Ciberseguridad
Compendio normativo y técnico de la serie CCN-STIC: Arquitectura de referencia para el peritaje forense y la investigación criminológica en el ciberespacio nacional. Dado que ya existe un amplio volumen de guías editadas, además de analizar novedades y comprender su uso, publicamos una selección comentada de volúmenes relevantes presentes hasta el momento y que como mínimo, consideramos todo profesional interesado debe conocer.
Ha diferencia de como es habitual, las guías no van a ser analizadas desde una visión del profesional del derecho si no a la inversa desde un plano del conocedor técnico, que garantice una mejor orientación teniendo en cuenta esa ausencia inicial de formación digital. Esperamos que de este modo ayudará a su mejor comprensión para los interesados menos doctos en la técnica, como estudiantes, de una manera didáctica y progresiva, sin necesidad de formación externa a los documentos presentados.
El Esquema Nacional de Seguridad como fundamento del peritaje digital
Como ya comentamos anteriormente, a modo de introducción volvemos a recordar que la piedra angular de la ciberseguridad en el sector público español es el Esquema Nacional de Seguridad (ENS), el cual establece los principios básicos y requisitos mínimos para garantizar una protección adecuada de la información. El ENS, regulado por el Real Decreto 311/2022, impone la obligatoriedad de establecer sistemas de detección, reacción y registro de incidentes que sirvan como base para la persecución de conductas fraudulentas y la protección de los intereses nacionales.
La serie 800 de las guías CCN-STIC desarrolla estos preceptos, proporcionando una estructura que permite al analista forense evaluar si un sistema ha sido vulnerado y si los controles de seguridad eran proporcionales a la categoría del sistema (Básica, Media o Alta).
Por tanto para el profesional de la criminología interesado en el campo digital, entender el ENS es fundamental y en especial la serie 800, ya que todo ello define las dimensiones de seguridad (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) que suelen ser el objeto de los delitos digitales.
Guía CCN-STIC-804
Conociendo las medidas
La guía 804 para comenzar, es particularmente relevante al detallar las medidas de implementación del ENS. En ella se describe un modelo de madurez que permite a los investigadores evaluar el estado de seguridad de una organización en el momento de un incidente. Este análisis de madurez es una herramienta analítica poderosa para el criminólogo, pues permite discernir entre un ataque exitoso debido a negligencia institucional o uno perpetrado mediante técnicas de alta sofisticación que superaron defensas robustas.
| Nivel de Madurez (ENS) | Definición Operativa | Implicación Forense y Evidenciaria |
| L0 – Inexistente | No existe proceso documentado o ejecutado. | Evidencia digital altamente volátil y sin garantías. |
| L1 – Inicial | Proceso ad hoc, depende de la competencia individual. | Resultados impredecibles ante emergencias. |
| L2 – Repetible | Planificación mínima, pero basada en intuición. | Cadena de custodia vulnerable a errores humanos. |
| L3 – Definido | Normativa y procedimientos formales establecidos. | Reacción profesional; evidencias recolectadas sistemáticamente. |
| L4 – Gestionado | Proceso medido y controlado cuantitativamente. | Alta confiabilidad en la trazabilidad de los logs. |
| L5 – Optimizado | Mejora continua basada en innovación y métricas. | Sistemas de detección proactiva y forense automatizada. |
El cumplimiento de estos niveles asegura que la organización en cuestión aporte, anualmente, la información necesaria para el informe del estado de la seguridad (INES), lo que permite al CCN consolidar un perfil general de las amenazas que afectan al país.
¿Y para el criminólogo? estos datos deberían ser esenciales para realizar análisis de tendencias y comprender la evolución del modus operandi de los grupos criminales en el territorio nacional.
Guía CCN-STIC 817
Gestión de ciberincidentes y preservación de evidencias
Un incidente de seguridad se define como cualquier evento que desobedece o viola la política de seguridad de un sistema, y su gestión requiere un registro exhaustivo para garantizar la mejora continua y la persecución del delito. Aquí es donde la guía CCN-STIC 817 sobre Gestión de Ciberincidentes es algo así como el manual de operaciones definitivo para la respuesta técnica y legal ante ataques informáticos. Proporciona una taxonomía clara de los incidentes, lo que facilita la comunicación unificada entre los equipos de respuesta a incidentes (CERT/CSIRT) y las autoridades judiciales.
Tipificación y peligrosidad de los incidentes digitales
La guía 817 clasifica los incidentes según su naturaleza y origen, permitiendo al analista forense identificar rápidamente el tipo de peritaje necesario. La peligrosidad se asigna en una escala de cinco valores, fundamentada en las características intrínsecas de la amenaza y su comportamiento. Esta métrica es vital para el criminólogo, pues permite priorizar las investigaciones basándose en la potencial amenaza para los servicios públicos o la soberanía nacional.
| Nivel de Peligrosidad | Clasificación de Impacto | Umbral de Notificación al CCN-CERT |
| Bajo | Impacto muy limitado en activos no críticos. | Gestión interna por el organismo afectado. |
| Medio | Constancia de amenaza con impacto limitado. | Se recomienda seguimiento por el Responsable de Seguridad. |
| Alto | Impacto considerable en confidencialidad o integridad. | Notificación obligatoria si afecta a información crítica. |
| Muy Alto | Amenaza con impacto grave en sistemas críticos del Estado. | Requiere apoyo técnico inmediato del CCN-CERT. |
| Crítico | Afectación total de la misión de la organización o misiones extranjeras. | Nivel de crisis nacional; coordinación del CNI. |
La tipificación detallada en la guía incluye categorías como «Contenido Inadecuado» (pornografía infantil, apología de la violencia), «Fraude» (phishing, suplantación) y «Código Dañino» (malware, ransomware). Para el criminólogo, cada categoría representa un perfil criminal distinto: desde el actor individual motivado por ideologías extremistas hasta organizaciones criminales transnacionales que buscan beneficios económicos mediante la extorsión.
Protocolos técnicos de recolección de pruebas
La investigación forense digital descansa sobre el principio de «mismidad», es decir se refiere a la garantía de la identidad, unicidad e inalterabilidad de una pieza de evidencia digital a lo largo de todo el proceso probatorio, desde su recolección hasta su presentación en un juicio. Quien entiende como funcionan los equipos digitales entenderá las grandes diferencias con una prueba física y su objetivo es demostrar de forma irrefutable que los datos analizados son exactamente los mismos que se obtuvieron originalmente, sin haber sufrido alteración, contaminación o sustitución. (por decirlo de otra manera) .
Aquí es donde la guía 817, apoyada por la instrucción técnica de seguridad correspondiente, estipula que una vez detectado un incidente, la entidad debe recopilar evidencias documentadas y custodiadas con garantías de integridad y autenticidad.
El analista forense debe seguir un orden de volatilidad estricto para evitar la pérdida de información crítica, comenzando por los registros en memoria RAM (drásticamente volátiles), seguidos por el estado de las conexiones de red y finalizando con los datos almacenados en soportes persistentes. El uso de algoritmos de Hash criptográficos, como SHA-256, es obligatorio para generar un identificador único de cada evidencia, asegurando que cualquier manipulación posterior sea detectable.
En esta guía igualmente referirá a los procedimientos documentado que registran quién, cuándo, cómo y por qué ha tenido acceso a la evidencia (cadena de custodia), la imagen forense (Copia bit a bit) o copias exactas o los Bloqueadores de escritura (Write Blockers) que son dispositivos hardware o software que permiten leer la evidencia del dispositivo fuente sin posibilidad de modificar ni un solo bit de la información original
CCN-STIC 425
El ciclo de inteligencia y el análisis de intrusiones
Para el criminólogo, la técnica forense es solo una parte de la ecuación; la otra es la inteligencia criminal. La guía 425 sobre el Ciclo de Inteligencia y Análisis de Intrusiones proporciona el marco conceptual para transformar los datos técnicos en conocimiento estratégico que permita la atribución de los delitos. La ciberinteligencia se define aquí como las actividades de inteligencia destinadas a identificar, localizar y atribuir fuentes de ciberataques, analizando las intenciones y oportunidades de los adversarios.
Entender la metodología del ciclo de inteligencia aplicado a delitos digitales
El proceso se articula en fases secuenciales e interdependientes que permiten una defensa proactiva y una investigación profunda:
- Dirección y Planificación: Se determinan las necesidades de información y se establecen los objetivos de la investigación. ¿Quién es el destinatario de la inteligencia y qué decisiones debe tomar?.
- Obtención y Recolección: Se extrae información de diversas fuentes, incluyendo OSINT (fuentes abiertas), SIGINT (señales y comunicaciones) y HUMINT (fuentes humanas discretas).
- Procesamiento y Explotación: Los datos brutos se limpian, normalizan y decodifican para que sean manejables por los analistas. En esta fase se eliminan duplicados y se validan las fuentes.
- Análisis y Producción: El analista aplica el pensamiento crítico para identificar patrones y tendencias. El resultado es un producto de inteligencia (informe, alerta o resumen ejecutivo) que puede ser descriptivo, predictivo o prescriptivo.
- Difusión: El conocimiento generado se entrega a las partes interesadas de manera oportuna y segura.
- Evaluación: Se mide la eficacia del ciclo y se identifican brechas que requieran nuevos procesos de inteligencia.
El análisis de intrusiones como herramienta de perfilado (La Pirámide del Dolor)
El análisis de intrusiones se presenta en la guía 425 como un método formal que aplica principios científicos para descubrir, comprender y neutralizar las operaciones del atacante. Este enfoque permite al criminólogo estudiar las Tácticas, Técnicas y Procedimientos (TTPs) de un grupo delictivo, lo que es mucho más valioso para la atribución que los indicadores técnicos simples como una dirección IP, que puede ser fácilmente falseada. El uso de la «Pirámide del Dolor» permite entender que al comprometer las TTPs del atacante, se le inflige el mayor daño operativo posible, forzándolo a abandonar la campaña o a incurrir en errores que permitan su identificación.
CCN-STIC 812
Entornos web y vulnerabilidades
Dado que una gran parte de la actividad delictiva digitil ocurre en el entorno web, la guía CCN-STIC 812 sobre Seguridad en Entornos y Aplicaciones Web es de estudio obligado para analistas forenses. Detalla las vulnerabilidades más comunes, como las inyecciones SQL, el Cross-Site Scripting (XSS) y el Remote File Inclusion (RFI), proporcionando las claves para identificar rastros de estos ataques en los registros de auditoría.
Desde una perspectiva forense, la guía recomienda una gestión de logs exhaustiva en todos los niveles de la plataforma: red, firewalls, IDS/IPS, WAF (Web Application Firewall) y bases de datos. Un analista experto puede reconstruir la secuencia de un ataque analizando el identificador de sesión HTTP y utilizando hashes criptográficos para verificar la integridad de los datos transmitidos. Además, el documento advierte sobre un punto especialmente crucial y que quizás no se le da la importancia que debiera a todos los niveles como es la relación directa entre los incidentes web y la creación de botnets para la distribución de malware a gran escala.
| Vector de Ataque Web | Descripción Técnica | Evidencia Forense Primaria |
| Inyección SQL | Inserción de comandos maliciosos en bases de datos. | Logs de consultas a bases de datos y errores 500 del servidor. |
| XSS | Ejecución de scripts en el navegador del usuario. | Análisis de metadatos en peticiones GET/POST y scripts en caché. |
| RFI | Inclusión de ficheros remotos maliciosos. | Registros de acceso al servidor con URLs externas sospechosas. |
| Desplazamiento por Directorios | Acceso no autorizado a rutas del sistema («..»). | Logs del servidor web con secuencias Unicode o relativas. |
| DoS/DDoS | Ataques para saturar el ancho de banda. | Análisis de tráfico de red y alertas de IDS/IPS. |
CCN-STIC 834
Protección y análisis de código dañino
La guía 834 profundiza en la protección contra el malware, componente esencial en casi todos los delitos digitales modernos, desde el espionaje hasta el fraude financiero. El analista forense debe comprender las diferentes estrategias de detección para identificar qué falló durante una infección. La guía describe el paso desde los tradicionales ficheros de firmas hacia análisis heurísticos, emulación y sistemas anti-exploit.
Análisis estático y dinámico de malware
Para el criminólogo, el análisis de malware permite inferir la motivación del atacante. La guía distingue entre malware residente en disco y el malware «fileless» o residente en memoria volátil/dinámica como puede ser la RAM, que representa un reto forense mayor al no dejar rastro aparente tras un reinicio del sistema.
- Análisis Estático (Ingeniería Inversa): Consiste en la decompilación del código para estudiar su estructura y funciones. Técnicas como el análisis de las cadenas de texto (strings) o el flujo de control (CFG) permiten entender qué acciones estaba programado para realizar el malware sin necesidad de ejecutarlo.
- Análisis Dinámico: Implica la ejecución del código en entornos controlados para observar su comportamiento en tiempo real. Esto incluye monitorizar la escritura en el registro de Windows, la creación de ficheros temporales y las comunicaciones con servidores de mando y control (C&C).
El concepto de «Ciclo de Protección Completa» presentado en la guía 834 es fundamental para las organizaciones. Asume que ninguna barrera es impenetrable y que la seguridad debe basarse en un proceso circular de protección, detección, respuesta y recuperación.
Guías 802 y 808
Auditoría forense y cumplimiento normativo
La validez legal de las pruebas digitales obtenidas en una investigación suele ser cuestionada en función de cómo se gestionó el sistema antes del incidente. Las guías CCN-STIC 802 y 808 establecen los criterios para realizar auditorías de cumplimiento y verificar que las medidas de seguridad del ENS estaban correctamente implantadas.
La recolección de evidencias durante la auditoría
A diferencia de un test de intrusión, una auditoría de cumplimiento se basa en la revisión de documentos, entrevistas con el personal y la observación de registros específicos. Exige el registro detallado de los hallazgos en un «cuaderno del auditor», especificando versiones de software, capturas de pantalla de paneles de control y fechas exactas de consulta. Para el analista forense, estos registros previos al incidente son cruciales para establecer una «línea de base» de lo que se considera actividad normal en el sistema.
La guía proporciona listas de comprobación (checklists) que incluyen la solicitud de evidencias técnicas específicas, como informes de bastionado (hardening), listas de servicios autorizados y evidencias de copias de seguridad de las configuraciones. La existencia de estas evidencias demuestra un nivel de madurez organizativa que refuerza la credibilidad de cualquier prueba pericial presentada posteriormente ante un tribunal.
Herramientas de soporte y ecosistema de alerta temprana
El uso de las guías se complementa con el acceso a soluciones tecnológicas desarrolladas por el CCN-CERT para mejorar la capacidad de respuesta nacional. Es importante familiarizarse con estas aplicaciones a medida se profundiza en el conocimiento teórico. En sucesivos informes analizaremos estas herramientas en profundidad pero es importante al menos, tenerlas ya presentes desde un primer momento como el repositorio esencial:
- LUCIA: (Listado Unificado de Coordinación de Incidentes y Amenazas) Es la plataforma para la notificación de incidentes de seguridad que permite una gestión centralizada y el intercambio de información con el CCN-CERT. Para el analista, LUCIA es el registro oficial donde se documenta la cronología del incidente y las medidas de mitigación adoptadas.
- SAT (Sistema de Alerta Temprana): Dividido en SAT-SARA, SAT-INET y SAT-ICS, este sistema monitoriza en tiempo real el tráfico de las redes de la Administración y de infraestructuras críticas para detectar amenazas activas mediante sondas.
- REYES: Un repositorio que facilita el intercambio de Indicadores de Compromiso (IoCs) entre organismos, permitiendo a los analistas forenses identificar si un ataque detectado localmente es parte de una campaña de mayor envergadura contra otros intereses nacionales.
- AMPARO: Facilita la automatización del proceso de verificación del cumplimiento del ENS, ayudando a las organizaciones a mantener sus evidencias actualizadas y listas para una auditoría. Es de uso exclusivo para las Entidades de Certificación (EC) y Órganos de Auditoría Técnica (OAT).
Desafíos específicos:
Dispositivos móviles e infraestructuras críticas
Sin intentar extendernos en exceso vamos a intentar revisar algunas propuesta para desafíos específicos, donde sin duda se llevan la palma los equipos digitales que más usamos habitualmente, es decir los destinados a la comunicación móvil, principalmente los ‘smartphones’, instrumentos que ya han pasado a ser parte indispensable (y en exceso dependiente) de nuestra vida cotidiana, así como obviamente las infraestructuras críticas para el adecuado funcionamiento de una nación, objetivos primarios por antonomasia de cualquier atacante.
CCN-STIC 496
La guía obre Sistemas de Comunicaciones Móviles aborda la complejidad de la cadena de custodia en dispositivos que el usuario utiliza tanto para fines personales como profesionales (BYOD). La falta de trazabilidad en estos modelos supone un reto mayúsculo, pues el punto inicial de seguridad solo puede obtenerse mediante diagnosis técnica una vez ocurrido el incidente.
CCN-STIC 480
En el ámbito de las infraestructuras críticas, la guía A sobre seguridad en sistemas SCADA es vital para analistas forenses que investigan sabotajes industriales. Los sistemas de control de procesos requieren metodologías de recolección de datos que no comprometan la disponibilidad del servicio, ya que un error en la fase de adquisición de evidencias podría provocar paradas en servicios esenciales como el suministro de agua o energía.
Recomendaciones finales para el profesional del peritaje y la criminología
Ya hemos visto como el dominio de la serie CCN-STIC permite al analista forense y al criminólogo operar con un nivel de profesionalidad y rigor que garantiza que la tecnología sea una aliada eficaz en la búsqueda de la justicia y no un obstáculo construido de trincheras de complejidad técnica. La integración de la inteligencia criminal con las técnicas forenses permite pasar de una simple descripción del daño a un análisis profundo de la amenaza que incluya la atribución y el perfilado del delincuente.
Por último recomendamos a los profesionales que comienzan en este campo iniciar su formación siguiendo la estructura básica comentada, que si bien no deja de ser un acercamiento subjetivo al increíble ‘océano’ de documentos disponibles en el repositorio de CCN-CERT, con el conocimiento básico tras la guía 804, y luego seguir con las guías de fundamentos (817 Gestión de Ciberincidentes), especializarse posteriormente según el entorno de operación (812 para web, 496 para movilidad) y finalmente dominar las guías de análisis avanzado y ciberinteligencia (834-Protección ante código dañino en el ENS, 425 – Ciclo de Inteligencia y Análisis de Intrusiones ) se obtiene una visión global que podemos ir complementando con documentos adicionales a medida surgen los retos pero sin perder una ‘hoja de ruta’.
Solo a través de este conocimiento estructurado se puede asegurar que la evidencia digital mantenga su valor probatorio y contribuya a la resolución precisa de los casos de delincuencia digital en el complejo panorama actual.
Si bien la tecnología digital a resultado un aliado del delincuente en estadios tempranos, el cual ha buscado tácticas cada vez más complejas y difíciles de rastrear ante una sociedad desconcertada por los rápidos cambios, con la formación y herramientas adecuadas esta misma tecnología se revuelve contra el delincuente, a modo de un enemigo capaz de señalar un rastro imposible de borrar y capaz de dejar una constancia indestructible de las acciones delictivas. Esperamos que con estas guías y herramientas cada vez más profesionales avancen en su formación digital.
Accede directamente a todas las guías desde el buscador del CCN-CERT:
https://www.ccn-cert.cni.es/es/guias.html
Autor: Manuel Castelló González
Deja una respuesta