Informática forense

Branch of digital forensic science

Un perito forense examina un dispositivo móvil incautado durante una investigación

Tipos de medios utilizados para el análisis forense informático: una cámara digital Fujifilm FinePix , dos tarjetas de memoria flash , una unidad flash USB , un iPod de 5 GB , un CD-R o DVD grabable y un Mini CD .

La informática forense (también conocida como ciencia forense informática ^[1] ) es una rama de la ciencia forense digital relacionada con la evidencia encontrada en computadoras y medios de almacenamiento digitales . El objetivo de la informática forense es examinar los medios digitales de una manera forense sólida con el objetivo de identificar, preservar, recuperar, analizar y presentar hechos y opiniones sobre la información digital.

Aunque suele asociarse con la investigación de una amplia variedad de delitos informáticos , la informática forense también puede utilizarse en procedimientos civiles. La disciplina involucra técnicas y principios similares a los de la recuperación de datos , pero con pautas y prácticas adicionales diseñadas para crear un rastro de auditoría legal .

Las pruebas de las investigaciones forenses informáticas suelen estar sujetas a las mismas directrices y prácticas que otras pruebas digitales. Se ha utilizado en varios casos de alto perfil y se acepta como confiable dentro de los sistemas judiciales estadounidenses y europeos.

Descripción general

A principios de la década de 1980, las computadoras personales se volvieron más accesibles para los consumidores, lo que llevó a un mayor uso en actividades delictivas (por ejemplo, para ayudar a cometer fraude ). Al mismo tiempo, se reconocieron varios nuevos "delitos informáticos" (como el craqueo ). La disciplina de la informática forense surgió durante esta época como un método para recuperar e investigar pruebas digitales para su uso en los tribunales. Desde entonces, los delitos informáticos y los delitos relacionados con la informática han aumentado: el FBI informó 791 790 delitos sospechosos en Internet solo en 2020, un aumento del 69 % con respecto a la cantidad reportada en 2019. ^{[2] [3]} Hoy en día, la informática forense se utiliza para investigar una amplia variedad de delitos, incluida la pornografía infantil , el fraude, el espionaje , el acoso cibernético , el asesinato y la violación. La disciplina también figura en los procedimientos civiles como una forma de recopilación de información (por ejemplo, descubrimiento electrónico ).

Se utilizan técnicas forenses y conocimientos expertos para explicar el estado actual de un artefacto digital , como un sistema informático, un medio de almacenamiento (p. ej., disco duro o CD-ROM ) o un documento electrónico (p. ej., un mensaje de correo electrónico o una imagen JPEG). . ^[4] El alcance de un análisis forense puede variar desde la simple recuperación de información hasta la reconstrucción de una serie de eventos. En un libro de 2002, Computer Forensics , los autores Kruse y Heiser definen la informática forense como la que implica "la preservación, identificación, extracción, documentación e interpretación de datos informáticos". ^[5] Continúan describiendo la disciplina como "más un arte que una ciencia", indicando que la metodología forense está respaldada por flexibilidad y un amplio conocimiento del dominio . Sin embargo, si bien se pueden utilizar varios métodos para extraer pruebas de una computadora determinada, las estrategias utilizadas por las fuerzas del orden son bastante rígidas y carecen de la flexibilidad que se encuentra en el mundo civil. ^[6]

La seguridad cibernética

La informática forense a menudo se confunde con la ciberseguridad. La ciberseguridad se trata de prevención y protección, mientras que la informática forense es más reaccionaria y activa, e implica actividades como el seguimiento y la exposición. La seguridad del sistema suele abarcar dos equipos, la ciberseguridad y la informática forense, que trabajan juntos. Un equipo de ciberseguridad crea sistemas y programas para proteger los datos; si fallan, el equipo forense informático recupera los datos y realiza la investigación sobre la intrusión y el robo. Ambas áreas requieren conocimientos de informática. ^[7]

Delitos informáticos

La informática forense se utiliza para condenar a quienes participan en delitos físicos y digitales. Algunos de estos delitos relacionados con la informática incluyen interrupción, interceptación, infracción de derechos de autor y fabricación. La interrupción se relaciona con la destrucción y el robo de piezas de computadora y archivos digitales. La interceptación es el acceso no autorizado a archivos e información almacenados en dispositivos tecnológicos. ^[8] La infracción de derechos de autor consiste en utilizar, reproducir y distribuir información protegida por derechos de autor, incluida la piratería de software. La fabricación es acusar a alguien de utilizar datos e información falsos introducidos en el sistema a través de una fuente no autorizada. Ejemplos de interceptaciones son el caso Bank NSP, el caso Sony.Sambandh.com y las estafas de compromiso de correo electrónico empresarial. ^[9]

Usar como evidencia

En los tribunales, las pruebas forenses informáticas están sujetas a los requisitos habituales de las pruebas digitales . Esto requiere que la información sea auténtica, obtenida de manera confiable y admisible. ^[10] Diferentes países tienen directrices y prácticas específicas para la recuperación de pruebas. En el Reino Unido , los examinadores suelen seguir las directrices de la Asociación de Jefes de Policía que ayudan a garantizar la autenticidad e integridad de las pruebas. Si bien son voluntarias, las directrices son ampliamente aceptadas en los tribunales británicos.

La informática forense se ha utilizado como prueba en el derecho penal desde mediados de la década de 1980; algunos ejemplos notables incluyen: ^[11]

• BTK Killer: Dennis Rader fue condenado por una serie de asesinatos en serie que ocurrieron durante un período de dieciséis años. Hacia el final de este período, Rader envió cartas a la policía en un disquete. ^[12] Los metadatos dentro de los documentos implicaban a un autor llamado "Dennis" en la "Iglesia Luterana de Cristo"; Esta evidencia ayudó a conducir al arresto de Rader. ^[13]
• Joseph Edward Duncan : Una hoja de cálculo recuperada de la computadora de Duncan contenía evidencia que lo mostraba planeando sus crímenes. Los fiscales utilizaron esto para demostrar premeditación y garantizar la pena de muerte . ^[14]
• Sharon Lopatka : Cientos de correos electrónicos en la computadora de Lopatka llevan a los investigadores a su asesino, Robert Glass. ^[11]
• Corcoran Group : Este caso confirmó los deberes de las partes de preservar la evidencia digital cuando el litigio ha comenzado o se anticipa razonablemente. Los discos duros fueron analizados por un experto en informática forense que no pudo encontrar correos electrónicos relevantes que los demandados deberían haber tenido. Aunque el experto no encontró evidencia de eliminación en los discos duros, surgió evidencia de que los acusados ​​destruyeron intencionalmente correos electrónicos y engañaron y no revelaron hechos materiales a los demandantes y al tribunal.
• Dr. Conrad Murray : El Dr. Conrad Murray, el médico del fallecido Michael Jackson , fue condenado parcialmente mediante evidencia digital en su computadora. Esta evidencia incluía documentación médica que mostraba cantidades letales de propofol .

proceso forense

Un bloqueador de escritura de Tableau portátil conectado a un disco duro

Las investigaciones forenses informáticas suelen seguir el proceso o las fases forenses digitales estándar: adquisición, examen, análisis e informes. Las investigaciones se realizan con datos estáticos (es decir, imágenes adquiridas ) en lugar de sistemas "en vivo". Este es un cambio con respecto a las primeras prácticas forenses donde la falta de herramientas especializadas llevaba a que los investigadores trabajaran comúnmente con datos en vivo.

laboratorio de informática forense

El laboratorio forense de computación es una zona segura y protegida donde se pueden administrar, conservar y acceder a datos electrónicos en un entorno controlado. Allí, existe un riesgo mucho menor de daño o modificación de las pruebas. Los examinadores forenses informáticos tienen los recursos necesarios para obtener datos significativos de los dispositivos que están examinando. ^[15]

Técnicas

Durante las investigaciones forenses informáticas se utilizan varias técnicas, entre las que se incluyen las siguientes:

Análisis de conducción cruzada

Se trata de una técnica forense que correlaciona información encontrada en múltiples discos duros y se ha utilizado para identificar redes sociales y realizar detección de anomalías . ^{[16] [17] [18]}

Análisis en vivo

El examen de computadoras desde el sistema operativo utilizando análisis forenses personalizados o herramientas de administrador de sistemas existentes para extraer evidencia. Esta práctica es útil cuando se trata de sistemas de archivos cifrados , por ejemplo, donde se pueden recopilar las claves de cifrado y, en algunos casos, se puede obtener una imagen del volumen lógico del disco duro (lo que se conoce como adquisición en vivo) antes de apagar la computadora. Este proceso también es útil cuando se trata de múltiples sistemas, por ejemplo como parte de una red, o cuando no se puede acceder a los dispositivos físicos, como los que se ejecutan en la nube. ^[19]

Archivos eliminados

Una técnica común utilizada en informática forense es la recuperación de archivos eliminados. El software forense moderno tiene sus propias herramientas para recuperar o eliminar datos eliminados. ^[20] La mayoría de los sistemas operativos y sistemas de archivos no siempre borran los datos de los archivos físicos, lo que permite a los investigadores reconstruirlos a partir de los sectores del disco físico . La talla de archivos implica buscar encabezados de archivos conocidos dentro de la imagen del disco y reconstruir materiales eliminados.

Forense estocástico

Un método que utiliza propiedades estocásticas del sistema informático para investigar actividades que carecen de artefactos digitales. Su uso principal es investigar el robo de datos .

esteganografía

Una de las técnicas utilizadas para ocultar datos es la esteganografía, el proceso de ocultar datos dentro de una imagen o imagen digital. Un ejemplo sería ocultar imágenes pornográficas de niños u otra información que un determinado delincuente no quiera que se descubra. Los profesionales de la informática forense pueden combatir esto observando el hash del archivo y comparándolo con la imagen original (si está disponible). Si bien las imágenes parecen idénticas tras una inspección visual, el hash cambia a medida que cambian los datos. ^[21]

Análisis forense de dispositivos móviles

Registros telefónicos: las compañías telefónicas suelen mantener registros de las llamadas recibidas, lo que puede resultar útil a la hora de crear cronogramas y recopilar la ubicación de las personas cuando ocurrió el delito. ^[22]

Contactos: las listas de contactos ayudan a reducir el grupo de sospechosos debido a sus conexiones con la víctima o el sospechoso. ^[22]

Mensajes de texto: los mensajes contienen marcas de tiempo y permanecen en los servidores de la empresa indefinidamente, incluso si se eliminan en el dispositivo original. Debido a esto, los mensajes actúan como registros cruciales de comunicación que pueden usarse para condenar a los sospechosos. ^[22]

Fotos: Las fotos pueden ser fundamentales para respaldar o refutar coartadas al mostrar una ubicación o escena junto con una marca de tiempo de cuando se tomó la foto. ^[22]

Grabaciones de audio: algunas víctimas podrían haber podido grabar momentos cruciales de la lucha, como la voz de su atacante o un contexto amplio de la situación. ^[22]

Datos volátiles

Los datos volátiles son cualquier dato almacenado en la memoria o que existe en tránsito, que se perderá cuando la computadora se corte de energía o se apague. Los datos volátiles residen en registros, caché y memoria de acceso aleatorio (RAM). La investigación de estos datos volátiles se denomina "forense en vivo".

Al confiscar pruebas, si la máquina todavía está activa, cualquier información almacenada únicamente en la RAM que no se recupere antes de apagarse puede perderse. ^[14] Una aplicación del "análisis en vivo" es recuperar datos de RAM (por ejemplo, usando la herramienta COFEE de Microsoft , WinDD, WindowsSCOPE ) antes de eliminar una exhibición. CaptureGUARD Gateway omite el inicio de sesión de Windows para computadoras bloqueadas, lo que permite el análisis y la adquisición de memoria física en una computadora bloqueada. ^{[ cita necesaria ]}

La RAM se puede analizar en busca de contenido anterior después de una pérdida de energía, porque la carga eléctrica almacenada en las celdas de memoria tarda en disiparse, un efecto aprovechado por el ataque de arranque en frío . El período de tiempo que los datos son recuperables aumenta con las bajas temperaturas y los voltajes de celda más altos. Mantener la RAM apagada por debajo de -60 °C ayuda a preservar los datos residuales en un orden de magnitud, mejorando las posibilidades de una recuperación exitosa. Sin embargo, puede resultar poco práctico hacer esto durante un examen de campo. ^[23]

Sin embargo, algunas de las herramientas necesarias para extraer datos volátiles requieren que una computadora esté en un laboratorio forense, tanto para mantener una cadena legítima de evidencia como para facilitar el trabajo en la máquina. Si es necesario, las fuerzas del orden aplican técnicas para mover una computadora de escritorio activa y en funcionamiento. Estos incluyen un jiggler del mouse , que mueve el mouse rápidamente en pequeños movimientos y evita que la computadora entre en suspensión accidentalmente. Por lo general, un sistema de alimentación ininterrumpida (UPS) proporciona energía durante el tránsito.

Sin embargo, una de las formas más sencillas de capturar datos es guardar los datos de la RAM en el disco. Varios sistemas de archivos que tienen funciones de registro en diario, como NTFS y ReiserFS, mantienen una gran parte de los datos de la RAM en el medio de almacenamiento principal durante la operación, y estos archivos de páginas se pueden volver a ensamblar para reconstruir lo que había en la RAM en ese momento. ^[24]

Herramientas de análisis

Existen varias herramientas comerciales y de código abierto para la investigación forense informática. El análisis forense típico incluye una revisión manual de material en los medios, revisión del registro de Windows en busca de información sospechosa, descubrimiento y descifrado de contraseñas, búsquedas de palabras clave para temas relacionados con el delito y extracción de correos electrónicos e imágenes para su revisión. ^[11] Autopsy (software) , Belkasoft Evidence Center, Forensic Toolkit (FTK), EnCase son algunas de las herramientas utilizadas en la ciencia forense digital.

Trabajos en informática forense

Analista forense digital

Un analista forense digital es responsable de preservar la evidencia digital, catalogar la evidencia recopilada, analizar la evidencia de manera relevante para el caso en curso, responder a las infracciones cibernéticas (generalmente en un contexto corporativo), redactar informes que contengan hallazgos y testificar ante el tribunal. ^[25] Alternativamente, un analista forense digital puede denominarse analista forense informático, examinador forense digital, analista forense cibernético, técnico forense u otros títulos con nombres similares, aunque estas funciones desempeñan las mismas funciones. ^[26]

Certificaciones

Hay varias certificaciones en informática forense disponibles, como el examinador informático certificado por ISFCE, el profesional de investigación forense digital (DFIP) y el examinador forense informático certificado por la IACRB.

La certificación independiente de principal proveedor (especialmente dentro de la UE) se considera CCFP (Certified Cyber ​​Forensics Professional). ^{[27] [28]}

Otros que vale la pena mencionar para EE. UU. o APAC son: La Asociación Internacional de Especialistas en Investigación en Computación ofrece el programa Examinador de Computación Certificado.

La Sociedad Internacional de Examinadores Informáticos Forenses ofrece el programa Examinador Informático Certificado.

Muchas empresas comerciales de software forense también ofrecen ahora certificaciones patentadas en sus productos. Por ejemplo, Guidance Software ofrece la certificación (EnCE) en su herramienta EnCase, AccessData ofrece la certificación (ACE) en su herramienta FTK, PassMark Software ofrece la certificación en su herramienta OSForensics y X-Ways Software Technology ofrece la certificación (X-PERT) para su software, X-Ways Forensics. ^[29]

Ver también

• Examinador informático forense certificado
• Contraforense
• Criptoanálisis
• Atribución cibernética
• Remanencia de datos
• Cifrado de disco
• Cifrado
• Archivo oculto y directorio oculto.
• Auditoría de tecnología de la información.
• tiempos MAC
• esteganálisis
• Estados Unidos contra Arnold

Referencias

1. Michael G. Noblett; Mark M. Pollitt; Lawrence A. Presley (octubre de 2000). "Recuperación y examen de pruebas forenses informáticas" . Consultado el 26 de julio de 2010 .
2. "Informe sobre delitos en Internet de 2020" (PDF) .
3. "IC3 publica el informe sobre delitos en Internet de 2020". Oficina Federal de Investigaciones . Consultado el 17 de marzo de 2023 .
4. Yasinsac, A.; Erbacher, RF; Marcos, Director General; Pollitt, MM; Sommer, PM (julio de 2003). "Educación en informática forense". Seguridad y privacidad de IEEE . 1 (4): 15-23. doi :10.1109/MSECP.2003.1219052.
5. Warren G. Kruse; Jay G. Heiser (2002). "Informática forense: conceptos básicos de respuesta a incidentes" . Addison-Wesley. pag. 392.ISBN​ 978-0-201-70719-9. Consultado el 6 de diciembre de 2010 .
6. Gunsch, G (agosto de 2002). "Un examen de modelos forenses digitales" (PDF) .
7. "¿Qué es la informática forense?". Universidad de Gobernadores Occidentales . Consultado el 4 de marzo de 2022 .
8. Kruse II, Warren G.; Heiser, Jay G. (26 de septiembre de 2001). Computación forense: conceptos básicos de respuesta a incidentes. Educación Pearson. ISBN 978-0-672-33408-5.
9. Sabry, Fouad (10 de julio de 2022). Análisis forense digital: cómo el análisis forense digital está ayudando a llevar el trabajo de investigación de la escena del crimen al mundo real. Mil millones de conocedores.
10. Adams, R. (2012). "'El modelo avanzado de adquisición de datos (ADAM): un modelo de proceso para la práctica forense digital".
11. Casey, Eoghan (2004). Evidencia digital y delitos informáticos, segunda edición. Elsevier. ISBN 978-0-12-163104-8.
12. "La captura del asesino en serie Dennis Rader, BTK | Psychology Today Sudáfrica". www.psicologíahoy.com . Consultado el 17 de marzo de 2023 .
13. Dooley, Sean (22 de enero de 2019). "La hija del asesino en serie de BTK: 'Estábamos viviendo nuestra vida normal... Entonces todo cambió para nosotros'". ABC Noticias . Consultado el 17 de marzo de 2023 .
14. Varios (2009). Eoghan Casey (ed.). Manual de investigación y forense digital. Prensa académica . pag. 567.ISBN​ 978-0-12-374267-4. Consultado el 27 de agosto de 2010 .
15. "Capítulo 3: Fundamentos de la informática forense - Investigación informática forense: la guía práctica para abogados, contables, investigadores y ejecutivos de empresas [Libro]". www.oreilly.com . Consultado el 4 de marzo de 2022 .
16. Garfinkel, Simson L. (1 de septiembre de 2006). "Extracción de características forenses y análisis cruzado". Investigación Digital . Actas del sexto taller anual de investigación forense digital (DFRWS '06). 3 : 71–81. doi : 10.1016/j.diin.2006.06.007 . ISSN  1742-2876.
17. "EXP-SA: predicción y detección de pertenencia a la red mediante análisis automatizado del disco duro".
18. David, Ana; Morris, Sara; Appleby-Thomas, Gareth (20 de agosto de 2020). "Un modelo de dos etapas para investigaciones de redes sociales en ciencia forense digital" (PDF) . Revista de Forense Digital, Seguridad y Derecho . 15 (2). doi : 10.15394/jdfsl.2020.1667 . ISSN  1558-7223. S2CID  221692362.
19. https://espace.curtin.edu.au/bitstream/handle/20.500.11937/93974/Adams%20RB%202023%20Public.pdf?sequence=1&isAllowed=y
20. Aarón Phillip; David Cowen; Chris Davis (2009). Hacking expuesto: informática forense. Profesional de McGraw Hill. pag. 544.ISBN​ 978-0-07-162677-4. Consultado el 27 de agosto de 2010 .
21. Dunbar, B (enero de 2001). "Una mirada detallada a las técnicas esteganográficas y su uso en un entorno de sistemas abiertos".
22. Pollard, Carol (2008). Informática forense para tontos . John Wiley e hijos, incorporados. págs. 219-230. ISBN 9780470434956.
23. J. Alex Halderman , Seth D. Schoen , Nadia Heninger , William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum y Edward W. Felten (21 de febrero de 2008). "Para que no recordemos: ataques de arranque en frío a claves de cifrado". Universidad de Princeton . Consultado el 20 de noviembre de 2009 . {{cite journal}}: Citar diario requiere |journal=( ayuda )CS1 maint: multiple names: authors list (link)
24. Geiger, M (marzo de 2005). "Evaluación de herramientas contraforenses comerciales" (PDF) . Archivado desde el original (PDF) el 30 de diciembre de 2014 . Consultado el 2 de abril de 2012 .
25. "¿Qué es un analista forense digital?". Consejo de la CE . 2022-12-28. Archivado desde el original el 28 de noviembre de 2022 . Consultado el 28 de diciembre de 2022 .
26. "Analista forense de ciberdefensa de CISA". Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) . 2022-12-28. Archivado desde el original el 5 de noviembre de 2022 . Consultado el 28 de diciembre de 2022 .
27. "Certificación de ciberseguridad". isc2.org . Consultado el 18 de noviembre de 2022 .
28. "Encuestas de sueldos del CCFP". ITJobsWatch. Archivado desde el original el 19 de enero de 2017 . Consultado el 15 de junio de 2017 .
29. "Programa de certificación X-PERT". X-pert.eu . Consultado el 26 de noviembre de 2015 .

Otras lecturas

• Una guía práctica de informática forense, primera edición (rústica) por David Benton (Autor), Frank Grindstaff (Autor)
• Casey, Eoghan; Stellatos, Gerasimos J. (2008). "El impacto del cifrado completo del disco en la ciencia forense digital". Revisión de sistemas operativos . 42 (3): 93–98. CiteSeerX  10.1.1.178.3917 . doi :10.1145/1368506.1368519. S2CID  5793873.
• YiZhen Huang; YangJing largo (2008). "Demostración del reconocimiento con aplicaciones en autenticación de fotografías digitales basadas en un modelo de correlación de píxeles cuadráticos" (PDF) . Proc. Conferencia IEEE sobre visión por computadora y reconocimiento de patrones : 1–8. Archivado desde el original (PDF) el 17 de junio de 2010 . Consultado el 18 de diciembre de 2009 .
• Respuesta a incidentes e informática forense, segunda edición (rústica) por Chris Prosise (Autor), Kevin Mandia (Autor), Matt Pepe (Autor) "La verdad es más extraña que la ficción..." (más)
• Ross, S.; Vaya, A. (1999). ¿Arqueología digital? Rescatar recursos de datos descuidados o dañados (PDF) . Bristol y Londres: Biblioteca Británica y Comité Conjunto de Sistemas de Información. ISBN 978-1-900508-51-3.
• George M. Mohay (2003). Análisis forense informático y de intrusión. Casa Artech. pag. 395.ISBN​ 978-1-58053-369-0.
• Chuck Easttom (2013). Sistema Forense, Investigación y Respuesta. Jones y Bartlett. pag. 318.ISBN​ 978-1284031058. Archivado desde el original el 14 de junio de 2013 . Consultado el 23 de septiembre de 2013 .

Revistas relacionadas

• Transacciones IEEE sobre seguridad y análisis de la información
• Revista de Forense Digital, Seguridad y Derecho
• Revista internacional de criminalidad digital y ciencia forense
• Revista de Investigación Digital
• Revista Internacional de Evidencia Digital
• Revista internacional de informática forense
• Revista de práctica forense digital
• criptología
• Revista forense de dispositivos digitales a pequeña escala