Informática forense digital

Rama de la ciencia forense

Imágenes aéreas de FLETC , donde se desarrollaron los estándares forenses digitales de EE. UU. en los años 1980 y 1990

La ciencia forense digital (a veces conocida como ciencia forense digital ) es una rama de la ciencia forense que abarca la recuperación, investigación, examen y análisis de material encontrado en dispositivos digitales, a menudo en relación con dispositivos móviles y delitos informáticos . ^{[1] [2]} El término "ciencia forense digital" se usó originalmente como sinónimo de informática forense , pero se ha expandido para cubrir la investigación de todos los dispositivos capaces de almacenar datos digitales . ^[1] Con raíces en la revolución de la computación personal de fines de la década de 1970 y principios de la de 1980, la disciplina evolucionó de manera aleatoria durante la década de 1990, y no fue hasta principios del siglo XXI que surgieron políticas nacionales.

Las investigaciones forenses digitales tienen diversas aplicaciones. La más común es sustentar o refutar una hipótesis ante tribunales civiles o penales . Los casos penales involucran la supuesta violación de leyes definidas por la legislación y aplicadas por la policía y procesadas por el estado, como asesinato, robo y agresión contra la persona. Los casos civiles, por otro lado, tratan de proteger los derechos y la propiedad de las personas (a menudo asociados con disputas familiares), pero también pueden estar relacionados con disputas contractuales entre entidades comerciales donde puede estar involucrada una forma de investigación forense digital conocida como descubrimiento electrónico (ediscovery).

La investigación forense también puede aplicarse en el sector privado, por ejemplo durante investigaciones corporativas internas o investigaciones de intrusiones (una investigación especial sobre la naturaleza y el alcance de una intrusión no autorizada en la red ).

El aspecto técnico de una investigación se divide en varias subramas relacionadas con el tipo de dispositivos digitales involucrados: informática forense, informática forense de redes , análisis forense de datos y informática forense de dispositivos móviles . ^[3] El proceso forense típico abarca la incautación, la obtención de imágenes forenses (adquisición) y el análisis de medios digitales, seguido de la producción de un informe de la evidencia recolectada.

Además de identificar evidencia directa de un crimen, la ciencia forense digital se puede utilizar para atribuir evidencia a sospechosos específicos, confirmar coartadas o declaraciones, determinar intenciones , identificar fuentes (por ejemplo, en casos de derechos de autor) o autenticar documentos. ^[4] Las investigaciones tienen un alcance mucho más amplio que otras áreas del análisis forense (donde el objetivo habitual es proporcionar respuestas a una serie de preguntas más simples), y a menudo involucran líneas de tiempo o hipótesis complejas. ^[5]

Historia

Antes de la década de 1970, los delitos informáticos se abordaban mediante leyes existentes. Los primeros delitos informáticos se reconocieron en la Ley de Delitos Informáticos de Florida de 1978, ^[6] que incluía legislación contra la modificación o eliminación no autorizada de datos en un sistema informático. ^[7] En los años siguientes, la variedad de delitos informáticos que se cometían aumentó y se aprobaron leyes para abordar cuestiones de derechos de autor , privacidad/acoso (por ejemplo, acoso cibernético , happy slapping , acecho cibernético y depredadores en línea ) y pornografía infantil . ^{[8] [9]} No fue hasta la década de 1980 que las leyes federales comenzaron a incorporar delitos informáticos. Canadá fue el primer país en aprobar una legislación en 1983. ^[7] A esto le siguieron la Ley Federal de Abuso y Fraude Informático de los EE. UU. en 1986, las enmiendas australianas a sus leyes de delitos en 1989 y la Ley Británica de Uso Indebido de Computadoras en 1990. ^{[7] [9]}

Década de 1980 y 1990: Crecimiento del campo

El aumento de los delitos informáticos durante los años 1980 y 1990 hizo que las fuerzas de seguridad comenzaran a establecer grupos especializados, generalmente a nivel nacional, para manejar los aspectos técnicos de las investigaciones. Por ejemplo, en 1984, el FBI lanzó un Equipo de Análisis y Respuesta Informática y al año siguiente se creó un departamento de delitos informáticos dentro de la brigada de fraude de la Policía Metropolitana británica . Además de ser profesionales de las fuerzas de seguridad, muchos de los primeros miembros de estos grupos también eran aficionados a la informática y se convirtieron en responsables de la investigación y la dirección iniciales de este campo. ^{[10] [11]}

Uno de los primeros ejemplos prácticos (o al menos publicitados) de análisis forense digital fue la persecución que Cliff Stoll llevó a cabo contra el hacker Markus Hess en 1986. Stoll, cuya investigación utilizó técnicas forenses informáticas y de redes, no era un examinador especializado. ^[12] Muchos de los primeros exámenes forenses siguieron el mismo perfil. ^[13]

Durante la década de 1990, hubo una gran demanda de estos nuevos y básicos recursos de investigación. La presión sobre las unidades centrales llevó a la creación de grupos a nivel regional, e incluso local, para ayudar a manejar la carga. Por ejemplo, en 2001 se creó la Unidad Nacional Británica contra Delitos de Alta Tecnología para proporcionar una infraestructura nacional para los delitos informáticos, con personal ubicado tanto en la zona central de Londres como en las diversas fuerzas policiales regionales (la unidad se incorporó a la Agencia contra el Crimen Organizado Grave (SOCA) en 2006). ^[11]

Durante este período, la ciencia forense digital creció a partir de las herramientas y técnicas ad hoc desarrolladas por estos profesionales aficionados. Esto contrasta con otras disciplinas forenses, que se desarrollaron a partir del trabajo de la comunidad científica. ^{[1] [14]} No fue hasta 1992 que el término "informática forense" se utilizó en la literatura académica (aunque antes de esto, había sido de uso informal); un artículo de Collier y Spaul intentó justificar esta nueva disciplina ante el mundo de la ciencia forense. ^{[15] [16]} Este rápido desarrollo resultó en una falta de estandarización y capacitación. En su libro de 1995, High-Technology Crime: Investigating Cases Involving Computers (Delito de alta tecnología: investigación de casos que involucran computadoras) , K. Rosenblatt escribió lo siguiente:

La incautación, conservación y análisis de pruebas almacenadas en una computadora es el mayor desafío forense que enfrentan las fuerzas del orden en la década de 1990. Aunque la mayoría de las pruebas forenses, como las huellas dactilares y las pruebas de ADN, son realizadas por expertos especialmente capacitados, la tarea de recopilar y analizar pruebas informáticas a menudo se asigna a los agentes de patrulla y a los detectives. ^[17]

Década de 2000: desarrollo de estándares

Desde el año 2000, en respuesta a la necesidad de estandarización, varios organismos y agencias han publicado directrices para la investigación forense digital. El Grupo de Trabajo Científico sobre Evidencia Digital (SWGDE) elaboró ​​un documento en 2002, Mejores prácticas para la investigación forense informática , al que siguió, en 2005, la publicación de una norma ISO ( ISO 17025 , Requisitos generales para la competencia de los laboratorios de ensayo y calibración ). ^{[7] [18] [19]} En 2004 entró en vigor un tratado internacional liderado por Europa, la Convención sobre el Cibercrimen , con el objetivo de conciliar las leyes nacionales sobre delitos informáticos, las técnicas de investigación y la cooperación internacional. El tratado ha sido firmado por 43 naciones (incluidos Estados Unidos, Canadá, Japón, Sudáfrica, el Reino Unido y otras naciones europeas) y ratificado por 16.

También se prestó atención a la cuestión de la formación. Las empresas comerciales (a menudo, desarrolladores de software forense) comenzaron a ofrecer programas de certificación, y el análisis forense digital se incluyó como tema en el centro de formación de investigadores especializados del Reino Unido, Centrex . ^{[7] [11]}

A fines de la década de 1990, los dispositivos móviles se volvieron más accesibles, avanzando más allá de los simples dispositivos de comunicación, y se descubrió que eran formas valiosas de información, incluso para delitos que tradicionalmente no se asociaban con la ciencia forense digital. ^[20] A pesar de esto, el análisis digital de los teléfonos se ha quedado atrás de los medios informáticos tradicionales, en gran medida debido a problemas sobre la naturaleza patentada de los dispositivos. ^[21]

La atención también se ha desplazado hacia los delitos en Internet, en particular el riesgo de guerra cibernética y terrorismo cibernético . Un informe de febrero de 2010 del Comando de Fuerzas Conjuntas de los Estados Unidos concluyó lo siguiente:

A través del ciberespacio, los enemigos atacarán a la industria, el mundo académico, el gobierno y las fuerzas armadas en los ámbitos aéreo, terrestre, marítimo y espacial. De la misma manera que el poder aéreo transformó el campo de batalla de la Segunda Guerra Mundial, el ciberespacio ha fracturado las barreras físicas que protegen a una nación de los ataques a su comercio y comunicación. ^[22]

El campo de la investigación forense digital aún enfrenta problemas sin resolver. Un artículo de 2009, "Investigación forense digital: lo bueno, lo malo y lo no resuelto" de Peterson y Shenoi, identificó un sesgo hacia los sistemas operativos Windows en la investigación forense digital. ^[23] En 2010, Simson Garfinkel identificó problemas que enfrentarán las investigaciones digitales en el futuro, incluyendo el tamaño cada vez mayor de los medios digitales, la amplia disponibilidad de cifrado para los consumidores, una creciente variedad de sistemas operativos y formatos de archivo, un número cada vez mayor de personas que poseen múltiples dispositivos y limitaciones legales para los investigadores. El artículo también identificó problemas de capacitación continua, así como el costo prohibitivamente alto de ingresar al campo. ^[12]

Desarrollo de herramientas forenses

Durante la década de 1980, existían muy pocas herramientas forenses digitales especializadas. En consecuencia, los investigadores solían realizar análisis en vivo de los medios, examinando las computadoras desde dentro del sistema operativo utilizando las herramientas de administración de sistemas existentes para extraer evidencia. Esta práctica conllevaba el riesgo de modificar los datos del disco, ya sea de manera inadvertida o no, lo que dio lugar a denuncias de manipulación de pruebas. A principios de la década de 1990 se crearon varias herramientas para abordar el problema.

La necesidad de este tipo de software se reconoció por primera vez en 1989 en el Centro de Capacitación para la Aplicación de la Ley Federal , lo que dio como resultado la creación de IMDUMP ^[24] (por Michael White) y en 1990, SafeBack ^[25] (desarrollado por Sydex). Se desarrolló un software similar en otros países; DIBS (una solución de hardware y software) se lanzó comercialmente en el Reino Unido en 1991, y Rob McKemmish lanzó Fixed Disk Image de forma gratuita a la policía australiana. ^[10] Estas herramientas permitieron a los examinadores crear una copia exacta de un medio digital para trabajar, dejando el disco original intacto para su verificación. A fines de la década de 1990, a medida que crecía la demanda de evidencia digital, se desarrollaron herramientas comerciales más avanzadas como EnCase y FTK , que permitían a los analistas examinar copias de medios sin utilizar ningún análisis forense en vivo. ^[7] Más recientemente, ha crecido una tendencia hacia el "análisis forense de memoria en vivo", lo que resultó en la disponibilidad de herramientas como WindowsSCOPE .

Más recientemente, se ha producido la misma progresión en el desarrollo de herramientas para dispositivos móviles ; inicialmente, los investigadores accedían a los datos directamente en el dispositivo, pero pronto aparecieron herramientas especializadas como XRY o Radio Tactics Aceso. ^[7]

Proceso forense

Un bloqueador de escritura portátil de Tableau conectado a un disco duro

Una investigación forense digital normalmente consta de 3 etapas:

• adquisición o toma de imágenes de objetos expuestos, ^[26]
• análisis, y
• informes. ^{[7] [27]}

La adquisición normalmente no implica capturar una imagen de la memoria volátil (RAM) de la computadora, a menos que esto se haga como parte de una investigación de respuesta a incidentes. ^[28] Normalmente, la tarea implica crear un duplicado exacto a nivel de sector (o "duplicado forense") del medio, a menudo utilizando un dispositivo de bloqueo de escritura para evitar la modificación del original. Sin embargo, el crecimiento en el tamaño de los medios de almacenamiento y desarrollos como la computación en la nube ^[29] han llevado a un mayor uso de adquisiciones "en vivo" mediante las cuales se adquiere una copia "lógica" de los datos en lugar de una imagen completa del dispositivo de almacenamiento físico. ^[26] Tanto la imagen adquirida (o copia lógica) como los medios/datos originales se codifican (utilizando un algoritmo como SHA-1 o MD5 ) y los valores se comparan para verificar que la copia sea precisa. ^[30]

Un enfoque alternativo (y patentado) (que se ha denominado "informática forense híbrida" ^[31] o "informática forense distribuida" ^[32] ) combina la informática forense digital y los procesos de descubrimiento electrónico. Este enfoque se ha materializado en una herramienta comercial llamada ISEEK que se presentó junto con los resultados de las pruebas en una conferencia en 2017. ^[31]

Durante la fase de análisis, el investigador recupera material probatorio utilizando una serie de metodologías y herramientas diferentes. En 2002, un artículo publicado en el International Journal of Digital Evidence se refirió a este paso como "una búsqueda sistemática y exhaustiva de pruebas relacionadas con el presunto delito". ^[1] En 2006, el investigador forense Brian Carrier describió un "procedimiento intuitivo" en el que primero se identifican las pruebas obvias y luego "se realizan búsquedas exhaustivas para empezar a rellenar los huecos". ^[5]

El proceso real de análisis puede variar entre investigaciones, pero las metodologías comunes incluyen la realización de búsquedas de palabras clave en los medios digitales (dentro de los archivos, así como en el espacio no asignado y disponible ), la recuperación de archivos eliminados y la extracción de información de registro (por ejemplo, para enumerar cuentas de usuario o dispositivos USB conectados).

La evidencia recuperada se analiza para reconstruir hechos o acciones y llegar a conclusiones, trabajo que a menudo puede ser realizado por personal menos especializado. ^[1] Cuando se completa una investigación, los datos se presentan, generalmente en forma de un informe escrito, en términos sencillos . ^[1]

Solicitud

Un ejemplo de metadatos Exif de una imagen que podrían usarse para demostrar su origen

La informática forense se utiliza habitualmente tanto en el ámbito del derecho penal como en el de la investigación privada. Tradicionalmente, se la ha asociado al derecho penal, donde se recogen pruebas para apoyar o refutar una hipótesis ante los tribunales. Al igual que en otras áreas de la informática forense, suele ser parte de una investigación más amplia que abarca varias disciplinas. En algunos casos, las pruebas recogidas se utilizan como una forma de recopilación de información, para otros fines que no sean los procedimientos judiciales (por ejemplo, para localizar, identificar o detener otros delitos). Como resultado, la recopilación de información a veces se rige por un estándar forense menos estricto.

En litigios civiles o asuntos corporativos, la investigación forense digital forma parte del proceso de descubrimiento electrónico (o eDiscovery). Los procedimientos forenses son similares a los que se utilizan en las investigaciones criminales, a menudo con diferentes requisitos y limitaciones legales. Fuera de los tribunales, la investigación forense digital puede formar parte de las investigaciones corporativas internas.

Un ejemplo común podría ser el de una intrusión no autorizada en la red . Se realiza un examen forense especializado sobre la naturaleza y el alcance del ataque como ejercicio de limitación de daños, tanto para establecer el alcance de cualquier intrusión como para intentar identificar al atacante. ^{[4] [5]} Estos ataques se llevaban a cabo comúnmente a través de líneas telefónicas durante la década de 1980, pero en la era moderna suelen propagarse a través de Internet. ^[33]

El objetivo principal de las investigaciones forenses digitales es recuperar pruebas objetivas de una actividad delictiva (denominada actus reus en el lenguaje jurídico). Sin embargo, la amplia gama de datos almacenados en dispositivos digitales puede ayudar en otras áreas de investigación. ^[4]

Atribución

Los metadatos y otros registros se pueden utilizar para atribuir acciones a una persona. Por ejemplo, los documentos personales guardados en una unidad de ordenador pueden identificar a su propietario.

Coartadas y declaraciones

La información proporcionada por los implicados puede cotejarse con pruebas digitales. Por ejemplo, durante la investigación de los asesinatos de Soham, la coartada del agresor quedó desmentida cuando los registros del teléfono móvil de la persona con la que afirmaba estar mostraron que ella se encontraba fuera de la ciudad en ese momento.

Intención

Además de encontrar pruebas objetivas de que se ha cometido un delito, las investigaciones también pueden utilizarse para demostrar la intención (conocida por el término legal mens rea ). Por ejemplo, el historial de Internet del asesino convicto Neil Entwistle incluía referencias a un sitio en el que se hablaba de cómo matar personas .

Evaluación de la fuente

Los artefactos de archivo y los metadatos se pueden utilizar para identificar el origen de un determinado dato; por ejemplo, las versiones anteriores de Microsoft Word incorporaban un identificador único global en los archivos que identificaba la computadora en la que se habían creado. Demostrar si un archivo se produjo en el dispositivo digital que se está examinando o se obtuvo de otro lugar (por ejemplo, Internet) puede ser muy importante. ^[4]

Autenticación de documentos

En relación con la "Evaluación de la fuente", los metadatos asociados a los documentos digitales se pueden modificar fácilmente (por ejemplo, al cambiar el reloj de la computadora se puede afectar la fecha de creación de un archivo). La autenticación de documentos se relaciona con la detección e identificación de la falsificación de dichos detalles.

Limitaciones

Una de las principales limitaciones de una investigación forense es el uso de cifrado, que dificulta el examen inicial, en el que se pueden encontrar pruebas pertinentes mediante el uso de palabras clave. Las leyes que obligan a las personas a revelar las claves de cifrado son todavía relativamente nuevas y controvertidas. ^[12] Pero cada vez hay más soluciones para forzar las contraseñas o eludir el cifrado, como en los teléfonos inteligentes o las PC, donde mediante técnicas de cargador de arranque se puede adquirir primero el contenido del dispositivo y luego forzarlo para encontrar la contraseña o la clave de cifrado. Se estima que alrededor del 60% de los casos que involucran dispositivos cifrados, a menudo no se procesan porque no hay forma de acceder a las posibles pruebas. ^[34]

Consideraciones legales

El examen de los medios digitales está regulado por la legislación nacional e internacional. En particular, en el caso de las investigaciones civiles, las leyes pueden restringir la capacidad de los analistas para realizar exámenes. A menudo existen restricciones contra el monitoreo de redes o la lectura de comunicaciones personales. ^[35] Durante la investigación criminal, las leyes nacionales limitan la cantidad de información que se puede incautar. ^[35] Por ejemplo, en el Reino Unido, la incautación de pruebas por parte de las fuerzas del orden se rige por la ley PACE . ^[7] Durante sus inicios en este campo, la "Organización Internacional de Evidencia Informática" (IOCE) fue una de las agencias que trabajó para establecer estándares internacionales compatibles para la incautación de pruebas. ^[36]

En el Reino Unido, las mismas leyes que rigen los delitos informáticos también pueden afectar a los investigadores forenses. La Ley de Uso Indebido de Computadoras de 1990 legisla contra el acceso no autorizado a material informático. Esto es una preocupación particular para los investigadores civiles, que tienen más limitaciones que las fuerzas del orden.

El derecho a la privacidad de las personas es un área de la ciencia forense digital que aún no ha sido resuelta en gran medida por los tribunales. La Ley de Privacidad de las Comunicaciones Electrónicas de los Estados Unidos impone limitaciones a la capacidad de las fuerzas del orden o de los investigadores civiles para interceptar y acceder a las pruebas. La ley hace una distinción entre las comunicaciones almacenadas (por ejemplo, los archivos de correo electrónico) y las comunicaciones transmitidas (como la VOIP ). Estas últimas, al considerarse más una invasión de la privacidad, son más difíciles de obtener una orden judicial. ^{[7] [17]} La ​​ECPA también afecta a la capacidad de las empresas para investigar los ordenadores y las comunicaciones de sus empleados, un aspecto que todavía está en debate en cuanto al grado en que una empresa puede realizar dicha supervisión. ^[7]

El artículo 5 del Convenio Europeo de Derechos Humanos establece limitaciones de privacidad similares a las de la ECPA y limita el procesamiento y el intercambio de datos personales tanto dentro de la UE como con países externos. La capacidad de las fuerzas de seguridad del Reino Unido para realizar investigaciones forenses digitales está regulada por la Ley de Regulación de los Poderes de Investigación . ^[7]

Evidencia digital

La evidencia digital puede presentarse en varias formas

Cuando se utilizan en un tribunal de justicia , las pruebas digitales se rigen por las mismas pautas legales que otras formas de prueba, ya que los tribunales no suelen exigir directrices más estrictas. ^{[7] [37]} En los Estados Unidos, las Reglas Federales de Evidencia se utilizan para evaluar la admisibilidad de las pruebas digitales. Las leyes PACE y Civil Evidence del Reino Unido tienen directrices similares y muchos otros países tienen sus propias leyes. Las leyes federales de los EE. UU. restringen las incautaciones a elementos que solo tienen un valor probatorio obvio. Se reconoce que esto no siempre es posible de establecer con medios digitales antes de un examen. ^[35]

Las leyes que tratan de la evidencia digital abordan dos cuestiones:

• Integridad: consiste en garantizar que el acto de confiscar y adquirir medios digitales no modifique la evidencia (ya sea la original o la copia).
• Autenticidad: se refiere a la capacidad de confirmar la integridad de la información; por ejemplo, que el medio de comunicación en imágenes coincide con la evidencia original. ^[35]

La facilidad con la que se pueden modificar los medios digitales significa que documentar la cadena de custodia desde la escena del crimen, pasando por el análisis y, en última instancia, hasta el tribunal (una forma de registro de auditoría ) es importante para establecer la autenticidad de la evidencia. ^[7]

Los abogados han argumentado que, dado que, en teoría, las pruebas digitales pueden alterarse, ello socava la fiabilidad de las mismas. Los jueces estadounidenses están empezando a rechazar esta teoría; en el caso US v. Bonallo, el tribunal dictaminó que "el hecho de que sea posible alterar los datos contenidos en una computadora es claramente insuficiente para establecer la falta de fiabilidad". ^{[7] [38]} En el Reino Unido, se siguen directrices como las emitidas por la ACPO para ayudar a documentar la autenticidad e integridad de las pruebas.

Los investigadores digitales, en particular en las investigaciones criminales, tienen que asegurarse de que las conclusiones se basen en pruebas fácticas y en su propio conocimiento experto. ^[7] En los EE. UU., por ejemplo, las Reglas Federales de Evidencia establecen que un experto calificado puede testificar “en forma de opinión o de otro modo” siempre que:

(1) el testimonio se basa en hechos o datos suficientes, (2) el testimonio es el producto de principios y métodos fiables, y (3) el testigo ha aplicado los principios y métodos de manera fiable a los hechos del caso. ^[39]

Cada una de las subramas de la ciencia forense digital puede tener sus propias directrices específicas para la realización de investigaciones y el manejo de pruebas. Por ejemplo, puede ser necesario colocar los teléfonos móviles en un escudo Faraday durante la incautación o adquisición para evitar un mayor tráfico de radio hacia el dispositivo. En el Reino Unido, el examen forense de las computadoras en asuntos penales está sujeto a las directrices de la ACPO . ^[7] También existen enfoques internacionales para proporcionar orientación sobre cómo manejar la evidencia electrónica . La "Guía de evidencia electrónica" del Consejo de Europa ofrece un marco para las autoridades policiales y judiciales en los países que buscan establecer o mejorar sus propias directrices para la identificación y el manejo de la evidencia electrónica. ^[40]

Herramientas de investigación

La admisibilidad de las pruebas digitales depende de las herramientas utilizadas para extraerlas. En Estados Unidos, las herramientas forenses están sujetas al estándar Daubert , donde el juez es responsable de garantizar que los procesos y el software utilizados fueron aceptables.

En un artículo de 2003, Brian Carrier sostuvo que las directrices Daubert exigían que el código de las herramientas forenses se publicara y fuera revisado por pares. Concluyó que "las herramientas de código abierto pueden cumplir con los requisitos de las directrices de manera más clara y completa que las herramientas de código cerrado". ^[41]

En 2011, Josh Brunty afirmó que la validación científica de la tecnología y el software asociados con la realización de un examen forense digital es fundamental para cualquier proceso de laboratorio. Sostuvo que "la ciencia de la ciencia forense digital se basa en los principios de procesos repetibles y evidencia de calidad, por lo que saber cómo diseñar y mantener adecuadamente un buen proceso de validación es un requisito clave para que cualquier examinador forense digital defienda sus métodos en los tribunales". ^[42]

Una de las cuestiones clave relacionadas con la validación de herramientas forenses es determinar una "línea de base" o punto de referencia para la prueba/evaluación de herramientas. Ha habido numerosos intentos de proporcionar un entorno para probar la funcionalidad de las herramientas forenses, como el programa de Pruebas de Herramientas Forenses Informáticas (CFTT) desarrollado por el NIST. ^[43]

Para tener en cuenta los diferentes entornos en los que operan los profesionales, también se han hecho muchos intentos de crear un marco para personalizar los entornos de prueba/evaluación. ^{[44] [45] [46]} Estos recursos se centran en un único sistema objetivo o en un número limitado de ellos. Sin embargo, no son escalables cuando se intenta probar/evaluar herramientas diseñadas para redes grandes o la nube, que se han vuelto más comunes en las investigaciones a lo largo de los años. A partir de 2024, el único marco que aborda el uso de agentes remotos por parte de herramientas forenses para el procesamiento/recopilación distribuidos es el desarrollado por Adams ^[47].

Sucursales

La investigación forense digital no se limita a recuperar datos simplemente de la computadora, ya que los delincuentes violan las leyes y ahora se utilizan ampliamente pequeños dispositivos digitales (por ejemplo, tabletas, teléfonos inteligentes, unidades flash). Algunos de estos dispositivos tienen memoria volátil, mientras que otros tienen memoria no volátil. Hay suficientes metodologías disponibles para recuperar datos de la memoria volátil, sin embargo, falta una metodología detallada o un marco para la recuperación de datos de fuentes de memoria no volátil. ^[48] Dependiendo del tipo de dispositivos, medios o artefactos, la investigación forense digital se ramifica en varios tipos.

Informática forense

Investigador privado y examinador forense digital certificado que toma imágenes de un disco duro en el campo para un examen forense.

El objetivo de la informática forense es explicar el estado actual de un artefacto digital, como un sistema informático, un medio de almacenamiento o un documento electrónico. ^[49] La disciplina generalmente cubre computadoras, sistemas integrados (dispositivos digitales con potencia informática rudimentaria y memoria incorporada) y memoria estática (como memorias USB).

La informática forense puede manejar una amplia gama de información, desde registros (como el historial de Internet) hasta los archivos reales del disco. En 2007, los fiscales utilizaron una hoja de cálculo recuperada del ordenador de Joseph Edward Duncan para demostrar premeditación y conseguir la pena de muerte . ^{[4] El asesino de} Sharon Lopatka fue identificado en 2006 después de que se encontraran en el ordenador de ella mensajes de correo electrónico de él en los que detallaba torturas y fantasías de muerte. ^[7]

Análisis forense de dispositivos móviles

Teléfonos móviles en una bolsa de pruebas del Reino Unido

La investigación forense de dispositivos móviles es una rama de la investigación forense digital relacionada con la recuperación de evidencia digital o datos de un dispositivo móvil . Se diferencia de la investigación forense informática en que un dispositivo móvil tendrá un sistema de comunicación incorporado (por ejemplo, GSM ) y, por lo general, mecanismos de almacenamiento propietarios. Las investigaciones generalmente se centran en datos simples como datos de llamadas y comunicaciones (SMS/correo electrónico) en lugar de una recuperación en profundidad de datos eliminados. ^{[7] [50] Los datos} SMS de una investigación de dispositivos móviles ayudaron a exonerar a Patrick Lumumba en el asesinato de Meredith Kercher . ^[4]

Los dispositivos móviles también son útiles para proporcionar información de ubicación, ya sea mediante el sistema de seguimiento de ubicación GPS incorporado o mediante registros de estaciones base , que rastrean los dispositivos dentro de su alcance. Dicha información se utilizó para rastrear a los secuestradores de Thomas Onofri en 2006. ^[4]

Análisis forense de redes

La ciencia forense de redes se ocupa de la supervisión y el análisis del tráfico de redes informáticas , tanto locales como WAN / Internet , con el fin de recopilar información, recopilar pruebas o detectar intrusiones. ^[51] El tráfico suele interceptarse a nivel de paquetes y almacenarse para su posterior análisis o filtrarse en tiempo real. A diferencia de otras áreas de la ciencia forense digital, los datos de red suelen ser volátiles y rara vez se registran, lo que hace que la disciplina sea a menudo reactiva.

En 2000, el FBI atrajo a los piratas informáticos Aleksey Ivanov y Gorshkov a Estados Unidos para una entrevista de trabajo falsa. Al monitorear el tráfico de red de los ordenadores de ambos, el FBI identificó contraseñas que les permitieron recopilar pruebas directamente de ordenadores con sede en Rusia. ^{[7] [52]}

Análisis de datos forenses

El análisis de datos forenses es una rama de la ciencia forense digital que examina datos estructurados con el objetivo de descubrir y analizar patrones de actividades fraudulentas resultantes de delitos financieros.

Análisis forense de imágenes digitales

La ciencia forense de imágenes digitales (o análisis forense de imágenes) es una rama de la ciencia forense digital que se ocupa del examen y la verificación de la autenticidad y el contenido de una imagen. ^[53] Estos pueden ir desde fotos retocadas con aerógrafo de la era de Stalin hasta elaborados videos deepfake . ^{[54] [55]} Esto tiene amplias implicaciones para una amplia variedad de delitos, para determinar la validez de la información presentada en juicios civiles y penales, y para verificar imágenes e información que circulan a través de noticias y redes sociales. ^{[54] [56] [57] [55]}

Análisis forense de bases de datos

La ciencia forense de bases de datos es una rama de la ciencia forense digital relacionada con el estudio forense de bases de datos y sus metadatos . ^[58] Las investigaciones utilizan contenidos de bases de datos, archivos de registro y datos en RAM para crear una línea de tiempo o recuperar información relevante.

Análisis forense de IoT

La ciencia forense de IoT es una rama de la ciencia forense digital que tiene como objetivo identificar y extraer información digital de dispositivos pertenecientes al campo de Internet de las cosas , para ser utilizada en investigaciones forenses como fuente potencial de evidencia. ^[59]

Véase también

• Lista de herramientas de análisis forense digital
• ciberespacio
• Búsqueda forense
• Glosario de términos de informática forense
• Esquema de la ciencia forense

Referencias

1. M Reith; C Carr; G Gunsch (2002). "Un examen de los modelos forenses digitales". Revista internacional de evidencia digital . CiteSeerX  10.1.1.13.9683 .
2. Carrier, B (2001). "Definición de herramientas de análisis y examen forense digital". Revista internacional de evidencia digital . 1 : 2003. CiteSeerX 10.1.1.14.8953 . 
3. "Las diferentes ramas de la ciencia forense digital". BlueVoyant . 8 de marzo de 2022. Archivado desde el original el 7 de octubre de 2023. Consultado el 9 de septiembre de 2023 .
4. Varios (2009). Eoghan Casey (ed.). Manual de investigación y análisis forense digital. Academic Press. pág. 567. ISBN 978-0-12-374267-4.
5. Carrier, Brian D (7 de junio de 2006). "Conceptos básicos de investigación forense digital". Archivado desde el original el 26 de febrero de 2010.
6. "La Ley de Delitos Informáticos de Florida, probablemente la primera legislación estadounidense contra los delitos informáticos, se convierte en ley". Historia de la información . 1978. Archivado desde el original el 12 de junio de 2010.
7. Casey, Eoghan (2004). Evidencia digital y delitos informáticos, segunda edición. Elsevier. ISBN 978-0-12-163104-8Archivado desde el original el 23 de julio de 2023. Consultado el 6 de noviembre de 2016 .
8. Aaron Phillip; David Cowen; Chris Davis (2009). Hacking Exposed: Computer Forensics [La piratería informática expuesta: análisis forense informático]. McGraw Hill Professional. pág. 544. ISBN 978-0-07-162677-4Archivado desde el original el 22 de junio de 2024 . Consultado el 27 de agosto de 2010 .
9. M, ME "Una breve historia de los delitos informáticos: A" (PDF) . Norwich University . Archivado (PDF) desde el original el 21 de agosto de 2010 . Consultado el 30 de agosto de 2010 .
10. Mohay, George M. (2003). Informática forense y análisis de intrusiones . Artechhouse. p. 395. ISBN 978-1-58053-369-0.
11. Peter Sommer (enero de 2004). "El futuro de la vigilancia de los delitos cibernéticos". Fraude informático y seguridad . 2004 (1): 8–12. doi :10.1016/S1361-3723(04)00017-X. ISSN  1361-3723.
12. Simson L. Garfinkel (agosto de 2010). "Investigación forense digital: los próximos 10 años". Investigación digital . 7 : S64–S73. doi : 10.1016/j.diin.2010.05.009 . ISSN  1742-2876.
13. Linda Volonino; Reynaldo Anzaldua (2008). Informática forense para principiantes . Para principiantes . p. 384. ISBN 978-0-470-37191-6.
14. GL Palmer; I Científico; H Ver (2002). "Análisis forense en el mundo digital". Revista Internacional de Evidencia Digital. Archivado desde el original el 9 de enero de 2023. Consultado el 2 de agosto de 2010 .
15. Wilding, E. (1997). Computer Evidence: a Forensic Investigations Handbook (Evidencia informática: un manual de investigaciones forenses) . Londres: Sweet & Maxwell. pág. 236. ISBN. 978-0-421-57990-3.
16. Collier, PA; Spaul, BJ (1992). "Una metodología forense para combatir el delito informático". Computers and Law .
17. KS Rosenblatt (1995). Delitos de alta tecnología: investigación de casos relacionados con computadoras . Publicaciones KSK. ISBN 978-0-9648171-0-4. Recuperado el 4 de agosto de 2010 .
18. "Mejores prácticas para la informática forense" (PDF) . SWGDE. Archivado desde el original (PDF) el 27 de diciembre de 2008 . Consultado el 4 de agosto de 2010 .
19. "ISO/IEC 17025:2005". ISO. Archivado desde el original el 5 de agosto de 2011. Consultado el 20 de agosto de 2010 .
20. SG Punja (2008). "Análisis de dispositivos móviles" (PDF) . Small Scale Digital Device Forensics Journal . Archivado desde el original (PDF) el 28 de julio de 2011.
21. Rizwan Ahmed (2008). "Mobile forensics: an overview, tools, future trends and challenges from law enforcement perspective" (PDF) . Sexta Conferencia Internacional sobre Gobierno Electrónico . Archivado (PDF) desde el original el 3 de marzo de 2016.
22. "El entorno operativo conjunto" Archivado el 10 de agosto de 2013 en Wayback Machine , Informe publicado el 18 de febrero de 2010, págs. 34-36
23. Peterson, Gilbert; Shenoi, Sujeet (2009). "Investigación forense digital: lo bueno, lo malo y lo que no se ha abordado". Avances en la ciencia forense digital V. IFIP Avances en la tecnología de la información y la comunicación. Vol. 306. Springer Boston. págs. 17–36. Código Bibliográfico : 2009adf5.conf...17B. doi : 10.1007/978-3-642-04155-6_2. ISBN: 978-3-642-04155-6_2 . 978-3-642-04154-9.
24. Mohay, George M. (2003). Informática forense y análisis de intrusiones. Artech House. ISBN 9781580536301Archivado desde el original el 22 de junio de 2024. Consultado el 25 de octubre de 2020 .
25. Fatah, Alim A.; Higgins, Kathleen M. (febrero de 1999). Laboratorios forenses: Manual para la planificación, el diseño, la construcción y el traslado de instalaciones. DIANE Publishing. ISBN 9780788176241Archivado desde el original el 22 de junio de 2024. Consultado el 25 de octubre de 2020 .
26. Adams, Richard (2013). "'El modelo avanzado de adquisición de datos (ADAM): un modelo de proceso para la práctica forense digital". Universidad Murdoch. Archivado (PDF) desde el original el 14 de noviembre de 2014.
27. "Guía de investigación electrónica de la escena del crimen: una guía para los primeros intervinientes" (PDF) . Instituto Nacional de Justicia. 2001. Archivado (PDF) desde el original el 15 de febrero de 2010.
28. "Atrapar al fantasma: cómo descubrir evidencia efímera con el análisis de Live RAM". Belkasoft Research. 2013. Archivado desde el original el 12 de agosto de 2015. Consultado el 24 de octubre de 2014 .
29. Adams, Richard (2013). «'El surgimiento del almacenamiento en la nube y la necesidad de un nuevo modelo de proceso forense digital» (PDF) . Universidad Murdoch. Archivado (PDF) desde el original el 5 de abril de 2016. Consultado el 21 de noviembre de 2013 .
30. Maarten Van Horenbeeck (24 de mayo de 2006). «Investigación de delitos tecnológicos». Archivado desde el original el 17 de mayo de 2008. Consultado el 17 de agosto de 2010 .
31. Richard, Adams; Graham, Mann; Valerie, Hobbs (2017). ISEEK, una herramienta para la adquisición de datos forenses distribuidos, simultáneos y de alta velocidad. 15.ª Conferencia Australiana de Informática Forense Digital, 5 y 6 de diciembre de 2017. Perth, Australia Occidental. Archivado desde el original el 22 de junio de 2024. Consultado el 16 de junio de 2020 .
32. Hoelz, Bruno WP; Ralha, Célia Ghedini; Geeverghese, Rajiv (8 de marzo de 2009). "Inteligencia artificial aplicada a la informática forense". Actas del simposio ACM de 2009 sobre informática aplicada . ACM. págs. 883–888. doi :10.1145/1529282.1529471. ISBN. 9781605581668. Número de identificación del sujeto  5382101.
33. Warren G. Kruse; Jay G. Heiser (2002). Informática forense: aspectos esenciales de la respuesta a incidentes . Addison-Wesley. pág. 392. ISBN 978-0-201-70719-9.
34. Forte, Dario (febrero de 2009). "¿Los discos encriptados significan el fin de la ciencia forense?". Computer Fraud & Security . 2009 (2): 18–20. doi :10.1016/s1361-3723(09)70023-5. ISSN  1361-3723. Archivado desde el original el 22 de junio de 2024. Consultado el 22 de junio de 2024 .
35. Sarah Mocas (febrero de 2004). "Construyendo bases teóricas para la investigación forense digital". Investigación digital . 1 (1): 61–68. CiteSeerX 10.1.1.7.7070 . doi :10.1016/j.diin.2003.12.004. ISSN  1742-2876. 
36. Kanellis, Panagiotis (2006). Delito digital y ciencia forense en el ciberespacio . Idea Group Inc (IGI). pág. 357. ISBN 978-1-59140-873-4.
37. Daniel J. Ryan; Gal Shpantzer. "Aspectos legales de la investigación forense digital" (PDF) . Archivado (PDF) desde el original el 15 de agosto de 2011. Consultado el 31 de agosto de 2010 .
38. US v. Bonallo , 858 F. 2d 1427 ( 9th Cir. 1988), archivado desde el original.
39. "Reglas Federales de Evidencia #702". Archivado desde el original el 19 de agosto de 2010 . Consultado el 23 de agosto de 2010 .
40. "Guía de pruebas electrónicas". Consejo de Europa. Abril de 2013. Archivado desde el original el 27 de diciembre de 2013.
41. Brian Carrier (octubre de 2002). "Herramientas forenses digitales de código abierto: el argumento legal" (PDF) . Informe de investigación de @stake. Archivado (PDF) del original el 26 de julio de 2011.
42. Brunty, Josh (marzo de 2011). "Validación de herramientas y software forenses: una guía rápida para el examinador forense digital". Revista Forensic. Archivado desde el original el 22 de abril de 2017.
43. "Programa de prueba de herramientas de informática forense (CFTT)". División de software y sistemas Grupo de calidad de software . Laboratorio de tecnología de la información del NIST . 8 de mayo de 2017. Archivado desde el original el 30 de enero de 2024. Consultado el 30 de enero de 2024 .
44. https://www.researchgate.net/publication/236681282_On-scene_Triage_open_source_forensic_tool_chests_Are_they_effective Archivado el 20 de agosto de 2022 en Wayback Machine .
45. "Copia archivada" (PDF) . Archivado (PDF) desde el original el 2024-01-30 . Consultado el 2024-01-30 .{{cite web}}: CS1 maint: copia archivada como título ( enlace )
46. Hildebrandt, Mario; Kiltz, Stefan; Dittmann, Jana (2011). "Un esquema común para la evaluación de software forense". Sexta Conferencia Internacional sobre Gestión de Incidentes de Seguridad de TI y Análisis Forense de TI , 2011. págs. 92–106. doi :10.1109/IMF.2011.11. ISBN 978-1-4577-0146-7Archivado desde el original el 16 de abril de 2024. Consultado el 12 de mayo de 2024 .
47. "Copia archivada" (PDF) . Archivado (PDF) desde el original el 2024-01-30 . Consultado el 2024-01-30 .{{cite web}}: CS1 maint: copia archivada como título ( enlace )
48. Jansen, Wayne (2004). "Ayers" (PDF) . Publicación especial del NIST . NIST. doi : 10.6028/NIST.SP.800-72 . Archivado (PDF) desde el original el 12 de febrero de 2006. Consultado el 26 de febrero de 2006 .
49. A Yasinsac; RF Erbacher; DG Marks; MM Pollitt (2003). "Educación en informática forense". IEEE Security & Privacy . 1 (4): 15–23. doi :10.1109/MSECP.2003.1219052.
50. "Investigación de delitos tecnológicos:: Análisis forense móvil". Archivado desde el original el 17 de mayo de 2008. Consultado el 18 de agosto de 2010 .
51. Gary Palmer, A Road Map for Digital Forensic Research, Informe de DFRWS 2001, Primer taller de investigación forense digital, Utica, Nueva York, 7 y 8 de agosto de 2001, página(s) 27-30
52. "Dos rusos se enfrentan a cargos de piratería informática". Moscow Times . 24 de abril de 2001. Archivado desde el original el 22 de junio de 2011 . Consultado el 3 de septiembre de 2010 .
53. Burns, Matt (6 de marzo de 2020). "Una guía rápida para la investigación forense de imágenes digitales". CameraForensics . Archivado desde el original el 21 de diciembre de 2022. Consultado el 21 de diciembre de 2022 .
54. Farid, Hany (15 de septiembre de 2019). "Image Forensics". Revisión anual de la ciencia de la visión . 5 (1): 549–573. doi :10.1146/annurev-vision-091718-014827. ISSN  2374-4642. PMID  31525144. S2CID  202642073. Archivado desde el original el 22 de junio de 2024. Consultado el 21 de diciembre de 2022 .
55. Waldrop, M. Mitchell (16 de marzo de 2020). «Medios sintéticos: el verdadero problema de los deepfakes». Revista Knowable . Reseñas anuales. doi : 10.1146/knowable-031320-1 . Archivado desde el original el 19 de noviembre de 2022. Consultado el 19 de diciembre de 2022 .
56. Pawelec, M (2022). "Deepfakes y democracia (teoría): cómo los medios audiovisuales sintéticos para la desinformación y el discurso de odio amenazan las funciones democráticas fundamentales". Sociedad digital: ética, aspectos socio-legales y gobernanza de la tecnología digital . 1 (2): 19. doi : 10.1007/s44206-022-00010-6 . PMC 9453721 . PMID  36097613. 
57. Westerlund, Mika (2019). "El surgimiento de la tecnología Deepfake: una revisión". Technology Innovation Management Review . 9 (11): 39–52. doi : 10.22215/timreview/1282 . ISSN  1927-0321. S2CID  214014129. Archivado desde el original el 22 de diciembre de 2022 . Consultado el 21 de diciembre de 2022 .
58. Olivier, Martin S. (marzo de 2009). "Sobre el contexto de metadatos en la investigación forense de bases de datos". Digital Investigation . 5 (3–4): 115–123. CiteSeerX 10.1.1.566.7390 . doi :10.1016/j.diin.2008.10.001. 
59. M. Stoyanova; Y. Nikoloudakis; S. Panagiotakis; E. Pallis; E. Markakis (2020). "Una encuesta sobre la investigación forense de Internet de las cosas (IoT): desafíos, enfoques y cuestiones abiertas". IEEE Communications Surveys & Tutorials . 22 (2): 1191–1221. doi : 10.1109/COMST.2019.2962586 . S2CID  213028057.

Lectura adicional

• Årnes, André (2018). Forense digital . Wiley et al. ISBN 978-1-119-26238-1.
• Carrier, Brian D. (febrero de 2006). "Riesgos del análisis forense digital en directo". Comunicaciones de la ACM . 49 (2): 56–61. doi :10.1145/1113034.1113069. ISSN  0001-0782. S2CID  16829457.
• Crowley, Paul. Análisis forense de CD y DVD . Rockland, MA: Syngress. ISBN 978-1597491280.
• Kanellis, Panagiotis (1 de enero de 2006). Delito digital y ciencia forense en el ciberespacio. IGI Publishing. p. 357. ISBN 978-1-59140-873-4.
• Jones, Andrew (2008). Construcción de un laboratorio forense digital. Butterworth-Heinemann. pág. 312. ISBN 978-1-85617-510-4.
• Marshell, Angus M. (2008). Informática forense digital: evidencia digital en la investigación criminal. Wiley-Blackwell. pág. 148. ISBN 978-0-470-51775-8.
• Sammons, John (2012). Fundamentos de la ciencia forense digital: manual básico para iniciarse en la ciencia forense digital . Syngress. ISBN 978-1597496612.

Revistas relacionadas

• Revista de seguridad, derecho y forense digital
• Revista internacional sobre delitos digitales y ciencia forense
• Revista de investigación digital
• Revista Internacional de Evidencia Digital
• Revista internacional de informática forense
• Revista de práctica forense digital
• Revista forense sobre dispositivos digitales a pequeña escala

Enlaces externos

• Grupo de trabajo científico sobre evidencia digital
• Casos prácticos de análisis forense digital