INTRODUCCIÓN

INFORMÁTICA FORENSE

INTRODUCCION

El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.

Como la definición anterior lo indica, esta disciplina hace uso no solo de tecnologías de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido. El conocimiento del informático forense abarca el conocimiento no solamente del software sino también de hardware, redes, seguridad, hacking, cracking y recuperación de información.

La informática forense ayuda a detectar pistas sobre ataques informáticos, robo de información, conversaciones o pistas de emails y chats.

La importancia de estos y el poder mantener su integridad se basa en que la evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un archivo modificaría la última fecha de acceso del mismo.

Adicionalmente, un examinador forense digital, dentro del proceso del cómputo forense puede llegar a recuperar información que haya sido borrada desde el sistema operativo. El informático forense debe tener muy presente el principio de intercambio de Locard así como el estándar de Daubert, por su importancia en el análisis de criminalística y la admisibilidad de pruebas que un perito forense debe presentar como testimonio en un juicio, respectivamente.

Es muy importante mencionar que la informática forense o cómputo forense no tiene parte preventiva, es decir, la informática forense no tiene como objetivo el prevenir delitos, de ello se encarga la seguridad informática, por eso resulta imprescindible tener claro el marco de actuación entre la informática forense, la seguridad informática y la auditoría informática.

DEFINICIÓN

DEFINICIÓN

Existen diferentes términos para aproximarse al tema forense en informática. Cada uno de los términos trata de manera particular o general temas que son de interés para las ciencias forenses.¹​

·         Computación forense (computer forensics)

1.  Disciplina de las ciencias forenses que, considera los procedimientos relacionados con evidencias para descubrir e interpretar la información en los medios informáticos para establecer hipótesis o hechos relacionados con un caso. (Énfasis en consideraciones forenses).¹​

2. Disciplina científica que, a partir de la comprensión de las tecnologías y de los equipos de computación ofrece un análisis de la información en ellos. (Énfasis en lo técnico).¹​

·         Forensia en las redes (network forensics):

Se entienden las operaciones de las redes de computadores, estableciendo rastros e identificando movimientos y acciones. Es necesario entender los protocolos, configuraciones e infraestructura de las comunicaciones. A diferencia de la computación forense, es necesario poder establecer relaciones entre eventos diferentes e incluso aleatorios.

·         Forensia digital (digital forensics):

Es una forma de aplicar los conceptos y procedimientos de la criminalística a los medios informáticos o digitales. Tiene como fin apoyar a la justicia en el contexto de la inseguridad informática, es decir, es decir, contra posibles delincuentes al aclarar temas relacionados con incidentes o fraudes.

OBJETIVOS DE LA INFORMÁTICA FORENSE

OBJETIVOS DE LA INFORMÁTICA FORENSE

La informática forense tiene tres objetivos:

·         La compensación de los daños causados por los intrusos o criminales.

·         La persecución y procesamiento judicial de los criminales.

·         La creación y aplicación de medidas para prevenir casos similares.

Estos objetivos son logrados de varias formas, la principal es la colección de evidencia.

Es importante mencionar que quienes se dedican a esto deben ser profesionales con altos niveles de ética, pues con base en su trabajo se toman decisiones sobre los hechos y casos analizados.

EVIDENCIA DIGITAL

Así como las huellas digitales, las manchas de líquidos y las armas ensangrentadas, los discos duros, las memorias USBs y las impresoras (entre otros) se pueden considerar evidencias para un caso. Las evidencias digitales son aquellas extraídas de un medio informático, pero de igual manera se pueden utilizar como evidencia en un proceso legal.

CARACTERÍSTICAS

Estas evidencias tienen las siguientes características en común, los cuales hacen la computación forense un desafío:²​

1- Volátil

2- Anónima

3- Duplicable

4- Alterable y modificable

5- Eliminable

CATEGORÍAS

Estas evidencias se pueden dividir en tres categorías:​

1- Registros almacenados en el equipo de tecnología informática. (ej. imágenes y correos)

2- Registros generados por equipos de tecnología informática. (ej. transacciones, registros a eventos)

3- Registros parcialmente generados y almacenados en los equipos de tecnología informática. (ej. consultas en bases de datos)

DISPOSITIVOS A ANALIZAR

DISPOSITIVOS A ANALIZAR

La infraestructura informática a analizar puede ser toda aquella que tenga una Memoria, por lo que se incluyen en tal pericia los siguientes dispositivos:

·         Disco duro de una Computadora o Servidor

·         Documentación referida del caso.

·         Tipo de Sistema de Telecomunicaciones

·         Información Electrónica MAC address

·         Logs de seguridad.

·         Información de Firewall

·         IP, redes Proxy. lmhost, host, Crossover, pasarelas

·         Software de monitoreo y seguridad

·         Credenciales de autentificación

·         Trazo de paquetes de red.

·         Teléfono Móvil o Celular, parte de la telefonía celular,

·         Agendas Electrónicas (PDA)

·         Dispositivos de GPS.

·         Impresora

·         Memoria USB

·         Bios

INVESTIGADOR PROFESIONAL

INVESTIGADOR PROFESIONAL 

Es un nuevo profesional que actúa como perito, criminalista digital, o informático. Comprende y conoce las nuevas tecnologías de la información, y analiza la inseguridad informática emergente en los sistemas. El perfil del investigador es nuevo y necesario en el contexto abierto informático en el que vivimos. Por lo tanto, es necesario formar personas que puedan trabajar como investigadores en la disciplina emergente de la criminalística digital y el cómputo forense. Estas prácticas emergentes buscan articular las prácticas generales de la criminalística con las evidencias digitales disponibles en una escena del crimen. El trabajo del informático es indagar en las evidencias, analizarlas y evaluarlas para poder decidir cómo estas evidencias pueden ayudar a resolver el caso. Por lo tanto, es ideal que un investigador conozca al menos sobre las siguientes áreas: Justicia criminal, auditoría, y administración y operación de tecnologías de Información. ​

En un proceso de investigación forense in informática hay ocho roles principales en un caso: el líder del caso, el propietario del sistema, el asesor legal, el auditor/ingeniero especialista en seguridad de la información, el administrador del sistema, el especialista en informática forense, el analista en informática forense y el fiscal. Usualmente, entre todos estos roles, los informáticos forenses pueden tomar los siguientes cuatro roles:

·         Líder del caso: es aquel que planea y organizado todo el proceso de investigación digital. Debe identificar el lugar en donde se realizará la investigación, quienes serán los participantes y el tiempo necesario para esta.

·         Auditor/ingeniero especialista en seguridad de la información: conoce el escenario en donde se desarrolla la investigación. Tiene el conocimiento del modelo de seguridad en el cual ocurrieron los hechos y de los usuarios y las acciones que pueden realizar en el sistema. A partir de sus conocimientos debe entregar información crítica a la investigación.

·         Especialista en informática forense: es un criminalista digital que debe identificar los diferentes elementos probatorios informáticos vinculados al caso, determinando la relación entre los elementos y los hechos para descubrir el autor del delito.

·         Analista en informática forense: examina en detalle los datos, los elementos informáticos recogidos en la escena del crimen con el fin de extraer toda la información posible y relevante para resolver el caso.

PROCESO DEL COMPUTO FORENSE

PROCESO DEL COMPUTO FORENSE

El proceso de análisis forense a una computadora se describe a continuación:

IDENTIFICACIÓN

Es muy importante conocer los antecedentes a la investigación "HotFix", situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y las estrategias (debes estar bien programado y sincronizado con las actividades a realizar, herramientas de extracción de los registros de información a localizar). Incluye muchas veces ( en un momento especifico Observar, Analizar Interpretar y Aplicar la certeza, esto se llama criterio profesional que origina la investigación) la identificación del bien informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia), la revisión del entorno legal que protege el bien y del apoyo para la toma de decisión con respecto al siguiente paso una vez revisados los resultados.

PRESERVACIÓN

Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para poder realizar el análisis. Dicha duplicación se realiza utilizando tecnología punta para poder mantener la integridad de la evidencia y la cadena de custodia que se requiere (soportes). Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia “bit-a-bit” (copia binaria) de todo el disco duro, el cual permitirá recuperar en el siguiente paso, toda la información contenida y borrada del disco duro. Para evitar la contaminación del disco duro, normalmente se ocupan bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura con el disco, lo que provocaría una alteración no deseada en los medios.

ANÁLISIS

Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca, modelo), búsqueda de archivos específicos, recuperación e identificación de correos electrónicos, recuperación de los últimos sitios visitados, recuperación del caché del navegador de Internet, etc.

PRESENTACION

Es el recopilar toda la información que se obtuvo a partir del análisis para realizar el reporte y la presentación a los abogados, jueces o instancias que soliciten este informe, la generación (si es el caso) de una pericial y de su correcta interpretación sin hacer uso de tecnicismos; se deberá presentar de manera cauta, prudente y discreta al solicitante la documentación ya que siempre existirán puertas traseras dentro del sistema en observación y debe ser muy específica la investigación dentro del sistema que se documenta porque se compara y vincula una plataforma de telecomunicación y computo forense y que están muy estrechamente enlazadas no omitiendo los medios de almacenamiento magnéticos portables estos son basamentos sobre software libre y privativo. Deberá ser muy cuidadosa la información a entregar porque se maneja el prestigio técnico según la plataformas y sistemas.

CONCLUSIONES Y SUGERENCIAS

CONCLUSIONES Y SUGERENCIAS

Para poder realizar con éxito su trabajo, el investigador nunca debe olvidar:

·         Ser imparcial. Solamente analizar y reportar lo encontrado.

·         Realizar una investigación formal sin conocimiento y experiencia.

·         Mantener la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia).

·         Documentar toda actividad realizada.

El especialista debe conocer también sobre:

·         Desarrollo de los exploit (vulnerabilidades), esto le permite al informático forense saber qué tipo de programas se pondrán de moda, para generar una base de estudio que le permita observar patrones de comportamiento.