Informática forense

Rama de la ciencia forense digital

Un experto forense examina un dispositivo móvil que fue incautado durante una investigación

Tipos de medios utilizados para el análisis forense informático: una cámara digital Fujifilm FinePix , dos tarjetas de memoria flash , una unidad flash USB , un iPod de 5 GB , un CD-R o DVD grabable y un Mini CD .

La informática forense (también conocida como ciencia forense informática ) ^[1] es una rama de la ciencia forense digital que estudia las pruebas encontradas en ordenadores y medios de almacenamiento digitales . El objetivo de la informática forense es examinar los medios digitales de una manera forensemente sólida con el objetivo de identificar, preservar, recuperar, analizar y presentar hechos y opiniones sobre la información digital.

Aunque suele asociarse con la investigación de una amplia variedad de delitos informáticos , la informática forense también puede utilizarse en procedimientos civiles. La disciplina implica técnicas y principios similares a los de la recuperación de datos , pero con pautas y prácticas adicionales diseñadas para crear un registro de auditoría legal .

Las pruebas obtenidas mediante investigaciones forenses informáticas suelen estar sujetas a las mismas pautas y prácticas que otras pruebas digitales. Se han utilizado en numerosos casos de alto perfil y se aceptan como fiables en los sistemas judiciales de Estados Unidos y Europa.

Descripción general

A principios de la década de 1980, las computadoras personales se volvieron más accesibles para los consumidores, lo que llevó a un mayor uso en actividades delictivas (por ejemplo, para ayudar a cometer fraudes ). Al mismo tiempo, se reconocieron varios "delitos informáticos" nuevos (como el cracking ). La disciplina de la informática forense surgió durante este tiempo como un método para recuperar e investigar evidencia digital para su uso en los tribunales. Desde entonces, los delitos informáticos y los delitos relacionados con la computadora han crecido, y el FBI informó de 791.790 presuntos delitos en Internet en 2020, un aumento del 69% con respecto a la cantidad informada en 2019. ^{[2] [3]} Hoy en día, la informática forense se utiliza para investigar una amplia variedad de delitos, incluidos la pornografía infantil , el fraude, el espionaje , el acoso cibernético , el asesinato y la violación. La disciplina también aparece en los procedimientos civiles como una forma de recopilación de información (por ejemplo, el descubrimiento electrónico ).

Las técnicas forenses y el conocimiento experto se utilizan para explicar el estado actual de un artefacto digital , como un sistema informático, un medio de almacenamiento (por ejemplo, un disco duro o un CD-ROM ) o un documento electrónico (por ejemplo, un mensaje de correo electrónico o una imagen JPEG). ^[4] El alcance de un análisis forense puede variar desde la simple recuperación de información hasta la reconstrucción de una serie de eventos. En un libro de 2002, Computer Forensics , los autores Kruse y Heiser definen la informática forense como la que implica "la preservación, identificación, extracción, documentación e interpretación de datos informáticos". ^[5] Describen la disciplina como "más un arte que una ciencia", lo que indica que la metodología forense está respaldada por la flexibilidad y un amplio conocimiento del dominio . Sin embargo, si bien se pueden utilizar varios métodos para extraer evidencia de una computadora determinada, las estrategias utilizadas por las fuerzas del orden son bastante rígidas y carecen de la flexibilidad que se encuentra en el mundo civil. ^[6]

Ciberseguridad

La informática forense suele confundirse con la ciberseguridad . La ciberseguridad se centra en la prevención y la protección, mientras que la informática forense es más reactiva y activa, e implica actividades como el seguimiento y la exposición. La seguridad del sistema suele abarcar dos equipos: la ciberseguridad y la informática forense, que trabajan juntos. Un equipo de ciberseguridad crea sistemas y programas para proteger los datos; si estos fallan, el equipo de informática forense recupera los datos e investiga la intrusión y el robo. Ambas áreas requieren conocimientos de informática. ^[7]

Delitos informáticos

La informática forense se utiliza para condenar a los implicados en delitos físicos y digitales. Algunos de estos delitos informáticos incluyen la interrupción, la interceptación, la infracción de los derechos de autor y la invención. La interrupción se relaciona con la destrucción y el robo de partes de la computadora y archivos digitales. La interceptación es el acceso no autorizado a archivos e información almacenados en dispositivos tecnológicos. ^[8] La infracción de los derechos de autor se refiere al uso, la reproducción y la distribución de información protegida por derechos de autor, incluida la piratería de software. La invención implica acusar a alguien de utilizar datos e información falsos introducidos en el sistema a través de una fuente no autorizada. Algunos ejemplos de interceptaciones incluyen el caso del Banco NSP, el caso de Sony.Sambandh.com y las estafas de vulneración de correo electrónico empresarial. ^[9]

Usar como prueba

En los tribunales, las pruebas forenses informáticas están sujetas a los requisitos habituales para las pruebas digitales . Esto requiere que la información sea auténtica, obtenida de forma fiable y admisible. ^[10] Diferentes países tienen directrices y prácticas específicas para la recuperación de pruebas. En el Reino Unido , los examinadores suelen seguir las directrices de la Asociación de Jefes de Policía que ayudan a garantizar la autenticidad e integridad de las pruebas. Si bien son voluntarias, las directrices son ampliamente aceptadas en los tribunales británicos.

La informática forense se ha utilizado como prueba en el derecho penal desde mediados de la década de 1980. Algunos ejemplos notables incluyen: ^[11]

• Asesino de BTK : Dennis Rader fue condenado por una serie de asesinatos en serie a lo largo de dieciséis años. Hacia el final de este período, Rader envió cartas a la policía en un disquete. ^[12] Los metadatos de los documentos implicaban a un autor llamado "Dennis" en la "Iglesia Luterana de Cristo", lo que contribuyó al arresto de Rader. ^[13]
• Joseph Edward Duncan : Una hoja de cálculo recuperada de la computadora de Duncan contenía evidencia que mostraba que él había planeado sus crímenes. Los fiscales la utilizaron para demostrar premeditación y obtener la pena de muerte . ^[14]
• Sharon Lopatka : Cientos de correos electrónicos en la computadora de Lopatka llevaron a los investigadores a su asesino, Robert Glass. ^[11]
• Corcoran Group : En este caso, la investigación forense informática confirmó la obligación de las partes de preservar las pruebas digitales cuando el litigio había comenzado o se preveía razonablemente que lo haría. Se analizaron los discos duros, aunque el experto no encontró pruebas de eliminación, y las pruebas demostraron que los acusados ​​destruyeron los correos electrónicos intencionalmente. ^[11]
• Dr. Conrad Murray : El Dr. Conrad Murray, el médico de Michael Jackson , fue condenado parcialmente por evidencia digital, incluida documentación médica que mostraba cantidades letales de propofol .

Proceso forense

Un bloqueador de escritura portátil de Tableau conectado a un disco duro

Las investigaciones forenses informáticas suelen seguir el proceso forense digital estándar, que consta de cuatro fases: adquisición, examen, análisis y elaboración de informes. Las investigaciones suelen realizarse sobre datos estáticos (es decir, imágenes adquiridas ) en lugar de sistemas "en vivo". Esto difiere de las primeras prácticas forenses, cuando la falta de herramientas especializadas a menudo requería que los investigadores trabajaran con datos en vivo.

Laboratorio de informática forense

El laboratorio de informática forense es un entorno seguro en el que se pueden conservar, gestionar y acceder datos electrónicos en condiciones controladas, minimizando el riesgo de daño o alteración de las pruebas. Los peritos forenses cuentan con los recursos necesarios para extraer datos significativos de los dispositivos que examinan. ^[15]

Técnicas

En las investigaciones forenses informáticas se utilizan diversas técnicas, entre ellas:

Análisis de transmisión cruzada

Esta técnica correlaciona información encontrada en múltiples discos duros y puede utilizarse para identificar redes sociales o detectar anomalías. ^{[16] [17]}

Análisis en vivo

El examen de las computadoras desde dentro del sistema operativo utilizando herramientas forenses o de administración de sistemas existentes para extraer evidencia. Esta técnica es particularmente útil para tratar con sistemas de archivos cifrados donde se pueden recuperar claves de cifrado, o para crear imágenes del volumen lógico del disco duro (una adquisición en vivo) antes de apagar la computadora. El análisis en vivo también es beneficioso al examinar sistemas en red o dispositivos basados ​​en la nube a los que no se puede acceder físicamente. ^[18]

Archivos eliminados

Una técnica forense común consiste en recuperar archivos eliminados. La mayoría de los sistemas operativos y de archivos no borran los datos físicos de los archivos, lo que permite a los investigadores reconstruirlos a partir de los sectores físicos del disco . El software forense puede "extraer" archivos buscando encabezados de archivos conocidos y reconstruyendo los datos eliminados.

Análisis forense estocástico

Este método aprovecha las propiedades estocásticas de un sistema para investigar actividades sin artefactos digitales tradicionales, a menudo útiles en casos de robo de datos .

Esteganografía

La esteganografía implica ocultar datos dentro de otro archivo, como ocultar contenido ilegal dentro de una imagen. Los investigadores forenses detectan la esteganografía comparando los hashes de los archivos, ya que cualquier dato oculto alterará el valor hash del archivo.

Análisis forense de dispositivos móviles

Registros telefónicos

Las compañías telefónicas generalmente conservan registros de las llamadas recibidas, lo que puede ayudar a crear cronologías y establecer la ubicación de los sospechosos en el momento de un delito. ^[19]

Contactos

Las listas de contactos son útiles para delimitar el grupo de sospechosos en función de sus conexiones con la víctima. ^[19]

Mensajes de texto

Los mensajes de texto contienen marcas de tiempo y permanecen en los servidores de la empresa, a menudo por tiempo indefinido, incluso si se eliminan del dispositivo. Estos registros son evidencia valiosa para reconstruir la comunicación entre individuos. ^[19]

Fotos

Las fotografías pueden proporcionar evidencia crítica, apoyando o refutando coartadas al mostrar el lugar y la hora en que fueron tomadas. ^[19]

Grabaciones de audio

Algunas víctimas pueden haber grabado momentos cruciales, capturando detalles como la voz del atacante, lo que podría proporcionar evidencia crucial. ^[19]

Datos volátiles

Los datos volátiles se almacenan en la memoria o en tránsito y se pierden cuando se apaga la computadora. Residen en ubicaciones como registros, caché y RAM. La investigación de datos volátiles se conoce como "investigación forense en vivo".

Al incautar pruebas, si una máquina sigue activa, los datos volátiles almacenados únicamente en la memoria RAM pueden perderse si no se recuperan antes de apagar el sistema. Se puede utilizar un "análisis en vivo" para recuperar datos de la memoria RAM (por ejemplo, utilizando la herramienta COFEE de Microsoft , WinDD, WindowsSCOPE ) antes de retirar la máquina. Herramientas como CaptureGUARD Gateway permiten la adquisición de memoria física de una computadora bloqueada. ^{[ cita requerida ]}

A veces, los datos de la memoria RAM se pueden recuperar después de una pérdida de energía, ya que la carga eléctrica en las celdas de memoria se disipa lentamente. Técnicas como el ataque de arranque en frío explotan esta propiedad. Las temperaturas más bajas y los voltajes más altos aumentan la posibilidad de recuperación, pero a menudo resulta poco práctico implementar estas técnicas en investigaciones de campo.

Las herramientas que extraen datos volátiles suelen requerir que la computadora se encuentre en un laboratorio forense para mantener la cadena de evidencia. En algunos casos, se puede transportar una computadora de escritorio activa utilizando herramientas como un jiggler de mouse para evitar el modo de suspensión y un sistema de alimentación ininterrumpida (UPS) para mantener la energía.

Los archivos de página de sistemas de archivos con funciones de registro en diario, como NTFS y ReiserFS , también se pueden volver a ensamblar para recuperar datos de RAM almacenados durante el funcionamiento del sistema.

Herramientas de análisis

Existen numerosas herramientas comerciales y de código abierto para la investigación forense informática. Los análisis forenses más comunes incluyen revisiones manuales de medios, análisis del registro de Windows, descifrado de contraseñas, búsquedas de palabras clave y extracción de correos electrónicos e imágenes. Herramientas como Autopsy (software) , Belkasoft Evidence Center, Forensic Toolkit (FTK) y EnCase se utilizan ampliamente en la investigación forense digital.

Educación y carreras profesionales

Analista forense digital

Un analista forense digital es responsable de preservar la evidencia digital, catalogar la evidencia recopilada, analizar la evidencia relevante para el caso en curso, responder a las violaciones cibernéticas (a menudo en un contexto corporativo), redactar informes que contengan hallazgos y testificar en el tribunal. ^[20] A un analista forense digital también se lo puede denominar analista forense informático, examinador forense digital, analista forense cibernético, técnico forense u otros títulos con nombres similares, aunque estos roles realizan tareas similares. ^[21]

Certificaciones

Existen varias certificaciones en informática forense, como la de examinador informático certificado por la ISFCE, la de profesional en investigación forense digital (DFIP) y la de examinador informático forense certificado por la IACRB. La principal certificación independiente del proveedor, en particular dentro de la UE, es la de profesional certificado en informática forense (CCFP). ^{[22] [23]}

Muchas empresas de software forense comercial también ofrecen certificaciones patentadas. ^[24]

Véase también

• Examinador forense de computadoras certificado
• Contrainformática forense
• Criptoanálisis
• Atribución cibernética
• Remanencia de datos
• Cifrado de disco
• Encriptación
• Archivo oculto y directorio oculto
• Auditoría de tecnología de la información
• Tiempos MAC
• Esteganálisis
• Estados Unidos contra Arnold

Referencias

1. Michael G. Noblett; Mark M. Pollitt; Lawrence A. Presley (octubre de 2000). "Recuperación y examen de pruebas forenses informáticas" . Consultado el 26 de julio de 2010 .
2. "Informe sobre delitos en Internet de 2020" (PDF) . IC3.gov .
3. "IC3 publica informe sobre delitos en Internet de 2020". Oficina Federal de Investigaciones .
4. Yasinsac, A.; Erbacher, RF; Marks, DG; Pollitt, MM; Sommer, PM (julio de 2003). "Educación en informática forense". IEEE Security & Privacy . 1 (4): 15–23. doi :10.1109/MSECP.2003.1219052.
5. Warren G. Kruse; Jay G. Heiser (2002). Informática forense: aspectos esenciales de la respuesta a incidentes . Addison-Wesley. pág. 392. ISBN 978-0-201-70719-9. Recuperado el 6 de diciembre de 2010 .
6. Gunsch, G (agosto de 2002). "Un examen de los modelos forenses digitales" (PDF) .
7. "¿Qué es la informática forense?". Western Governors University .
8. Kruse II, Warren G.; Heiser, Jay G. (2001). Informática forense: Fundamentos de respuesta a incidentes . Pearson Education. ISBN 978-0-672-33408-5.
9. Sabry, Fouad (2022). Informática forense digital: cómo la informática forense ayuda a trasladar el trabajo de investigación de la escena del crimen al mundo real . Mil millones de personas con conocimiento. ISBN 978-1-792-30942-6. {{cite book}}: Verificar |isbn=valor: suma de comprobación ( ayuda )
10. Adams, R. (2012). "'El modelo avanzado de adquisición de datos (ADAM): un modelo de proceso para la práctica forense digital".
11. Casey, Eoghan (2004). Evidencia digital y delitos informáticos, segunda edición. Elsevier. ISBN 978-0-12-163104-8.
12. "La captura del asesino en serie Dennis Rader, BTK". Psychology Today .
13. Dooley, Sean. "La hija del asesino en serie BTK: 'Estábamos viviendo nuestra vida normal... y luego todo se nos vino abajo'". ABC News .
14. Varios (2009). Eoghan Casey (ed.). Manual de investigación y análisis forense digital. Academic Press . p. 567. ISBN 978-0-12-374267-4. Consultado el 27 de agosto de 2010 .
15. "Capítulo 3: Fundamentos de la informática forense - Informática forense investigativa: La guía práctica para abogados, contables, investigadores y ejecutivos de empresas [Libro]". www.oreilly.com . Consultado el 4 de marzo de 2022 .
16. Garfinkel, Simson L. (1 de septiembre de 2006). "Extracción de características forenses y análisis de unidades cruzadas". Investigación digital . Actas del sexto taller anual de investigación forense digital (DFRWS '06). 3 : 71–81. doi : 10.1016/j.diin.2006.06.007 . ISSN  1742-2876.
17. David, Anne; Morris, Sarah; Appleby-Thomas, Gareth (20 de agosto de 2020). "Un modelo de dos etapas para las investigaciones de redes sociales en la ciencia forense digital" (PDF) . Revista de ciencia forense digital, seguridad y derecho . 15 (2). doi : 10.15394/jdfsl.2020.1667 . ISSN  1558-7223. S2CID  221692362.
18. https://espace.curtin.edu.au/bitstream/handle/20.500.11937/93974/Adams%20RB%202023%20Public.pdf?sequence=1&isAllowed=y
19. Pollard, Carol (2008). Informática forense para principiantes . John Wiley & Sons, Incorporated. págs. 219–230. ISBN 9780470434956.
20. "¿Qué es un analista forense digital?". Consejo de la CE . 28 de diciembre de 2022. Archivado desde el original el 28 de noviembre de 2022. Consultado el 28 de diciembre de 2022 .
21. "Analista forense de ciberdefensa de CISA". Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) . 28 de diciembre de 2022. Archivado desde el original el 5 de noviembre de 2022. Consultado el 28 de diciembre de 2022 .
22. "Certificación en ciberseguridad". isc2.org . Consultado el 18 de noviembre de 2022 .
23. "Encuestas de salarios del CCFP". ITJobsWatch. Archivado desde el original el 19 de enero de 2017. Consultado el 15 de junio de 2017 .
24. "Programa de certificación X-PERT". X-pert.eu . Consultado el 26 de noviembre de 2015 .

Lectura adicional

• Una guía práctica para la informática forense, primera edición (libro de bolsillo) de David Benton (autor), Frank Grindstaff (autor)
• Casey, Eoghan; Stellatos, Gerasimos J. (2008). "El impacto del cifrado de disco completo en la ciencia forense digital". Revisión de sistemas operativos . 42 (3): 93–98. CiteSeerX  10.1.1.178.3917 . doi :10.1145/1368506.1368519. S2CID  5793873.
• YiZhen Huang; YangJing Long (2008). "Reconocimiento de demosaico con aplicaciones en autenticación de fotos digitales basado en un modelo de correlación de píxeles cuadrático" (PDF) . Proc. IEEE Conference on Computer Vision and Pattern Recognition : 1–8. Archivado desde el original (PDF) el 2010-06-17 . Consultado el 2009-12-18 .
• Respuesta a incidentes y análisis forense informático, segunda edición (libro de bolsillo) de Chris Prosise (autor), Kevin Mandia (autor), Matt Pepe (autor) "La verdad es más extraña que la ficción..." (más)
• Ross, S.; Gow, A. (1999). ¿Arqueología digital? Rescatando recursos de datos desatendidos o dañados (PDF) . Bristol y Londres: Biblioteca Británica y Comité Conjunto de Sistemas de Información. ISBN 978-1-900508-51-3.
• George M. Mohay (2003). Informática forense y análisis de intrusiones. Artech House. p. 395. ISBN 978-1-58053-369-0.
• Chuck Easttom (2013). Análisis forense de sistemas, investigación y respuesta. Jones & Bartlett. pág. 318. ISBN 978-1284031058Archivado desde el original el 14 de junio de 2013. Consultado el 23 de septiembre de 2013 .

Revistas relacionadas

• Transacciones IEEE sobre seguridad e investigación forense de la información
• Revista de seguridad, derecho y forense digital
• Revista internacional sobre delitos digitales y ciencia forense
• Revista de investigación digital
• Revista Internacional de Evidencia Digital
• Revista internacional de informática forense
• Revista de práctica forense digital
• Criptología
• Revista forense sobre dispositivos digitales a pequeña escala