Continuando con la SAGA TAF – Técnicas Anti Forenses, hoy vamos a referirnos a la acción de AUTOINFECCIÓN CON MALWARE.
Se debe entender que MALWARE es un nombre genérico para diferentes tipos de programas maliciosos, es decir, programas construidos para hacer cosas raras, generalmente con desconocimiento del usuario en el dispositivo infectado.
La clasificación de malware es muy amplia, podemos ver algo en la imagen siguiente:
En qué consiste la AUTOINFECCIÓN?
Ya sea de manera particular mediante la acumulación de programas maliciosos o descargando ejemplos de estos de manera intencional
Malware detectado, pero no necesariamente eliminado. Puede quedar en estado de cuarentena, pero sigue latente en el computador. Todo dependerá de la acción siguiente a su detección.
Muestra de un sitio web donde uno puede encontrar muestras de malware. Imaginen un laboratorio de bioquímica donde tienen diferentes cepas de virus, pero cualquiera puede acceder a ellos y descargar unos cuantos.
Evidentemente para esto debe ocurrir una de 2 cosas:
- El equipo NO tiene antivirus o este esta completamente desactualizado
- El usuario desactiva o reconfigura el antivirus para permitir el ingreso de estos programas. Es como retirar al guardia de la puesta para que entren los ladrones.
Al final, el efecto es tener dispositivos tanto de procesamiento como de almacenamiento con varias muestras de virus.
Efecto antiforense
La acción del Malware es muy diversa, desde simplemente existir, robar claves, colocar archivos, acceder a otros equipos, robar datos, etc. Si el sospechosos ha procedido a ejecutar como acto preparatorio esta TAF, entonces cuando su equipo tenga que ser analizado podrá recurrir a la llave MALWARE para eludir responsabilidad. Es decir apelar a la inocencia parcial o toral y decir que algún intruso mediante técnicas de intrusión con malware ha logrado colocar, borrar u otra acción. Se han dado casos donde los sospechosos han mantenido esta condición pelando luego a la inocencia parcial por hackers o intrusos que hubieran comprometido sus equipos y acciones desde estos mediante el accionar de algún malware. No vamos a descartar la DUDA RAZONABLE, dado que en algunos casos el usuario infectado puede ceder claves que posteriormente son utilizadas para la comisión de algún delito. Pregunto a los colegas del area legal Podría darse una figura de inimputabilidad informática? CONDICION DE INIMPUTABLE. Un sujeto inimputable es aquel que no es responsable penalmente de un ilícito que cometió ya que no está en condiciones de comprender su accionar o las consecuencias de éste.
Poder pedir como punto pericial la indetificacion de malware en su equipo. Incluso podría tener activado alguno. Ojo. Algo asi como apelar a la demencia temporal.
Por si acaso esta técnica puede ser también defensiva en caso de ver comprometidos sus archivos. Activar un Ransomware, pero estas TAF la veremos en otro capitulo.
Ultima recomendación para los colegas peritos informáticos: El análisis de evidencia digital debe ser realizado en una suerte de SANDBOX o ambiente aislado para mitigar el riesgo de virus.
No se olviden de leer las TAFs ya publicadas: