Concepto Informatica Forense
La informática forense, computación forense, análisis forense digital o examinación forense digital
es la aplicación de técnicas científicas y analíticas especializadas a
infraestructura tecnológica que permiten identificar, preservar,
analizar y presentar datos que sean válidos dentro de un proceso legal.
Dichas técnicas incluyen reconstruir el bien informático, examinar
datos residuales, autenticar datos y explicar las características
técnicas del uso aplicado a los datos y bienes informáticos.
Como la definición anterior lo indica, esta disciplina hace uso no
solo de tecnología de punta para poder mantener la integridad de los
datos y del procesamiento de los mismos; sino que también requiere de
una especialización y conocimientos avanzados en materia de informática y
sistemas para poder detectar dentro de cualquier dispositivo
electrónico lo que ha sucedido.
La importancia de éstos y el poder mantener su integridad se basa en
que la evidencia digital o electrónica es sumamente frágil. El simple
hecho de darle doble clic a un archivo modificaría la última fecha de
acceso del mismo.
Adicionalmente, un examinador forense digital, dentro del proceso del
cómputo forense puede llegar a recuperar información que haya sido
borrada desde el sistema operativo.
Informática Forense o Forensic
- ¿Para qué sirve? Para garantizar la efectividad de las
políticas de seguridad y la protección tanto de la información como de
las tecnologías que facilitan la gestión de esa información.
- ¿En qué consiste? Consiste en la investigación de los
sistemas de información con el fin de detectar evidencias de la
vulneración de los sistemas.
- ¿Cuál es su finalidad? Cuando una empresa contrata
servicios de Informática forense puede perseguir objetivos preventivos,
anticipándose al posible problema u objetivos correctivos, para una
solución favorable una vez que la vulneración y las infracciones ya se
han producido.
- ¿Qué metodologías utiliza la Informática forense? Las
distintas metodologías forenses incluyen la recogida segura de datos de
diferentes medios digitales y evidencias digitales, sin alterar los
datos de origen. Cada fuente de información se cataloga preparándola
para su posterior análisis y se documenta cada prueba aportada. Las
evidencias digitales recabadas permiten elaborar un dictamen claro,
conciso, fundamentado y con justificación de las hipótesis que en él se
barajan a partir de las pruebas recogidas.
- ¿Cuál es la forma correcta de proceder? Y, ¿por qué? Todo
el procedimiento debe hacerse tenido en cuenta los requerimientos
legales para no vulnerar en ningún momento los derechos de terceros que
puedan verse afectados. Ello para que, llegado el caso, las evidencias
sean aceptadas por los tribunales y puedan constituir un elemento de
prueba fundamental, si se plantea un litigio, para alcanzar un resultado
favorable.
Objetivos de la Informática forense
En conclusión, estamos hablando de la utilización de la informática
forense con una finalidad preventiva, en primer término. Como medida
preventiva sirve a las empresas para auditar, mediante la práctica de
diversas pruebas técnicas, que los mecanismos de protección instalados y
las condiciones de seguridad aplicadas a los sistemas de información
son suficientes. Asimismo, permite detectar las vulnerabilidades de
seguridad con el fin de corregirlas. Cuestión que pasa por redactar y
elaborar las oportunas políticas sobre uso de los sistemas de
información facilitados a los empleados para no atentar contra el
derecho a la intimidad de esas personas.
Por otro lado, cuando la seguridad de la empresa ya ha sido
vulnerada, la informática forense permite recoger rastros probatorios
para averiguar, siguiendo las evidencias electrónicas, el origen del
ataque (si es una vulneración externa de la seguridad) o las posibles
alteraciones, manipulaciones, fugas o destrucciones de datos a nivel
interno de la empresa para determinar las actividades realizadas desde
uno o varios equipos concretos.
Cuestiones técnicas y legales de la informática forense
Para realizar un adecuado análisis de Informática forense se
requiere un equipo multidisciplinar que incluya profesionales expertos
en derecho de las TI y expertos técnicos en metodología forense. Esto es
así porque se trata de garantizar el cumplimiento tanto de los
requerimientos jurídicos como los requerimientos técnicos derivados de
la metodología forense.
Dispositivos a analizar
La infraestructura informática que puede ser analizada puede ser toda aquella que tenga una
Memoria (informática), por lo que se pueden analizar los siguientes dispositivos:
Definiciones
- Cadena de Custodia:La identidad de personas que manejan la
evidencia en el tiempo del suceso y la ultima revision del caso. Es
responsabilidad de la persona que maneja la evidencia asegurar que los
articulos son registrados y contabilizados durante el tiempo en el cual
estan en su poder, y que son protegidos, llevando un registro de los
nombres de las personas que manejaron la evidencia o articulos con el
lapso de tiempo y fechas de entrega y recepción.
- Imagen Forense: Llamada también "Espejo" en ingles "Mirror",
la cual es una copia bit a bit de un medio electronico de
almacenamiento. En la imagen quedan grabados los espacios que ocupan los
archivos, areas borradas incluyendo particiones escondidadas.
- Analisis de Archivo: Examina cada archivo digital descubierto
y crea una base de datos de informacion relacionada al archivo
(metadatos, etc..), consistente entre otras cosas en la firma del
archivo o hash (indica la integridad del archivo), autor, tamaño, nombre
y ruta, asi como su creacion, ultimo acceso y fecha de modificacion.
Pasos del cómputo forense
El proceso de análisis forense a una computadora se describe a continuación:
Identificación
Es muy importante conocer los antecedentes, situación actual y el
proceso que se quiere seguir para poder tomar la mejor decisión con
respecto a las búsquedas y la estrategia de investigación. Incluye
muchas veces la identificación del bien informático, su uso dentro de la
red, el inicio de la cadena de custodia (proceso que verifica la
integridad y manejo adecuado de la evidencia), la revisión del entorno
legal que protege el bien y del apoyo para la toma de decisión con
respecto al siguiente paso una vez revisados los resultados.
Preservación
Este paso incluye la revisión y generación de las imágenes forenses
de la evidencia para poder realizar el análisis. Dicha duplicación se
realiza utilizando tecnología de punta para poder mantener la integridad
de la evidencia y la cadena de custodia que se requiere. Al realizar
una imagen forense, nos referimos al proceso que se requiere para
generar una copia “bit-a-bit” de todo el disco, el cual permitirá
recuperar en el siguiente paso, toda la información contenida y borrada
del disco duro. Para evitar la contaminación del disco duro, normalmente
se ocupan bloqueadores de escritura de hardware, los cuales evitan el
contacto de lectura con el disco, lo que provocaría una alteración no
deseada en los medios.
Análisis
Proceso de aplicar técnicas científicas y analíticas a los medios
duplicados por medio del proceso forense para poder encontrar pruebas de
ciertas conductas. Se pueden realizar búsquedas de cadenas de
caracteres, acciones específicas del o de los usuarios de la máquina
como son el uso de dispositivos de USB (marca, modelo), búsqueda de
archivos específicos, recuperación e identificación de correos
electrónicos, recuperación de los últimos sitios visitados, recuperación
del caché del navegador de Internet, etc.
Presentación
Es el recopilar toda la información que se obtuvo a partir del
análisis para realizar el reporte y la presentación a los abogados, la
generación (si es el caso) de una pericial y de su correcta
interpretación sin hacer uso de tecnicismos.
Herramientas de Cómputo Forense
- Sleuth Kit (Forensics Kit)
- Py-Flag (Forensics Browser)
- Autopsy (Forensics Browser for Sleuth Kit)
- dcfldd (DD Imaging Tool command line tool and also works with AIR)
- foremost (Data Carver command line tool)
- Air (Forensics Imaging GUI)
- md5deep (MD5 Hashing Program)
- netcat (Command Line)
- cryptcat (Command Line)
- NTFS-Tools
- qtparted (GUI Partitioning Tool)
- regviewer (Windows Registry)
- Viewer
- X-Ways WinTrace
- X-Ways WinHex
- X-Ways Forensics
- R-Studio Emergency (Bootable Recovery media Maker)
- R-Studio Network Edtion
- R-Studio RS Agent
- Net resident
- Faces
- Encase
- Snort
- Helix
[