Informática Forense: El Modelo SKRAM
El Modelo SKRAM, es un modelo creado en 1998 por Donn Parker y planteado en su libro “Fighting Computer Crime: a New Framework for Protecting Information”, y se ha impuesto como una herramienta muy valiosa para iniciar la investigación sobre los posibles sindicados en la ejecución de un ataque informático.
Los componentes individuales del modelo de SKRAM revelan que el modelo es una suma de supuesta habilidad de un sospechoso, conocimientos, recursos, la autoridad y la motivación.
SKRAM son las siglas de:
Skills (Habilidades), Knowledge (Conocimiento), Resources (Recursos), Authority (autoridad) y Motive (Motivo).
Todas ellas características que para Parker son esenciales para generar un perfil de un delincuente informático. Procedemos a detallarlas:
Habilidades: Las habilidades en SKRAM se refieren a aptitud de un sospechoso con las computadoras y la tecnología.
Para determinar el nivel de competencia de un sospechoso y sus habilidades, un investigador puede comenzar por el examen de experiencia laboral de dicho sospechoso.
Normalmente, son competentes en el uso de computadoras para cometer delitos informáticos. Cuentan con capacitación técnica en la creación de redes, conocimientos de hardware, paquetes de software, sistemas operativos, sistemas de seguridad, el desarrollo de software, bases de datos y administración sistemas, son áreas clave que deben ser examinados por un investigador.
Conocimiento: El conocimiento a primera vista se parece mucho a las habilidades. A diferencia de las habilidades, el conocimiento es una medida más general de las habilidades específicas adquiridas por un sospechoso y que le son fundamentales para perpetrar el ataque informático en cuestión.
El conocimiento incluye la capacidad de un sospechoso de planear y predecir las acciones de sus víctimas, su objetivo es la infraestructura computacional y un conocimiento firme de lo que buscan.
Los investigadores deben tratar de identificar quién tiene el cuerpo de conocimientos específicos para llevar a cabo el delito informático que se investiga.
Recursos: Un sospechoso calificado y conocedor es incapaz de cometer un delito si no posee los recursos necesarios. Los recursos incluyen tanto los componentes físicos, así como los contactos que el sospechoso tiene a su disposición.
Al examinar los recursos de un sospechoso, los investigadores no debemos pasar por alto los socios comerciales de un sospechoso, sus membrecía a clubes y la red de amigos si pueden ser identificados.
Autoridad: La autoridad es una medida de acceso del sospechoso y le ayuda a ejercer control sobre la información necesaria para cometer un delito. Un sospechoso puede ser el administrador de información vital, como los archivos de contraseñas y por lo tanto tienen fácil acceso para cometer un delito usando esa información.
Los investigadores deben determinar la relación de un sospechoso con los datos necesarios para llevar a cabo un delito informático.
Motivo: Todos los conocimientos técnicos en el mundo podrían no ser suficientes para determinar que un sospechoso ha cometido un delito informático.
Independiente de la habilidad técnica y el conocimiento, la motivación es tal vez uno de los criterios generales más importantes a evaluar. El motivo podría ser emocional, social, político, económico o extorsivo.
Un delincuente altamente motivado es capaz de convencer a otros criminales más expertos técnicamente para ayudarles a llevar a cabo el delito. Se ha sugerido que los investigadores busquen anomalías como: “ausentismo excesivo o injustificado, horas extraordinarias, la llegada tardía persistente de trabajo, la baja repentina en la calidad y bajo rendimiento en la producción, las quejas y posponer las vacaciones” (Duyn, p. 102).
Para cuantificar las habilidades, conocimientos, recursos, autoridad, y la motivación de un sospechoso, los casos deber ser analizados para catalizar la información sobre el nivel demostrado el sospechoso en cada una de estas áreas.
Por ejemplo, si un sospechoso en el caso trabajado con lenguajes de programación y programas de base de datos que fueron utilizados o afectados en el incidente, se les asignarán puntos por la posesión de los criterios de habilidad necesaria para llevar a cabo el crimen.
Lo mismo ocurre con la motivación, si el sospechoso había queja con la empresa o potenciales, directos para aprovechar el ataque, los puntos serán asignados.
Esto objetivamente podría determinar si el sospechoso tenía la capacidad técnica para llevar a cabo el delito y tuvo la oportunidad necesarios para llevar a cabo el ataque, así como determinar la intensidad con que estaban motivados.
