La informática forense (también conocida como ciencia forense informática [1] ) es una rama de la ciencia forense digital relacionada con la evidencia encontrada en computadoras y medios de almacenamiento digitales . El objetivo de la informática forense es examinar los medios digitales de una manera forense sólida con el objetivo de identificar, preservar, recuperar, analizar y presentar hechos y opiniones sobre la información digital.
Aunque suele asociarse con la investigación de una amplia variedad de delitos informáticos , la informática forense también puede utilizarse en procedimientos civiles. La disciplina involucra técnicas y principios similares a los de la recuperación de datos , pero con pautas y prácticas adicionales diseñadas para crear un rastro de auditoría legal .
Las pruebas de las investigaciones forenses informáticas suelen estar sujetas a las mismas directrices y prácticas que otras pruebas digitales. Se ha utilizado en varios casos de alto perfil y se acepta como confiable dentro de los sistemas judiciales estadounidenses y europeos.
A principios de la década de 1980, las computadoras personales se volvieron más accesibles para los consumidores, lo que llevó a un mayor uso en actividades delictivas (por ejemplo, para ayudar a cometer fraude ). Al mismo tiempo, se reconocieron varios nuevos "delitos informáticos" (como el craqueo ). La disciplina de la informática forense surgió durante esta época como un método para recuperar e investigar pruebas digitales para su uso en los tribunales. Desde entonces, los delitos informáticos y los delitos relacionados con la informática han aumentado: el FBI informó 791 790 delitos sospechosos en Internet solo en 2020, un aumento del 69 % con respecto a la cantidad reportada en 2019. [2] [3] Hoy en día, la informática forense se utiliza para investigar una amplia variedad de delitos, incluida la pornografía infantil , el fraude, el espionaje , el acoso cibernético , el asesinato y la violación. La disciplina también figura en los procedimientos civiles como una forma de recopilación de información (por ejemplo, descubrimiento electrónico ).
Se utilizan técnicas forenses y conocimientos expertos para explicar el estado actual de un artefacto digital , como un sistema informático, un medio de almacenamiento (p. ej., disco duro o CD-ROM ) o un documento electrónico (p. ej., un mensaje de correo electrónico o una imagen JPEG). . [4] El alcance de un análisis forense puede variar desde la simple recuperación de información hasta la reconstrucción de una serie de eventos. En un libro de 2002, Computer Forensics , los autores Kruse y Heiser definen la informática forense como la que implica "la preservación, identificación, extracción, documentación e interpretación de datos informáticos". [5] Continúan describiendo la disciplina como "más un arte que una ciencia", indicando que la metodología forense está respaldada por flexibilidad y un amplio conocimiento del dominio . Sin embargo, si bien se pueden utilizar varios métodos para extraer pruebas de una computadora determinada, las estrategias utilizadas por las fuerzas del orden son bastante rígidas y carecen de la flexibilidad que se encuentra en el mundo civil. [6]
La informática forense a menudo se confunde con la ciberseguridad. La ciberseguridad se trata de prevención y protección, mientras que la informática forense es más reaccionaria y activa, e implica actividades como el seguimiento y la exposición. La seguridad del sistema suele abarcar dos equipos, la ciberseguridad y la informática forense, que trabajan juntos. Un equipo de ciberseguridad crea sistemas y programas para proteger los datos; si fallan, el equipo forense informático recupera los datos y realiza la investigación sobre la intrusión y el robo. Ambas áreas requieren conocimientos de informática. [7]
La informática forense se utiliza para condenar a quienes participan en delitos físicos y digitales. Algunos de estos delitos relacionados con la informática incluyen interrupción, interceptación, infracción de derechos de autor y fabricación. La interrupción se relaciona con la destrucción y el robo de piezas de computadora y archivos digitales. La interceptación es el acceso no autorizado a archivos e información almacenados en dispositivos tecnológicos. [8] La infracción de derechos de autor consiste en utilizar, reproducir y distribuir información protegida por derechos de autor, incluida la piratería de software. La fabricación es acusar a alguien de utilizar datos e información falsos introducidos en el sistema a través de una fuente no autorizada. Ejemplos de interceptaciones son el caso Bank NSP, el caso Sony.Sambandh.com y las estafas de compromiso de correo electrónico empresarial. [9]
En los tribunales, las pruebas forenses informáticas están sujetas a los requisitos habituales de las pruebas digitales . Esto requiere que la información sea auténtica, obtenida de manera confiable y admisible. [10] Diferentes países tienen directrices y prácticas específicas para la recuperación de pruebas. En el Reino Unido , los examinadores suelen seguir las directrices de la Asociación de Jefes de Policía que ayudan a garantizar la autenticidad e integridad de las pruebas. Si bien son voluntarias, las directrices son ampliamente aceptadas en los tribunales británicos.
La informática forense se ha utilizado como prueba en el derecho penal desde mediados de la década de 1980; algunos ejemplos notables incluyen: [11]
Las investigaciones forenses informáticas suelen seguir el proceso o las fases forenses digitales estándar: adquisición, examen, análisis e informes. Las investigaciones se realizan con datos estáticos (es decir, imágenes adquiridas ) en lugar de sistemas "en vivo". Este es un cambio con respecto a las primeras prácticas forenses donde la falta de herramientas especializadas llevaba a que los investigadores trabajaran comúnmente con datos en vivo.
El laboratorio forense de computación es una zona segura y protegida donde se pueden administrar, conservar y acceder a datos electrónicos en un entorno controlado. Allí, existe un riesgo mucho menor de daño o modificación de las pruebas. Los examinadores forenses informáticos tienen los recursos necesarios para obtener datos significativos de los dispositivos que están examinando. [15]
Durante las investigaciones forenses informáticas se utilizan varias técnicas, entre las que se incluyen las siguientes:
Registros telefónicos: las compañías telefónicas suelen mantener registros de las llamadas recibidas, lo que puede resultar útil a la hora de crear cronogramas y recopilar la ubicación de las personas cuando ocurrió el delito. [22]
Contactos: las listas de contactos ayudan a reducir el grupo de sospechosos debido a sus conexiones con la víctima o el sospechoso. [22]
Mensajes de texto: los mensajes contienen marcas de tiempo y permanecen en los servidores de la empresa indefinidamente, incluso si se eliminan en el dispositivo original. Debido a esto, los mensajes actúan como registros cruciales de comunicación que pueden usarse para condenar a los sospechosos. [22]
Fotos: Las fotos pueden ser fundamentales para respaldar o refutar coartadas al mostrar una ubicación o escena junto con una marca de tiempo de cuando se tomó la foto. [22]
Grabaciones de audio: algunas víctimas podrían haber podido grabar momentos cruciales de la lucha, como la voz de su atacante o un contexto amplio de la situación. [22]
Los datos volátiles son cualquier dato almacenado en la memoria o que existe en tránsito, que se perderá cuando la computadora se corte de energía o se apague. Los datos volátiles residen en registros, caché y memoria de acceso aleatorio (RAM). La investigación de estos datos volátiles se denomina "forense en vivo".
Al confiscar pruebas, si la máquina todavía está activa, cualquier información almacenada únicamente en la RAM que no se recupere antes de apagarse puede perderse. [14] Una aplicación del "análisis en vivo" es recuperar datos de RAM (por ejemplo, usando la herramienta COFEE de Microsoft , WinDD, WindowsSCOPE ) antes de eliminar una exhibición. CaptureGUARD Gateway omite el inicio de sesión de Windows para computadoras bloqueadas, lo que permite el análisis y la adquisición de memoria física en una computadora bloqueada. [ cita necesaria ]
La RAM se puede analizar en busca de contenido anterior después de una pérdida de energía, porque la carga eléctrica almacenada en las celdas de memoria tarda en disiparse, un efecto aprovechado por el ataque de arranque en frío . El período de tiempo que los datos son recuperables aumenta con las bajas temperaturas y los voltajes de celda más altos. Mantener la RAM apagada por debajo de -60 °C ayuda a preservar los datos residuales en un orden de magnitud, mejorando las posibilidades de una recuperación exitosa. Sin embargo, puede resultar poco práctico hacer esto durante un examen de campo. [23]
Sin embargo, algunas de las herramientas necesarias para extraer datos volátiles requieren que una computadora esté en un laboratorio forense, tanto para mantener una cadena legítima de evidencia como para facilitar el trabajo en la máquina. Si es necesario, las fuerzas del orden aplican técnicas para mover una computadora de escritorio activa y en funcionamiento. Estos incluyen un jiggler del mouse , que mueve el mouse rápidamente en pequeños movimientos y evita que la computadora entre en suspensión accidentalmente. Por lo general, un sistema de alimentación ininterrumpida (UPS) proporciona energía durante el tránsito.
Sin embargo, una de las formas más sencillas de capturar datos es guardar los datos de la RAM en el disco. Varios sistemas de archivos que tienen funciones de registro en diario, como NTFS y ReiserFS, mantienen una gran parte de los datos de la RAM en el medio de almacenamiento principal durante la operación, y estos archivos de páginas se pueden volver a ensamblar para reconstruir lo que había en la RAM en ese momento. [24]
Existen varias herramientas comerciales y de código abierto para la investigación forense informática. El análisis forense típico incluye una revisión manual de material en los medios, revisión del registro de Windows en busca de información sospechosa, descubrimiento y descifrado de contraseñas, búsquedas de palabras clave para temas relacionados con el delito y extracción de correos electrónicos e imágenes para su revisión. [11] Autopsy (software) , Belkasoft Evidence Center, Forensic Toolkit (FTK), EnCase son algunas de las herramientas utilizadas en la ciencia forense digital.
Un analista forense digital es responsable de preservar la evidencia digital, catalogar la evidencia recopilada, analizar la evidencia de manera relevante para el caso en curso, responder a las infracciones cibernéticas (generalmente en un contexto corporativo), redactar informes que contengan hallazgos y testificar ante el tribunal. [25] Alternativamente, un analista forense digital puede denominarse analista forense informático, examinador forense digital, analista forense cibernético, técnico forense u otros títulos con nombres similares, aunque estas funciones desempeñan las mismas funciones. [26]
Hay varias certificaciones en informática forense disponibles, como el examinador informático certificado por ISFCE, el profesional de investigación forense digital (DFIP) y el examinador forense informático certificado por la IACRB.
La certificación independiente de principal proveedor (especialmente dentro de la UE) se considera CCFP (Certified Cyber Forensics Professional). [27] [28]
Otros que vale la pena mencionar para EE. UU. o APAC son: La Asociación Internacional de Especialistas en Investigación en Computación ofrece el programa Examinador de Computación Certificado.
La Sociedad Internacional de Examinadores Informáticos Forenses ofrece el programa Examinador Informático Certificado.
Muchas empresas comerciales de software forense también ofrecen ahora certificaciones patentadas en sus productos. Por ejemplo, Guidance Software ofrece la certificación (EnCE) en su herramienta EnCase, AccessData ofrece la certificación (ACE) en su herramienta FTK, PassMark Software ofrece la certificación en su herramienta OSForensics y X-Ways Software Technology ofrece la certificación (X-PERT) para su software, X-Ways Forensics. [29]
{{cite journal}}
: Citar diario requiere |journal=
( ayuda )CS1 maint: multiple names: authors list (link)