Forense digital

Rama de la ciencia forense

Imágenes aéreas del FLETC , donde se desarrollaron los estándares forenses digitales de EE. UU. en las décadas de 1980 y 1990.

La ciencia forense digital (a veces conocida como ciencia forense digital ) es una rama de la ciencia forense que abarca la recuperación, investigación, examen y análisis de material encontrado en dispositivos digitales, a menudo en relación con dispositivos móviles y delitos informáticos . ^{[1] [2]} El término "forense digital" se utilizó originalmente como sinónimo de informática forense , pero se ha ampliado para abarcar la investigación de todos los dispositivos capaces de almacenar datos digitales . ^[1] Con raíces en la revolución de la informática personal de finales de los años 1970 y principios de los 1980, la disciplina evolucionó de manera desordenada durante los años 1990, y no fue hasta principios del siglo XXI que surgieron políticas nacionales.

Las investigaciones forenses digitales tienen una variedad de aplicaciones. Lo más común es apoyar o refutar una hipótesis ante tribunales penales o civiles . Los casos penales implican la presunta infracción de leyes definidas por la legislación, aplicadas por la policía y perseguidas por el Estado, como asesinato, robo y agresión contra la persona. Los casos civiles, por otro lado, tratan de la protección de los derechos y la propiedad de las personas (a menudo asociados con disputas familiares), pero también pueden estar relacionados con disputas contractuales entre entidades comerciales en las que se utiliza una forma de análisis forense digital denominado descubrimiento electrónico (ediscovery). puede estar implicado.

Los análisis forenses también pueden aparecer en el sector privado, como durante las investigaciones corporativas internas o las investigaciones de intrusión (una investigación especial sobre la naturaleza y el alcance de una intrusión no autorizada en la red ).

El aspecto técnico de una investigación se divide en varias subramas relacionadas con el tipo de dispositivos digitales involucrados: informática forense, análisis forense de redes , análisis de datos forenses y análisis forense de dispositivos móviles . ^[3] El proceso forense típico abarca la incautación, la obtención de imágenes forenses (adquisición) y el análisis de medios digitales, seguido de la producción de un informe de las pruebas recopiladas.

Además de identificar pruebas directas de un delito, la ciencia forense digital se puede utilizar para atribuir pruebas a sospechosos específicos, confirmar coartadas o declaraciones, determinar la intención , identificar fuentes (por ejemplo, en casos de derechos de autor) o autenticar documentos. ^[4] Las investigaciones tienen un alcance mucho más amplio que otras áreas del análisis forense (donde el objetivo habitual es proporcionar respuestas a una serie de preguntas más simples), y a menudo involucran líneas de tiempo o hipótesis complejas. ^[5]

Historia

Antes de la década de 1970, los delitos relacionados con computadoras se resolvían utilizando las leyes existentes. Los primeros delitos informáticos fueron reconocidos en la Ley de Delitos Informáticos de Florida de 1978, ^[6] que incluía legislación contra la modificación o eliminación no autorizada de datos en un sistema informático. ^[7] En los años siguientes, la variedad de delitos informáticos cometidos aumentó y se aprobaron leyes para abordar cuestiones de derechos de autor , privacidad/acoso (por ejemplo, acoso cibernético , bofetadas , acoso cibernético y depredadores en línea ), y pornografía infantil . ^{[8] [9]} No fue hasta la década de 1980 que las leyes federales comenzaron a incorporar delitos informáticos. Canadá fue el primer país en aprobar legislación en 1983. ^[7] A esto le siguieron la Ley federal de abuso y fraude informático de EE. UU. en 1986, las enmiendas australianas a sus leyes penales en 1989 y la Ley británica sobre uso indebido de computadoras en 1990. ^{[7] [9]}

Décadas de 1980 a 1990: crecimiento del campo

El crecimiento de los delitos informáticos durante las décadas de 1980 y 1990 hizo que los organismos encargados de hacer cumplir la ley comenzaran a establecer grupos especializados, generalmente a nivel nacional, para manejar los aspectos técnicos de las investigaciones. Por ejemplo, en 1984, el FBI creó un Equipo de Respuesta y Análisis Informático y al año siguiente se creó un departamento de delitos informáticos dentro de la brigada antifraude de la Policía Metropolitana Británica. Además de ser profesionales encargados de hacer cumplir la ley, muchos de los primeros miembros de estos grupos también eran aficionados a la informática y se convirtieron en responsables de la investigación y dirección inicial del campo. ^{[10] [11]}

Uno de los primeros ejemplos prácticos (o al menos publicitados) de ciencia forense digital fue la persecución del hacker Markus Hess por parte de Cliff Stoll en 1986. Stoll, cuya investigación utilizó técnicas forenses informáticas y de redes, no era un examinador especializado. ^[12] Muchos de los primeros exámenes forenses siguieron el mismo perfil. ^[13]

A lo largo de la década de 1990, hubo una gran demanda de estos recursos de investigación nuevos y básicos. La presión sobre las unidades centrales llevó a la creación de grupos a nivel regional, e incluso local, para ayudar a manejar la carga. Por ejemplo, la Unidad Nacional Británica contra Delitos de Alta Tecnología se creó en 2001 para proporcionar una infraestructura nacional para los delitos informáticos, con personal ubicado tanto en el centro de Londres como en las diversas fuerzas policiales regionales (la unidad se incorporó a la Agencia contra el Crimen Organizado Serio). (SOCA) en 2006). ^[11]

Durante este período, la ciencia forense digital surgió a partir de las herramientas y técnicas ad hoc desarrolladas por estos aficionados. Esto contrasta con otras disciplinas forenses, que se desarrollaron a partir del trabajo de la comunidad científica. ^{[1] [14]} No fue hasta 1992 que el término "informática forense" se utilizó en la literatura académica (aunque antes de esto, había sido de uso informal); Un artículo de Collier y Spaul intentó justificar esta nueva disciplina ante el mundo de la ciencia forense. ^{[15] [16]} Este rápido desarrollo resultó en una falta de estandarización y capacitación. En su libro de 1995, Crimen de alta tecnología: investigación de casos que involucran computadoras , K. Rosenblatt escribió lo siguiente:

Incautar, preservar y analizar evidencia almacenada en una computadora es el mayor desafío forense que enfrenta la policía en la década de 1990. Aunque la mayoría de las pruebas forenses, como las huellas dactilares y las pruebas de ADN, las realizan expertos especialmente capacitados, la tarea de recopilar y analizar pruebas informáticas a menudo se asigna a agentes de patrulla y detectives. ^[17]

Década de 2000: desarrollo de estándares

Desde el año 2000, en respuesta a la necesidad de estandarización, varios organismos y agencias han publicado directrices para la ciencia forense digital. El Grupo de Trabajo Científico sobre Evidencia Digital (SWGDE) produjo un artículo en 2002, Mejores prácticas para informática forense , al que siguió, en 2005, la publicación de una norma ISO ( ISO 17025 , Requisitos generales para la competencia de los laboratorios de pruebas y calibración ). . ^{[7] [18] [19]} Un tratado internacional liderado por Europa, el Convenio sobre la Ciberdelincuencia , entró en vigor en 2004 con el objetivo de conciliar las leyes nacionales sobre delitos informáticos, las técnicas de investigación y la cooperación internacional. El tratado ha sido firmado por 43 naciones (incluidos Estados Unidos, Canadá, Japón, Sudáfrica, Reino Unido y otras naciones europeas) y ratificado por 16.

También recibió atención la cuestión de la formación. Las empresas comerciales (a menudo desarrolladores de software forense) comenzaron a ofrecer programas de certificación y el análisis forense digital se incluyó como tema en el centro de formación de investigadores especializados del Reino Unido, Centrex . ^{[7] [11]}

A finales de la década de 1990, los dispositivos móviles estuvieron más disponibles, fueron más allá de los simples dispositivos de comunicación y se descubrió que eran formas ricas de información, incluso para delitos no asociados tradicionalmente con la ciencia forense digital. ^[20] A pesar de esto, el análisis digital de los teléfonos se ha quedado atrás con respecto a los medios informáticos tradicionales, en gran parte debido a problemas sobre la naturaleza patentada de los dispositivos. ^[21]

La atención también se ha desplazado hacia los delitos en Internet, en particular el riesgo de guerra cibernética y terrorismo cibernético . Un informe de febrero de 2010 del Comando de Fuerzas Conjuntas de los Estados Unidos concluyó lo siguiente:

A través del ciberespacio, los enemigos apuntarán a la industria, la academia, el gobierno, así como al ejército en los dominios aéreo, terrestre, marítimo y espacial. De la misma manera que el poder aéreo transformó el campo de batalla de la Segunda Guerra Mundial, el ciberespacio ha fracturado las barreras físicas que protegen a una nación de los ataques a su comercio y comunicaciones. ^[22]

El campo de la ciencia forense digital todavía enfrenta problemas sin resolver. Un artículo de 2009, "Investigación forense digital: lo bueno, lo malo y lo no abordado" de Peterson y Shenoi, identificó un sesgo hacia los sistemas operativos Windows en la investigación forense digital. ^[23] En 2010, Simson Garfinkel identificó los problemas que enfrentarán las investigaciones digitales en el futuro, incluido el tamaño cada vez mayor de los medios digitales, la amplia disponibilidad de cifrado para los consumidores, una variedad cada vez mayor de sistemas operativos y formatos de archivos, un número cada vez mayor de personas que poseen múltiples dispositivos y limitaciones legales para los investigadores. El documento también identificó problemas de capacitación continua, así como el costo prohibitivamente alto de ingresar al campo. ^[12]

Desarrollo de herramientas forenses.

Durante la década de 1980, existían muy pocas herramientas forenses digitales especializadas. En consecuencia, los investigadores a menudo realizaban análisis en vivo de los medios, examinando las computadoras desde el sistema operativo utilizando herramientas de administrador de sistemas existentes para extraer evidencia. Esta práctica conllevaba el riesgo de modificar datos en el disco, ya sea sin darse cuenta o de otra manera, lo que dio lugar a denuncias de manipulación de pruebas. A principios de la década de 1990 se crearon varias herramientas para abordar el problema.

La necesidad de dicho software se reconoció por primera vez en 1989 en el Centro Federal de Capacitación para el Cumplimiento de la Ley , lo que resultó en la creación de IMDUMP ^[24] (por Michael White) y en 1990, SafeBack ^[25] (desarrollado por Sydex). En otros países se desarrolló software similar; DIBS (una solución de hardware y software) se lanzó comercialmente en el Reino Unido en 1991, y Rob McKemmish lanzó la imagen de disco fijo de forma gratuita para las autoridades australianas. ^[10] Estas herramientas permitieron a los examinadores crear una copia exacta de un medio digital para trabajar, dejando el disco original intacto para su verificación. A finales de la década de 1990, a medida que crecía la demanda de pruebas digitales, se desarrollaron herramientas comerciales más avanzadas, como EnCase y FTK , que permitían a los analistas examinar copias de los medios sin utilizar ningún análisis forense en vivo. ^[7] Más recientemente, ha crecido una tendencia hacia la "memoria forense viva", lo que ha resultado en la disponibilidad de herramientas como WindowsSCOPE .

Más recientemente, se ha producido la misma progresión en el desarrollo de herramientas para dispositivos móviles ; Inicialmente, los investigadores accedían a los datos directamente en el dispositivo, pero pronto aparecieron herramientas especializadas como XRY o Radio Tactics Aceso. ^[7]

proceso forense

Un bloqueador de escritura de Tableau portátil conectado a un disco duro

Una investigación forense digital comúnmente consta de 3 etapas:

• adquisición o obtención de imágenes de objetos expuestos, ^[26]
• análisis, y
• informes. ^{[7] [27]}

La adquisición normalmente no implica capturar una imagen de la memoria volátil (RAM) de la computadora a menos que esto se haga como parte de una investigación de respuesta a un incidente. ^[28] Normalmente, la tarea implica crear un duplicado exacto a nivel de sector (o "duplicado forense") del medio, a menudo utilizando un dispositivo de bloqueo de escritura para evitar la modificación del original. Sin embargo, el crecimiento del tamaño de los medios de almacenamiento y avances como la computación en la nube ^[29] han llevado a un mayor uso de adquisiciones "en vivo", mediante las cuales se adquiere una copia "lógica" de los datos en lugar de una imagen completa del dispositivo de almacenamiento físico. ^[26] Tanto la imagen adquirida (o copia lógica) como los medios/datos originales se procesan (utilizando un algoritmo como SHA-1 o MD5 ) y los valores se comparan para verificar que la copia sea precisa. ^[30]

Un enfoque alternativo (y patentado) (que ha sido denominado "forense híbrido" ^[31] o "forense distribuido" ^[32] ) combina procesos forenses digitales y descubrimiento electrónico. Este enfoque se ha incorporado en una herramienta comercial llamada ISEEK que se presentó junto con los resultados de las pruebas en una conferencia en 2017. ^[31]

Durante la fase de análisis, un investigador recupera material de evidencia utilizando varias metodologías y herramientas diferentes. En 2002, un artículo del International Journal of Digital Evidence se refirió a este paso como "una búsqueda sistemática en profundidad de pruebas relacionadas con el presunto delito". ^[1] En 2006, el investigador forense Brian Carrier describió un "procedimiento intuitivo" en el que primero se identifica la evidencia obvia y luego "se realizan búsquedas exhaustivas para comenzar a llenar los agujeros". ^[5]

El proceso real de análisis puede variar entre investigaciones, pero las metodologías comunes incluyen realizar búsquedas de palabras clave en los medios digitales (dentro de archivos, así como en espacio no asignado y disponible ), recuperar archivos eliminados y extraer información de registro (por ejemplo, para enumerar cuentas de usuario, o dispositivos USB conectados).

Las pruebas recuperadas se analizan para reconstruir hechos o acciones y llegar a conclusiones, trabajo que muchas veces puede ser realizado por personal menos especializado. ^[1] Cuando se completa una investigación, los datos se presentan, generalmente en forma de informe escrito, en términos simples . ^[1]

Solicitud

Un ejemplo de metadatos Exif de una imagen que podrían usarse para probar su origen

La ciencia forense digital se utiliza comúnmente tanto en derecho penal como en investigación privada. Tradicionalmente se ha asociado al derecho penal, donde se recopilan pruebas para apoyar o refutar una hipótesis ante los tribunales. Como ocurre con otras áreas de la ciencia forense, esta suele ser parte de una investigación más amplia que abarca varias disciplinas. En algunos casos, las pruebas recopiladas se utilizan como una forma de recopilación de inteligencia, con fines distintos de los procedimientos judiciales (por ejemplo, para localizar, identificar o detener otros delitos). Como resultado, la recopilación de inteligencia a veces se somete a estándares forenses menos estrictos.

En litigios civiles o asuntos corporativos, la ciencia forense digital forma parte del proceso de descubrimiento electrónico (o eDiscovery). Los procedimientos forenses son similares a los utilizados en las investigaciones criminales, a menudo con requisitos y limitaciones legales diferentes. Fuera de los tribunales, la ciencia forense digital puede formar parte de investigaciones corporativas internas.

Un ejemplo común podría ser el siguiente de una intrusión no autorizada en la red . Se realiza un examen forense especializado sobre la naturaleza y el alcance del ataque como ejercicio de limitación de daños, tanto para establecer el alcance de cualquier intrusión como para intentar identificar al atacante. ^{[4] [5]} Estos ataques se llevaban a cabo comúnmente a través de líneas telefónicas durante la década de 1980, pero en la era moderna generalmente se propagan a través de Internet. ^[33]

El objetivo principal de las investigaciones forenses digitales es recuperar evidencia objetiva de una actividad delictiva (denominada actus reus en el lenguaje legal). Sin embargo, la diversa gama de datos contenidos en dispositivos digitales puede ayudar en otras áreas de investigación. ^[4]

Atribución

Se pueden utilizar metadatos y otros registros para atribuir acciones a un individuo. Por ejemplo, los documentos personales en la unidad de una computadora pueden identificar a su propietario.

Coartadas y declaraciones

La información proporcionada por los involucrados se puede cotejar con evidencia digital. Por ejemplo, durante la investigación de los asesinatos de Soham, la coartada del delincuente fue refutada cuando los registros del teléfono móvil de la persona con la que afirmaba estar mostraban que ella estaba fuera de la ciudad en ese momento.

Intención

Además de encontrar pruebas objetivas de la comisión de un delito, las investigaciones también pueden utilizarse para demostrar la intención (conocido por el término legal mens rea ). Por ejemplo, la historia en Internet del asesino convicto Neil Entwistle incluía referencias a un sitio que analizaba Cómo matar gente .

Evaluación de fuente

Se pueden utilizar artefactos de archivos y metadatos para identificar el origen de un dato en particular; por ejemplo, las versiones anteriores de Microsoft Word incorporaban un identificador único global en los archivos que identificaba la computadora en la que se había creado. Puede ser muy importante demostrar si un archivo se produjo en el dispositivo digital que se está examinando o si se obtuvo de otro lugar (por ejemplo, Internet). ^[4]

Autenticación de documentos

En relación con la "Evaluación de la fuente", los metadatos asociados con documentos digitales se pueden modificar fácilmente (por ejemplo, al cambiar el reloj de la computadora se puede afectar la fecha de creación de un archivo). La autenticación de documentos se refiere a detectar e identificar la falsificación de dichos detalles.

Limitaciones

Una limitación importante de una investigación forense es el uso de cifrado; esto interrumpe el examen inicial donde se podrían ubicar las pruebas pertinentes utilizando palabras clave. Las leyes que obligan a las personas a revelar claves de cifrado son todavía relativamente nuevas y controvertidas. ^[12] Pero cada vez con mayor frecuencia existen soluciones para forzar contraseñas por fuerza bruta o evitar el cifrado, como en los teléfonos inteligentes o en las PC, donde mediante técnicas de gestor de arranque se puede primero adquirir el contenido del dispositivo y luego forzarlo para encontrar la contraseña o el cifrado. llave. Se estima que alrededor del 60% de los casos que involucran dispositivos cifrados a menudo no se procesan porque no hay forma de acceder a la evidencia potencial. ^[34]

Consideraciones legales

El examen de los medios digitales está cubierto por la legislación nacional e internacional. En el caso de las investigaciones civiles, en particular, las leyes pueden restringir la capacidad de los analistas para realizar exámenes. A menudo existen restricciones contra el monitoreo de la red o la lectura de comunicaciones personales. ^[35] Durante la investigación penal, las leyes nacionales restringen la cantidad de información que se puede incautar. ^[35] Por ejemplo, en el Reino Unido la incautación de pruebas por parte de las fuerzas del orden se rige por la ley PACE . ^[7] Durante sus inicios en el campo, la "Organización Internacional sobre Pruebas Informáticas" (IOCE) fue una agencia que trabajó para establecer estándares internacionales compatibles para la incautación de pruebas. ^[36]

En el Reino Unido, las mismas leyes que cubren los delitos informáticos también pueden afectar a los investigadores forenses. La Ley de Uso Indebido de Computadoras de 1990 legisla contra el acceso no autorizado a material informático. Esta es una preocupación particular para los investigadores civiles que tienen más limitaciones que las fuerzas del orden.

El derecho de un individuo a la privacidad es un área de la ciencia forense digital que los tribunales aún no han decidido en gran medida. La Ley de Privacidad de las Comunicaciones Electrónicas de EE. UU. impone limitaciones a la capacidad de las fuerzas del orden o de los investigadores civiles para interceptar y acceder a pruebas. La ley distingue entre comunicación almacenada (por ejemplo, archivos de correo electrónico) y comunicación transmitida (como VOIP ). Esto último, al considerarse más bien una invasión de la privacidad, es más difícil de obtener una orden judicial. ^{[7] [17]} La ​​ECPA también afecta la capacidad de las empresas para investigar las computadoras y las comunicaciones de sus empleados, un aspecto que aún está en debate en cuanto a hasta qué punto una empresa puede realizar dicho monitoreo. ^[7]

El artículo 5 del Convenio Europeo de Derechos Humanos afirma limitaciones de privacidad similares a las de la ECPA y limita el procesamiento y el intercambio de datos personales tanto dentro de la UE como con países externos. La capacidad de las autoridades del Reino Unido para realizar investigaciones forenses digitales está regulada por la Ley de Regulación de Poderes de Investigación . ^[7]

evidencia digital

La evidencia digital puede presentarse en varias formas

Cuando se utiliza en un tribunal de justicia , la evidencia digital se rige por las mismas pautas legales que otras formas de evidencia, ya que los tribunales no suelen exigir pautas más estrictas. ^{[7] [37]} En los Estados Unidos, las Reglas Federales de Prueba se utilizan para evaluar la admisibilidad de la evidencia digital. Las leyes PACE y Civil Evidence del Reino Unido tienen directrices similares y muchos otros países tienen sus propias leyes. Las leyes federales de Estados Unidos restringen las incautaciones a artículos que sólo tienen un valor probatorio obvio. Se reconoce que esto no siempre es posible establecerlo con medios digitales antes de un examen. ^[35]

Las leyes que tratan sobre pruebas digitales se ocupan de dos cuestiones:

• Integridad: es garantizar que el acto de incautar y adquirir medios digitales no modifique la evidencia (ya sea el original o la copia).
• Autenticidad: se refiere a la capacidad de confirmar la integridad de la información; por ejemplo, que las imágenes de los medios coincidan con la evidencia original. ^[35]

La facilidad con la que se pueden modificar los medios digitales significa que documentar la cadena de custodia desde la escena del crimen, pasando por el análisis y, en última instancia, hasta el tribunal (una forma de pista de auditoría ) es importante para establecer la autenticidad de la evidencia. ^[7]

Los abogados han argumentado que debido a que, en teoría, la evidencia digital se puede alterar, esto socava la confiabilidad de la evidencia. Los jueces estadounidenses están empezando a rechazar esta teoría; en el caso Estados Unidos contra Bonallo, el tribunal dictaminó que "el hecho de que sea posible alterar los datos contenidos en una computadora es claramente insuficiente para establecer que no es confiable". ^{[7] [38]} En el Reino Unido, se siguen pautas como las emitidas por ACPO para ayudar a documentar la autenticidad e integridad de las pruebas.

Los investigadores digitales, particularmente en investigaciones criminales, deben asegurarse de que las conclusiones se basen en pruebas fácticas y en sus propios conocimientos expertos. ^[7] En Estados Unidos, por ejemplo, las Reglas Federales de Prueba establecen que un perito calificado puede testificar “en forma de opinión o de otro modo” siempre que:

(1) el testimonio se basa en hechos o datos suficientes, (2) el testimonio es producto de principios y métodos confiables, y (3) el testigo ha aplicado los principios y métodos de manera confiable a los hechos del caso. ^[39]

Cada una de las subramas de la ciencia forense digital puede tener sus propias directrices específicas para la realización de investigaciones y el manejo de pruebas. Por ejemplo, es posible que sea necesario colocar los teléfonos móviles en un escudo de Faraday durante la incautación o adquisición para evitar un mayor tráfico de radio hacia el dispositivo. En el Reino Unido, el examen forense de ordenadores en asuntos penales está sujeto a las directrices de la ACPO . ^[7] También existen enfoques internacionales para proporcionar orientación sobre cómo manejar la evidencia electrónica . La "Guía de pruebas electrónicas" del Consejo de Europa ofrece un marco para las autoridades judiciales y policiales de los países que buscan establecer o mejorar sus propias directrices para la identificación y el manejo de pruebas electrónicas. ^[40]

Herramientas de investigación

La admisibilidad de la evidencia digital depende de las herramientas utilizadas para extraerla. En EE.UU., las herramientas forenses están sujetas al estándar Daubert , donde el juez es responsable de garantizar que los procesos y el software utilizados sean aceptables.

En un artículo de 2003, Brian Carrier argumentó que las directrices de Daubert requerían que el código de herramientas forenses fuera publicado y revisado por pares. Concluyó que "las herramientas de código abierto pueden cumplir de manera más clara y completa los requisitos de las directrices que las herramientas de código cerrado". ^[41]

En 2011, Josh Brunty afirmó que la validación científica de la tecnología y el software asociados con la realización de un examen forense digital es fundamental para cualquier proceso de laboratorio. Sostuvo que "la ciencia forense digital se basa en los principios de procesos repetibles y evidencia de calidad, por lo que saber cómo diseñar y mantener adecuadamente un buen proceso de validación es un requisito clave para que cualquier examinador forense digital defienda sus métodos ante los tribunales". ^[42]

Una de las cuestiones clave relacionadas con la validación de herramientas forenses es determinar una "línea de base" o punto de referencia para la prueba/evaluación de herramientas. Ha habido numerosos intentos de proporcionar un entorno para probar la funcionalidad de herramientas forenses como el programa Computer Forensic Tool Testing (CFTT) desarrollado por NIST ". ^[43]

Para permitir los diferentes entornos en los que operan los profesionales, también ha habido muchos intentos de crear un marco para personalizar los entornos de prueba/evaluación. ^{[44] [45] [46]} Estos recursos se centran en un único o número limitado de sistemas de destino. Sin embargo, no escalan bien cuando se intenta probar/evaluar herramientas diseñadas para grandes redes o la nube que se han vuelto más comunes en las investigaciones a lo largo de los años. A partir de 2024, el único marco que aborda el uso de agentes remotos por parte de herramientas forenses para el procesamiento/recopilación distribuida es el desarrollado por Adams ^[47]

Sucursales

La investigación forense digital no se limita a recuperar datos simplemente de la computadora, ya que los delincuentes violan las leyes y ahora se utilizan ampliamente pequeños dispositivos digitales (por ejemplo, tabletas, teléfonos inteligentes, unidades flash). Algunos de estos dispositivos tienen memoria volátil mientras que otros tienen memoria no volátil. Hay suficientes metodologías disponibles para recuperar datos de la memoria volátil; sin embargo, falta una metodología detallada o un marco para la recuperación de datos de fuentes de memoria no volátil. ^[48] ​​Dependiendo del tipo de dispositivos, medios o artefactos, la investigación forense digital se divide en varios tipos.

Informática forense

Investigador privado y examinador forense digital certificado generando imágenes de un disco duro en el campo para un examen forense.

El objetivo de la informática forense es explicar el estado actual de un artefacto digital; como un sistema informático, un medio de almacenamiento o un documento electrónico. ^[49] La disciplina generalmente cubre computadoras, sistemas integrados (dispositivos digitales con potencia informática rudimentaria y memoria integrada) y memoria estática (como memorias USB).

La informática forense puede manejar una amplia gama de información; desde registros (como el historial de Internet) hasta los archivos reales en la unidad. En 2007, los fiscales utilizaron una hoja de cálculo recuperada del ordenador de Joseph Edward Duncan para demostrar premeditación y garantizar la pena de muerte . ^{[4] El asesino de} Sharon Lopatka fue identificado en 2006 después de que se encontraran en su computadora mensajes de correo electrónico suyos detallando torturas y fantasías de muerte. ^[7]

Análisis forense de dispositivos móviles

Teléfonos móviles en una bolsa de pruebas del Reino Unido

La ciencia forense de dispositivos móviles es una subrama de la ciencia forense digital relacionada con la recuperación de evidencia o datos digitales de un dispositivo móvil . Se diferencia de la informática forense en que un dispositivo móvil tendrá un sistema de comunicación incorporado (por ejemplo, GSM ) y, normalmente, mecanismos de almacenamiento propietarios. Las investigaciones suelen centrarse en datos simples, como datos de llamadas y comunicaciones (SMS/correo electrónico), en lugar de una recuperación en profundidad de datos eliminados. ^{[7] [50] Los datos} de SMS de una investigación sobre un dispositivo móvil ayudaron a exonerar a Patrick Lumumba del asesinato de Meredith Kercher . ^[4]

Los dispositivos móviles también son útiles para proporcionar información de ubicación; ya sea desde GPS incorporado/rastreo de ubicación o mediante registros del sitio celular , que rastrean los dispositivos dentro de su alcance. Esta información se utilizó para localizar a los secuestradores de Thomas Onofri en 2006. ^[4]

Análisis forense de redes

La ciencia forense de redes se ocupa del seguimiento y análisis del tráfico de la red informática , tanto local como WAN / Internet , con el fin de recopilar información, recopilación de pruebas o detección de intrusiones. ^[51] El tráfico generalmente se intercepta a nivel de paquete y se almacena para su análisis posterior o se filtra en tiempo real. A diferencia de otras áreas de la ciencia forense digital, los datos de la red suelen ser volátiles y rara vez se registran, lo que hace que la disciplina sea a menudo reaccionaria.

En 2000, el FBI atrajo a los piratas informáticos Aleksey Ivanov y Gorshkov a Estados Unidos para una entrevista de trabajo falsa. Al monitorear el tráfico de red desde las computadoras de la pareja, el FBI identificó contraseñas que les permitieron recolectar evidencia directamente desde computadoras con sede en Rusia. ^{[7] [52]}

Análisis de datos forenses

El análisis de datos forenses es una rama de la ciencia forense digital. Examina datos estructurados con el objetivo de descubrir y analizar patrones de actividades fraudulentas resultantes de delitos financieros.

Análisis forense de imágenes digitales

La medicina forense de imágenes digitales (o análisis de imágenes forenses) es una rama de la medicina forense digital que se ocupa del examen y verificación de la autenticidad y el contenido de una imagen. ^[53] Estos pueden variar desde fotografías retocadas con aerógrafo de la era de Stalin hasta elaborados videos deepfake . ^{[54] [55]} Esto tiene amplias implicaciones para una amplia variedad de delitos, para determinar la validez de la información presentada en juicios civiles y penales, y para verificar imágenes e información que circulan a través de noticias y redes sociales. ^{[54] [56] [57] [55]}

Análisis forense de bases de datos

La ciencia forense de bases de datos es una rama de la ciencia forense digital relacionada con el estudio forense de bases de datos y sus metadatos . ^[58] Las investigaciones utilizan contenidos de bases de datos, archivos de registro y datos en RAM para construir una línea de tiempo o recuperar información relevante.

Análisis forense de IoT

La ciencia forense de IoT es una rama de la ciencia forense digital que tiene el objetivo de identificar y extraer información digital de dispositivos pertenecientes al campo de Internet de las cosas , para utilizarla en investigaciones forenses como posible fuente de evidencia. ^[59]

Ver también

• Lista de herramientas forenses digitales
• ciberespacio
• búsqueda forense
• Glosario de términos forenses digitales
• Esquema de la ciencia forense

Referencias

1. Reith; C Carr; G Gunsch (2002). "Un examen de modelos forenses digitales". Revista Internacional de Evidencia Digital . CiteSeerX  10.1.1.13.9683 .
2. Transportista, B (2001). "Definición de herramientas de análisis y examen forense digital". Revista Internacional de Evidencia Digital . 1 : 2003. CiteSeerX 10.1.1.14.8953 . 
3. "Las diferentes ramas de la ciencia forense digital". AzulVoyant . 2022-03-08. Archivado desde el original el 7 de octubre de 2023 . Consultado el 9 de septiembre de 2023 .
4. Varios (2009). Eoghan Casey (ed.). Manual de investigación y forense digital. Prensa académica. pag. 567.ISBN​ 978-0-12-374267-4.
5. Carrier, Brian D (7 de junio de 2006). "Conceptos básicos de investigación forense digital". Archivado desde el original el 26 de febrero de 2010.
6. "La Ley de Delitos Informáticos de Florida, probablemente la primera legislación estadounidense contra delitos informáticos, se convierte en ley". Historia de la Información . 1978. Archivado desde el original el 12 de junio de 2010.
7. Casey, Eoghan (2004). Evidencia digital y delitos informáticos, segunda edición. Elsevier. ISBN 978-0-12-163104-8. Archivado desde el original el 23 de julio de 2023 . Consultado el 6 de noviembre de 2016 .
8. Aarón Phillip; David Cowen; Chris Davis (2009). Hacking expuesto: informática forense. Profesional de McGraw Hill. pag. 544.ISBN​ 978-0-07-162677-4. Archivado desde el original el 22 de junio de 2024 . Consultado el 27 de agosto de 2010 .
9. M, ME "Una breve historia de los delitos informáticos: A" (PDF) . Universidad de Norwich . Archivado (PDF) desde el original el 21 de agosto de 2010 . Consultado el 30 de agosto de 2010 .
10. Mohay, George M. (2003). Análisis forense informático y de intrusión . Casa de arte. pag. 395.ISBN​ 978-1-58053-369-0.
11. Peter Sommer (enero de 2004). "El futuro de la vigilancia del ciberdelito". Fraude informático y seguridad . 2004 (1): 8–12. doi :10.1016/S1361-3723(04)00017-X. ISSN  1361-3723.
12. Simson L. Garfinkel (agosto de 2010). "Investigación forense digital: los próximos 10 años". Investigación Digital . 7 : S64-S73. doi : 10.1016/j.diin.2010.05.009 . ISSN  1742-2876.
13. Linda Volonino; Reynaldo Anzaldúa (2008). Informática forense para tontos . Para Dummies . pag. 384.ISBN​ 978-0-470-37191-6.
14. GL Palmer; Yo científico; Vista H (2002). "Análisis forense en el mundo digital". Revista Internacional de Evidencia Digital. Archivado desde el original el 9 de enero de 2023 . Consultado el 2 de agosto de 2010 .
15. Wilding, E. (1997). Evidencia informática: un manual de investigaciones forenses . Londres: Sweet & Maxwell. pag. 236.ISBN​ 978-0-421-57990-3.
16. Collier, Pensilvania; Spaul, BJ (1992). "Una metodología forense para luchar contra los delitos informáticos". Informática y Derecho .
17. KS Rosenblatt (1995). Delitos de alta tecnología: investigación de casos relacionados con computadoras . Publicaciones KSK. ISBN 978-0-9648171-0-4. Consultado el 4 de agosto de 2010 .
18. "Mejores prácticas en informática forense" (PDF) . SWGDE. Archivado desde el original (PDF) el 27 de diciembre de 2008 . Consultado el 4 de agosto de 2010 .
19. "ISO/IEC 17025:2005". YO ASI. Archivado desde el original el 5 de agosto de 2011 . Consultado el 20 de agosto de 2010 .
20. SG Punja (2008). «Análisis de dispositivos móviles» (PDF) . Revista forense de dispositivos digitales a pequeña escala . Archivado desde el original (PDF) el 28 de julio de 2011.
21. Rizwan Ahmed (2008). "Ciencia forense móvil: descripción general, herramientas, tendencias futuras y desafíos desde la perspectiva de las fuerzas del orden" (PDF) . VI Congreso Internacional sobre Gobernanza Electrónica . Archivado (PDF) desde el original el 3 de marzo de 2016.
22. "El entorno operativo conjunto" Archivado el 10 de agosto de 2013 en Wayback Machine , informe publicado el 18 de febrero de 2010, págs.
23. Peterson, Gilbert; Shenoi, Sujeet (2009). "Investigación forense digital: lo bueno, lo malo y lo no abordado". Avances en Forense Digital V. Avances del IFIP en tecnologías de la información y las comunicaciones. vol. 306. Springer Boston. págs. 17–36. Código Bib : 2009adf5.conf...17B. doi :10.1007/978-3-642-04155-6_2. ISBN 978-3-642-04154-9.
24. Mohay, George M. (2003). Análisis forense informático y de intrusiones. Casa Artech. ISBN 9781580536301. Archivado desde el original el 22 de junio de 2024 . Consultado el 25 de octubre de 2020 .
25. Fatah, Alim A.; Higgins, Kathleen M. (febrero de 1999). Laboratorios forenses: manual para la planificación, el diseño, la construcción y el traslado de instalaciones. Editorial DIANE. ISBN 9780788176241. Archivado desde el original el 22 de junio de 2024 . Consultado el 25 de octubre de 2020 .
26. Adams, Richard (2013). "'El modelo avanzado de adquisición de datos (ADAM): un modelo de proceso para la práctica forense digital". Universidad Murdoch. Archivado (PDF) desde el original el 14 de noviembre de 2014.
27. "'Guía electrónica de investigación de la escena del crimen: una guía para los socorristas" (PDF) . Instituto Nacional de Justicia. 2001. Archivado (PDF) desde el original el 15 de febrero de 2010.
28. "Atrapar el fantasma: cómo descubrir pruebas efímeras con el análisis de Live RAM". Investigación de Belkasoft. 2013. Archivado desde el original el 12 de agosto de 2015 . Consultado el 24 de octubre de 2014 .
29. Adams, Richard (2013). "'La aparición del almacenamiento en la nube y la necesidad de un nuevo modelo de proceso forense digital" (PDF) . Universidad Murdoch. Archivado (PDF) desde el original el 5 de abril de 2016 . Consultado el 21 de noviembre de 2013 .
30. Maarten Van Horenbeeck (24 de mayo de 2006). "Investigación de delitos tecnológicos". Archivado desde el original el 17 de mayo de 2008 . Consultado el 17 de agosto de 2010 .
31. Richard, Adams; Graham, Mann; Valerie, Hobbs (2017). ISEEK, una herramienta para la adquisición de datos forenses distribuidos, simultáneos y de alta velocidad. 15.ª Conferencia Australiana de Ciencia Forense Digital, 5 y 6 de diciembre de 2017. Perth, Australia Occidental. Archivado desde el original el 22 de junio de 2024 . Consultado el 16 de junio de 2020 .
32. Hoelz, Bruno WP; Ralha, Célia Ghedini; Geeverghese, Rajiv (8 de marzo de 2009). "Inteligencia artificial aplicada a la informática forense". Actas del simposio ACM de 2009 sobre informática aplicada . ACM. págs. 883–888. doi :10.1145/1529282.1529471. ISBN 9781605581668. S2CID  5382101.
33. Warren G. Kruse; Jay G. Heiser (2002). "Informática forense: conceptos básicos de respuesta a incidentes" . Addison-Wesley. pag. 392.ISBN​ 978-0-201-70719-9.
34. Forte, Darío (febrero de 2009). "¿Los discos cifrados significan el fin de la ciencia forense?". Fraude informático y seguridad . 2009 (2): 18-20. doi :10.1016/s1361-3723(09)70023-5. ISSN  1361-3723. Archivado desde el original el 22 de junio de 2024 . Consultado el 22 de junio de 2024 .
35. Sarah Mocas (febrero de 2004). "Construyendo fundamentos teóricos para la investigación forense digital". Investigación Digital . 1 (1): 61–68. CiteSeerX 10.1.1.7.7070 . doi :10.1016/j.diin.2003.12.004. ISSN  1742-2876. 
36. Kanellis, Panagiotis (2006). Crimen digital y ciencia forense en el ciberespacio . Idea Group Inc (IGI). pag. 357.ISBN​ 978-1-59140-873-4.
37. Daniel J. Ryan; Gal Shpantzer. "Aspectos legales de la ciencia forense digital" (PDF) . Archivado (PDF) desde el original el 15 de agosto de 2011 . Consultado el 31 de agosto de 2010 .
38. Estados Unidos contra Bonallo , 858 F. 2d 1427 ( 9th Cir. 1988), archivado desde el original.
39. "Reglas federales de prueba n.º 702". Archivado desde el original el 19 de agosto de 2010 . Consultado el 23 de agosto de 2010 .
40. "Guía de pruebas electrónicas". Consejo Europeo. Abril de 2013. Archivado desde el original el 27 de diciembre de 2013.
41. Brian Carrier (octubre de 2002). "Herramientas forenses digitales de código abierto: el argumento legal" (PDF) . Informe de investigación de @stake. Archivado (PDF) desde el original el 26 de julio de 2011.
42. Brunty, Josh (marzo de 2011). "Validación de software y herramientas forenses: una guía rápida para el examinador forense digital". Revista Forense. Archivado desde el original el 22 de abril de 2017.
43. "Programa de prueba de herramientas informáticas forenses (CFTT)". División de Software y Sistemas Grupo de Calidad de Software . Laboratorio de tecnología de la información del NIST . 8 de mayo de 2017. Archivado desde el original el 30 de enero de 2024 . Consultado el 30 de enero de 2024 .
44. https://www.researchgate.net/publication/236681282_On-scene_Triage_open_source_forensic_tool_chests_Are_they_ Effective Archivado el 20 de agosto de 2022 en Wayback Machine .
45. "Copia archivada" (PDF) . Archivado (PDF) desde el original el 30 de enero de 2024 . Consultado el 30 de enero de 2024 .{{cite web}}: Mantenimiento CS1: copia archivada como título ( enlace )
46. Hildebrandt, Mario; Kiltz, Stefan; Dittmann, Jana (2011). "Un plan común para la evaluación de software forense". 2011 Sexto Congreso Internacional sobre Gestión de Incidentes de Seguridad TI y Análisis Forense de TI . págs. 92-106. doi :10.1109/IMF.2011.11. ISBN 978-1-4577-0146-7. Archivado desde el original el 16 de abril de 2024 . Consultado el 12 de mayo de 2024 .
47. "Copia archivada" (PDF) . Archivado (PDF) desde el original el 30 de enero de 2024 . Consultado el 30 de enero de 2024 .{{cite web}}: Mantenimiento CS1: copia archivada como título ( enlace )
48. Jansen, Wayne (2004). "Ayers" (PDF) . Publicación especial del NIST . NIST. doi : 10.6028/NIST.SP.800-72 . Archivado (PDF) desde el original el 12 de febrero de 2006 . Consultado el 26 de febrero de 2006 .
49. Un Yasinsac; RF Erbacher; Marcas de la DG; MM Pollitt (2003). "Educación en informática forense". Seguridad y privacidad de IEEE . 1 (4): 15-23. doi :10.1109/MSECP.2003.1219052.
50. "Investigación de delitos tecnológicos :: análisis forense móvil". Archivado desde el original el 17 de mayo de 2008 . Consultado el 18 de agosto de 2010 .
51. Gary Palmer, Una hoja de ruta para la investigación forense digital, Informe del DFRWS 2001, Primer taller de investigación forense digital, Utica, Nueva York, 7 a 8 de agosto de 2001, páginas 27 a 30
52. "Dos rusos enfrentan cargos de piratería informática". Tiempos de Moscú . 24 de abril de 2001. Archivado desde el original el 22 de junio de 2011 . Consultado el 3 de septiembre de 2010 .
53. Burns, Matt (6 de marzo de 2020). "Una guía rápida para la investigación forense de imágenes digitales". Cámara Forense . Archivado desde el original el 21 de diciembre de 2022 . Consultado el 21 de diciembre de 2022 .
54. Farid, Hany (15 de septiembre de 2019). "Imagen forense". Revisión anual de la ciencia de la visión . 5 (1): 549–573. doi : 10.1146/annurev-vision-091718-014827. ISSN  2374-4642. PMID  31525144. S2CID  202642073. Archivado desde el original el 22 de junio de 2024 . Consultado el 21 de diciembre de 2022 .
55. Waldrop, M. Mitchell (16 de marzo de 2020). "Medios sintéticos: el verdadero problema de los deepfakes". Revista Conocible . Revisiones anuales. doi : 10.1146/conocible-031320-1 . Archivado desde el original el 19 de noviembre de 2022 . Consultado el 19 de diciembre de 2022 .
56. Pawelec, M (2022). "Deepfakes y democracia (teoría): cómo los medios audiovisuales sintéticos para la desinformación y el discurso de odio amenazan las funciones democráticas fundamentales". Sociedad Digital: Ética, Sociojurídica y Gobernanza de la Tecnología Digital . 1 (2): 19. doi : 10.1007/s44206-022-00010-6 . PMC 9453721 . PMID  36097613. 
57. Westerlund, Mika (2019). "La aparición de la tecnología Deepfake: una revisión". Revisión de la gestión de la innovación tecnológica . 9 (11): 39–52. doi : 10.22215/timreview/1282 . ISSN  1927-0321. S2CID  214014129. Archivado desde el original el 22 de diciembre de 2022 . Consultado el 21 de diciembre de 2022 .
58. Olivier, Martin S. (marzo de 2009). "Sobre el contexto de los metadatos en la ciencia forense de bases de datos". Investigación Digital . 5 (3–4): 115–123. CiteSeerX 10.1.1.566.7390 . doi :10.1016/j.diin.2008.10.001. 
59. M. Stoyanova; Y. Nikoloudakis; S. Panagiotakis; E. Pallis; E. Markakis (2020). "Una encuesta sobre la ciencia forense de Internet de las cosas (IoT): desafíos, enfoques y cuestiones abiertas". Encuestas y tutoriales de comunicaciones IEEE . 22 (2): 1191-1221. doi : 10.1109/COMST.2019.2962586 . S2CID  213028057.

Otras lecturas

• Årnes, André (2018). Forense digital . Wiley et al. ISBN 978-1-119-26238-1.
• Carrier, Brian D. (febrero de 2006). "Riesgos del análisis forense digital en vivo". Comunicaciones de la ACM . 49 (2): 56–61. doi :10.1145/1113034.1113069. ISSN  0001-0782. S2CID  16829457.
• Crowley, Pablo. Análisis forense de CD y DVD . Rockland, MA: Syngress. ISBN 978-1597491280.
• Kanellis, Panagiotis (1 de enero de 2006). Crimen digital y ciencia forense en el ciberespacio. Editorial IGI. pag. 357.ISBN​ 978-1-59140-873-4.
• Jones, Andrés (2008). Construcción de un laboratorio forense digital. Butterworth-Heinemann. pag. 312.ISBN​ 978-1-85617-510-4.
• Marshell, Angus M. (2008). Forense digital: evidencia digital en la investigación criminal. Wiley-Blackwell. pag. 148.ISBN​ 978-0-470-51775-8.
• Sammons, Juan (2012). Los conceptos básicos de la ciencia forense digital: la introducción para iniciarse en la ciencia forense digital . Singreso. ISBN 978-1597496612.

Revistas relacionadas

• Revista de Forense Digital, Seguridad y Derecho
• Revista internacional de criminalidad digital y ciencia forense
• Revista de Investigación Digital
• Revista Internacional de Evidencia Digital
• Revista internacional de informática forense
• Revista de práctica forense digital
• Revista forense de dispositivos digitales a pequeña escala

enlaces externos

• Grupo de Trabajo Científico sobre Evidencia Digital
• Estudios de casos de ciencia forense digital