La informática forense

  La lucha contra la ciberdelincuencia, requiere, como en el caso de la lucha contra la delincuencia más tradicional, de cierta investigación por parte de las autoridades pertinentes y otras instituciones autorizadas.

  Y es que para poder detener y castigar a los ciberdelincuentes hay que encontrar, recopilar y procesar pruebas que permita incriminarlos de la manera más irrefutable posible.

  La informática forense se encarga, pues, de dicha recopilación de pruebas.

  La ciencia forense digital, como también se le llama, es el proceso de recolección, preservación, análisis e información de pruebas legalmente admisibles ante un tribunal o ante un tercero que las solicite. También es un subconjunto de algo más amplio que es la ciencia forense, que representa toda investigación criminal sin importar el tipo de hechos o datos tratados.

TIPOS

  Existen cuatro tipos de operaciones de esta clase de informática:

•   Análisis forense de sistemas (Windows, Linux / *NIX, etc.).
•   Análisis forense de dispositivos móviles.
•   Análisis forense de redes.
•   Análisis forense de nube o de Internet.

HERRAMIENTAS

  Entre las herramientas más típicas de la informática forense se encuentran:

•  Creación de imágenes: FTK Imager / FTK Imager lite.
•  Cálculo de hashes: HashCalc, otras herramientas de sistema operativo.
•   Análisis de memoria volátil: Volatility, Belkasoft Live RAM capturer.
•   Análisis de registro de Windows: AccessData Registry Viewer.
•  Suites de análisis forense: Sleuthkit, Encase Forensics, SIFT Workstation 3, OsForensics v6.

EVIDENCIA DIGITAL

  Todo aquello que se puede extraer de un medio informático (disco duro, lápiz de memoria, teléfono móvil, etc.) se considera evidencia digital.

  Dichas evidencias comparten una serie de características que dificultan el ejercicio de la informática forense:

•   Volatilidad.
•   Anonimato.
•   Facilidad de duplicación.
•   Alterabilidad.
•   Facilidad de eliminación.

  Las evidencias de este tipo se pueden dividir en tres categorías:

1.   Registros almacenados en el equipo de tecnología informática (imágenes y correos, por ejemplo).
2.   Registros generados por equipos de tecnología informática (por ejemplo, transacciones, registros en eventos).
3.   Registros parcialmente generados y almacenados en los equipos de tecnología informática (ejemplo: consultas en bases de datos).

METODOLOGÍA

  El proceso del análisis forense consiste en:

•   Identificación: Es muy importante conocer los antecedentes a la investigación, la situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y las estrategias (se debe estar bien programado y sincronizado con las actividades a realizar, herramientas de extracción de los registros de información a localizar). Incluye muchas veces (en un momento específico observar, analizar e interpretar y aplicar la certeza, esto se llama criterio profesional que origina la investigación) la identificación del bien informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia), la revisión del entorno legal que protege el bien y del apoyo para la toma de decisión con respecto al siguiente paso una vez revisados los resultados.
•   Preservación: Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para poder realizar el análisis. Esta duplicación se realiza utilizando tecnología punta para poder mantener la integridad de la evidencia y la cadena de custodia requerida (soportes). Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia “bit-a-bit” (copia binaria) de todo el disco duro, el cual permitirá recuperar (en el siguiente paso) toda la información contenida y borrada del disco duro. Para evitar la contaminación del disco duro, normalmente se ocupan bloqueadores de escritura de elementos informáticos físicos, los cuales evitan el contacto de lectura con el disco, lo que provocaría una alteración no deseada en los medios.
•   Análisis: Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca, modelo), búsqueda de archivos específicos, recuperación e identificación de correos electrónicos, recuperación de los últimos sitios visitados, recuperación de la caché del navegador de Internet, etc.
•   Presentación: Recopilación de toda la información que se obtuvo a partir del análisis para realizar el reporte y la presentación a los abogados, jueces o instancias que soliciten este informe, la generación (si es el caso) de una pericial y de su correcta interpretación sin hacer uso de tecnicismos; se deberá presentar de manera cauta, prudente y discreta al solicitante la documentación, ya que siempre existirán puertas traseras dentro del sistema en observación. Debe ser muy específica la investigación dentro del sistema que se documenta porque se compara y vincula una plataforma de telecomunicación y cómputo forense que están muy estrechamente enlazadas, sin olvidar los medios de almacenamiento magnéticos portables basados en software libre y privativo. La información que se transmite debe manejarse con cuidado, porque el prestigio técnico depende de las plataformas y los sistemas.

 Como parte de la ciencia forense, la informática forense recopila pruebas tanto para inculpar (o exonerar) al responsable de unos hechos como para conocer el alcance de los hechos en sí. Por este motivo, aquellos se dedican a la informática forense deben ser profesionales con altos niveles de ética, pues gracias a su trabajo se toman decisiones sobre los hechos y casos analizados.

  Aguardo que la presente entrada haya sido interesante para el lector. De ser así, espero que éste la comente y/o la comparta, por favor.