataque si un atacante explota estos puertos identificando vulnerabilidades.
  • Windows Event ID 5156: puede monitorearse para detectar conexiones de red permitidas.
  • Windows Event ID 5157: puede alertar sobre intentos de conexión bloqueados.
  • AWS / GCP: los flow logs de VPC pueden ser utilizados para observar el tráfico que llega a la máquina virtual.
  • Azure: los flow logs de NSG pueden ofrecer información sobre el tráfico de red dirigido a las máquinas virtuales.

Software desactualizado o sin parches

 Actualizar y aplicar parches regularmente al software y los sistemas operativos es una práctica de seguridad fundamental. Con el tiempo, se descubren vulnerabilidades en el software y se publican parches para solucionarlas. Ejecutar software desactualizado o sin parches expone el dispositivo a vulnerabilidades conocidas, creando oportunidades de explotación por parte de atacantes.
  • ID de evento 4375 de Windows (Windows Installer actualizó un producto instalado) puede proporcionar información sobre la instalación de parches y actualizaciones de software.
  • Inventarios de software y/o análisis de vulnerabilidades mediante herramientas como Nessus.
  • AWS: la herramienta Patch Manager de AWS Systems Manager, permite la aplicación automatizada de parches basada en políticas predefinidas.
  • Azure: Azure Security Center destaca máquinas virtuales sin parches y recomienda actualizaciones de seguridad relevantes.

 

  • GCP: el servicio de administración de parches del sistema operativo de GCP permite programar y automatizar la implementación de parches en instancias de máquinas virtuales en Google Cloud.

Exposición de información confidencial

 La exposición de datos es considerada crítica, especialmente cuando se trata de información sensible o personal. Ya sea por controles de acceso incorrectos, descuidos o configuraciones mal establecidas, la exposición pública de datos sensibles puede provocar filtración de datos, daños a la reputación y posibles sanciones regulatorias.
  • ID de evento 4663 (se intentó acceder a un objeto) puede monitorearse para detectar intentos de acceso inusuales o inesperados a archivos sensibles.
  • Registros de aplicaciones a nivel del software.
  • AWS: Amazon Macie ayuda a descubrir, clasificar y proteger datos sensibles en AWS S3.
  • Azure: el monitoreo del almacenamiento de Azure a través de Azure Monitor permite analizar solicitudes a los recursos de almacenamiento, asegurando que solo se realicen accesos autorizados.
  • GCP: el conjunto de servicios de protección de datos sensibles de GCP ayuda a descubrir y clasificar datos sensibles en los servicios de GCP. Google Cloud Storage también ofrece registros detallados y capacidades de monitoreo a través de Cloud Audit Logs.

Almacenamiento mal configurado

 Los buckets de almacenamiento mal configurados se han convertido en una vulnerabilidad significativa en los entornos en la nube. Soluciones como Amazon S3 o Azure Blob Storage pueden volverse accesibles al público por error, exponiendo datos sensibles.
No aplica
  • AWS: en la consola de Amazon S3 se debe verificar si algún bucket está etiquetado como «público». Si es el caso, puede haber una exposición.
  • Azure: en el portal de Azure, se debe revisar la propiedad Public Access Level de cada contenedor de Blob Storage.

Uso incorrecto de políticas IAM

 IAM controla quién o qué puede realizar acciones en recursos específicos. Las configuraciones incorrectas pueden otorgar acceso a más usuarios o roles que necesario.
No aplica
  • AWS: revisar las políticas IAM adjuntas a usuarios, grupos y roles.
  • Azure: revisar las asignaciones de control de acceso basado en roles (RBAC).

El análisis forense en entornos cloud enfrenta múltiples desafíos debido a su naturaleza dinámica, distribuida y virtualizada. Además, dado que la evidencia es volátil, es necesario contar con mecanismos de monitoreo continuo, registros de actividad detallados y estrategias de adquisición de evidencia forense que permitan reconstruir eventos de manera confiable. En este sentido, la capacidad de análisis forense en la nube depende de la preparación previa, del uso de herramientas adecuadas y de la implementación de buenas prácticas, para asegurar que la evidencia digital pueda ser manipulada de forma efectiva ante un incidente de seguridad.