La ciencia forense estocástica es un método para reconstruir forensemente la actividad digital carente de artefactos , mediante el análisis de propiedades emergentes que resultan de la naturaleza estocástica de las computadoras modernas. [1] [2] [3] A diferencia de la ciencia forense informática tradicional , que se basa en artefactos digitales , la ciencia forense estocástica no requiere artefactos y, por lo tanto, puede recrear actividad que de otro modo sería invisible. [3] Su principal aplicación es la investigación del robo de datos internos . [1] [2] [4]
La ciencia forense estocástica fue inventada en 2010 por el científico informático Jonathan Grier para detectar e investigar el robo de datos internos . [2] El robo de datos internos ha sido notoriamente difícil de investigar utilizando métodos tradicionales, ya que no crea ningún artefacto (como cambios en los atributos de archivo o en el Registro de Windows ). [3] [5] En consecuencia, la industria exigió una nueva técnica de investigación. [6]
Desde su invención, la ciencia forense estocástica se ha utilizado en investigaciones del mundo real sobre el robo de datos internos, [6] ha sido objeto de investigación académica, [1] [7] y ha satisfecho la demanda de la industria de herramientas y capacitación. [2] [8] [9]
La ciencia forense estocástica se inspira en el método de mecánica estadística utilizado en física . [2] [6] La mecánica newtoniana clásica calcula la posición exacta y el momento de cada partícula en un sistema. Esto funciona bien para sistemas, como el Sistema Solar , que consisten en una pequeña cantidad de objetos. Sin embargo, no se puede utilizar para estudiar cosas como un gas , que tiene una cantidad intratablemente grande de moléculas . La mecánica estadística, sin embargo, no intenta rastrear las propiedades de partículas individuales, sino solo las propiedades que emergen estadísticamente. Por lo tanto, puede analizar sistemas complejos sin necesidad de saber la posición exacta de sus partículas individuales.
No podemos predecir cómo se moverá y se agitará una molécula individual, pero al aceptar esa aleatoriedad y describirla matemáticamente, podemos usar las leyes de la estadística para predecir con precisión el comportamiento general del gas. La física experimentó un cambio de paradigma similar a fines del siglo XIX... ¿Podría la ciencia forense digital necesitar también un cambio de paradigma similar?
— Jonathan Grier, "Investigación del robo de datos con análisis forense estocástico", Digital Forensics Magazine , mayo de 2012
De la misma manera, los sistemas informáticos modernos, que pueden tener más de un estado, son demasiado complejos para ser analizados por completo. Por lo tanto, la ciencia forense estocástica considera a las computadoras como un proceso estocástico que, aunque impredecible, tiene propiedades probabilísticas bien definidas . Al analizar estas propiedades estadísticamente , la mecánica estocástica puede reconstruir la actividad que tuvo lugar, incluso si la actividad no creó ningún artefacto. [2] [3] [6]
La principal aplicación de la ciencia forense estocástica es la detección e investigación de robos de información privilegiada . El robo de información privilegiada suele ser obra de alguien que está técnicamente autorizado a acceder a los datos y que los utiliza regularmente como parte de su trabajo. No crea artefactos ni cambia los atributos de los archivos o el Registro de Windows . [5] En consecuencia, a diferencia de los ataques informáticos externos , que, por su naturaleza, dejan rastros del ataque, el robo de información privilegiada es prácticamente invisible. [3]
Sin embargo, la distribución estadística de los metadatos de los sistemas de archivos se ve afectada por este tipo de copias a gran escala. Al analizar esta distribución, la ciencia forense estocástica puede identificar y examinar este tipo de robo de datos. Los sistemas de archivos típicos tienen una distribución de acceso a archivos con colas pesadas . La copia en masa altera este patrón y, en consecuencia, es detectable. [1] [2]
Basándose en esto, la mecánica estocástica se ha utilizado para investigar con éxito el robo de datos internos donde otras técnicas han fallado. [1] [2] [3] [6] Normalmente, después de que la ciencia forense estocástica ha identificado el robo de datos, se requiere un seguimiento utilizando técnicas forenses tradicionales. [6]
Se ha criticado a la ciencia forense estocástica por ofrecer únicamente pruebas e indicios de robo de datos, pero no pruebas concretas. De hecho, exige que el profesional "piense como Sherlock, no como Aristóteles". Ciertas actividades autorizadas además del robo de datos pueden causar alteraciones similares en las distribuciones estadísticas. [1] [6]
Además, muchos sistemas operativos no registran las marcas de tiempo de acceso de forma predeterminada, lo que hace que la investigación forense estocástica no sea directamente aplicable. Se están realizando investigaciones para aplicar la investigación forense estocástica a estos sistemas operativos, así como a las bases de datos . [2]
Además, en su estado actual, la investigación forense estocástica requiere que un analista forense capacitado la aplique y evalúe. Se han recibido solicitudes para que Guidance Software y otros desarrolladores desarrollen herramientas para automatizar la investigación forense estocástica. [2]
