En los últimos diez años, el número de usuarios de internet se ha disparado. En Estados Unidos, tres de cada tres personas utilizan internet para sus actividades o fines comerciales. Casi a diario, el número de personas que utilizan internet aumenta, lo que implica que también aumenta el número de actividades ilegales como el robo de identidad, el fraude y el robo de datos. 

La investigación forense de redes implica la captura, el registro y el análisis de paquetes de red para determinar el origen de los ataques de seguridad. Una investigación forense de redes también incluye la detección de patrones de intrusión y la investigación de actividades de ataque. El análisis del tráfico de red requiere la recopilación de datos de diversos sitios y equipos de red, como cortafuegos y sistemas de detección de intrusos. Además, la investigación forense de redes puede emplearse para supervisar, prevenir y analizar posibles ataques.

Una investigación forense de red es útil para identificar fugas, robos o tráfico sospechoso en la red. Este tipo de investigación busca identificar y analizar el tráfico en una red sospechosa de estar comprometida por ciberdelincuentes.

Necesidad de análisis forense de redes

Muchas organizaciones aumentaron la cantidad de dispositivos en sus redes e instalaron puertos de alta velocidad. En los inicios de las redes corporativas, las computadoras dominaban. Hoy en día, las redes permiten conectar más dispositivos que antes gracias a los teléfonos inteligentes y los dispositivos conectados a internet. Un número creciente de dispositivos en la red incrementa las superficies de ataque. Las amenazas actuales también son más sofisticadas y sutiles. Los atacantes dedican mucho tiempo a evadir la detección en los ataques modernos. En la mayoría de los casos, la exfiltración de datos no genera alertas porque se produce en volúmenes limitados y está cifrada. Debido a estos problemas, las investigaciones forenses son mucho más difíciles y complejas, y los investigadores capacitados y las herramientas avanzadas son esenciales para una investigación adecuada de un ataque. 

El análisis forense de redes proporciona a una organización una gran cantidad de información sobre cómo fluye su tráfico a través de la red. En este caso, los investigadores tienen la opción de explorar la red y profundizar en los detalles. Normalmente, este proceso consta de dos pasos. El primer paso es recopilar datos. Diversas herramientas de búsqueda buscan información específica basándose en los datos recopilados de la red y los metadatos indexados y extraídos de ella. Una vez recopilada la información de interés, el siguiente paso es buscar los datos. 

Importancia de la investigación forense de redes

La captura del tráfico de red es relativamente sencilla en teoría, pero extremadamente compleja en la práctica debido a numerosos factores inherentes. Un protocolo de Internet es muy complejo y existe un gran flujo de datos en una red. El proceso de registro del tráfico de red consume muchos recursos. Debido al gran volumen de datos que fluyen a través de las redes, puede que no sea posible registrar todos los datos. Es fundamental realizar copias de seguridad de estos datos registrados en medios libres para su posterior análisis.

Analizar los datos registrados es fundamental y requiere mucho tiempo. Para fines forenses, existen numerosas herramientas de análisis automatizado, pero ninguna es infalible. Un atacante puede fácilmente hacer pasar el tráfico malicioso por tráfico genuino si las herramientas no están programadas correctamente. También es fundamental usar el criterio humano, ya que las herramientas de análisis automatizado de tráfico pueden generar falsos positivos.

El análisis forense de una red es necesario para determinar cómo se produjo un ataque y rastrear su origen. Un investigador debe seguir un proceso de investigación adecuado para presentar las pruebas obtenidas ante el tribunal.

Tipos de análisis forense de redes

TCP/IP: Los protocolos de capa de red, como el Protocolo de Internet (IP), se encargan de dirigir los paquetes TCP a través de la red (por ejemplo, Internet) combinando la información de origen y destino y transmitiéndola a los enrutadores de toda la red. Los métodos IP también son aplicables a las redes de paquetes celulares, como GPRS, ya que utilizan protocolos similares.

Internet: Se pueden obtener diversos tipos de evidencia digital de internet, como la navegación web, el correo electrónico, los grupos de noticias, el chat sincrónico y la comunicación entre pares. Un análisis de los registros de servidores web puede mostrar en qué casos (o si) los sospechosos accedieron a información relevante para delitos. Es posible comprobar el origen exacto de material incriminatorio mediante análisis forense de correo electrónico, ya que los encabezados de correo electrónico son fáciles de falsificar y, por lo tanto, pueden contener evidencia valiosa. Mediante análisis forense de redes, se puede extraer información sobre la cuenta de usuario basándose en el tráfico de un servicio de red para determinar quién está usando un ordenador en particular.

Ethernet: El usuario puede filtrar eventos según los datos de esta capa. Solo es posible reconstruir páginas web, archivos adjuntos de correo electrónico y otro tráfico de red si no están cifrados durante la transmisión o recepción. La recopilación de datos en este nivel es ventajosa porque se conectan directamente a un host.

Análisis de tráfico cifrado: Un análisis de tráfico cifrado inspecciona el tráfico para determinar si contiene tráfico malicioso, como malware, u otras amenazas, detectando características TLS sospechosas, como las que provienen de redes o servidores poco comunes. Otro método para analizar el tráfico cifrado consiste en crear bases de datos de huellas digitales a partir de los datos generados, pero esta técnica ha recibido críticas por ser fácilmente eludida por hackers e imprecisa.

Análisis forense de redes: descripción general del mercado

Se prevé que el mercado forense de redes globales crezca a una CAGR de ~18,9 % durante el período de pronóstico de 2021 a 2027. 

Análisis regional: el mercado forense de redes globales

El informe ofrece un análisis regional del mercado global de análisis forense de redes, basado en regiones como Norteamérica, Europa, Asia-Pacífico (APAC), Oriente Medio y África (MEA) y Latinoamérica. Se prevé que Norteamérica y Europa generen la mayor cantidad de ingresos para los proveedores de soluciones de análisis forense de redes. Esto se debe principalmente al enfoque global en la Investigación y el Desarrollo (I+D) y las tecnologías de seguridad, especialmente en las economías desarrolladas de Estados Unidos y Canadá. Se prevé que Asia-Pacífico experimente el mayor crecimiento del mercado. La creciente adopción de dispositivos del Internet de las Cosas y las políticas "Trae tu Dispositivo" en las organizaciones impulsarán el crecimiento en esta región.

Análisis de segmentación: el mercado de la informática forense de redes

El mercado global de análisis forense de redes está segmentado según la aplicación, la solución, el tamaño de la organización, el modelo de implementación y la vertical. 

Segmentación basada en la solución:

• Soluciones
• Sistema de detección de intrusiones (IDS)/Sistema de prevención de intrusiones (IPS)
• Gestión de eventos e información de seguridad (SIEM)
• Inteligencia de amenazas
• Análisis de captura de paquetes
• Analítica
• Gestión de registros
• Cortafuegos
• Servicios
• Servicios profesionales de consultoría de servicios
• Formación y educación
• Diseño e integración
• Soporte y mantenimiento
• Servicios de respuesta a incidentes
• Servicios gestionados

Segmentación basada en área de aplicación:

• Seguridad de puntos finales
• Seguridad de la red
• Seguridad del centro de datos
• Seguridad de las aplicaciones
• Otros (seguridad web y seguridad de bases de datos)

Segmentación basada en el modo de implementación:

• Nube
• Local

Segmentación basada en el tamaño de la organización:

• Pequeñas y medianas empresas (PYME)
• Grandes empresas

Segmentación basada en Vertical:

• Fabricación
• Cuidado de la salud
• Energía y servicios públicos
• Banca, Servicios Financieros y Seguros (BFSI)
• Gobierno
• Educación
• Telecomunicaciones y TI
• Minorista
• Otros (medios y entretenimiento, aeroespacial y defensa, y hostelería)

Actores clave del mercado y sus desarrollos: el mercado forense de redes global

Los principales actores clave y sus desarrollos en el mercado forense de redes globales:

Jugadores clave:

• Sistemas Cisco
• Ojo de fuego
• Corporación IBM
• Corporación Symantec
• Sistemas Netscout
• EMC RSA

Desarrollos clave en el área:  

En febrero de 2017, la arquitectura RSA Business-Driven Security, una empresa de Dell Technologies, ofrece a los clientes una nueva forma de gestionar los riesgos cibernéticos y proteger sus activos más valiosos. Gracias a esta arquitectura y a las diversas soluciones que ofrece, las organizaciones de cualquier tamaño pueden controlar mejor sus riesgos de forma más rápida y eficiente. Además de las soluciones RSA Business-Driven Security, las soluciones RSA anunciadas también incluyen detección de amenazas, verificación de identidad, prevención del fraude al consumidor y capacidades de gestión de riesgos empresariales.