Análisis forense digital

Es una rama de la ciencia forense que abarca la recuperación, investigación, examen y análisis de material encontrado en dispositivos digitales, a menudo en relación con dispositivos móviles y delitos informáticos .

[6]​ Las investigaciones tienen un alcance mucho más amplio que otras áreas del análisis forense (donde el objetivo habitual es proporcionar respuestas a una serie de preguntas más simples), y a menudo involucran líneas de tiempo o hipótesis complejas.

[9]​ Durante los años siguientes, la variedad de delitos informáticos cometidos aumentó y se aprobaron leyes para combatirlos.

[10]​[11]​ No fue hasta la década de 1980 que las leyes federales comenzaron a incorporar delitos informáticos.

Stoll, cuya investigación utilizó técnicas forenses informáticas y de redes, no era un examinador especializado.

Por ejemplo, la Unidad Nacional Británica contra Delitos de Alta Tecnología se creó en 2001 para proporcionar una infraestructura nacional para los delitos informáticos, con personal ubicado tanto en el centro de Londres como en las diversas fuerzas policiales regionales (la unidad se incorporó a la Agencia contra el Crimen Organizado Serio).

[13]​ Durante este período, la ciencia forense digital surgió a partir de las herramientas y técnicas ad hoc desarrolladas por estos aficionados.

Esto contrasta con otras disciplinas forenses, que se desarrollaron a partir del trabajo de la comunidad científica.

Un artículo de 2009, "Investigación forense digital: lo bueno, lo malo y lo no abordado" de Peterson y Shenoi, identificó un sesgo hacia los sistemas operativos Windows en la investigación forense digital.

[9]​ Más recientemente, ha crecido una tendencia hacia la "memoria forense viva", lo que ha resultado en la disponibilidad de herramientas como WindowsSCOPE .

Más recientemente, se ha producido la misma progresión en el desarrollo de herramientas para dispositivos móviles ; Inicialmente, los investigadores accedían a los datos directamente en el dispositivo, pero pronto aparecieron herramientas especializadas como XRY o Radio Tactics Aceso.

[26]​ Tanto la imagen adquirida (o copia lógica) como los medios/datos originales se procesan mediante hash (utilizando un algoritmo como SHA-1 o MD5 ) y los valores se comparan para verificar que la copia sea precisa.

En 2002, un artículo del International Journal of Digital Evidence se refirió a este paso como "una búsqueda sistemática y profunda de pruebas relacionadas con el presunto delito".

Las pruebas recuperadas se analizan para reconstruir hechos o acciones y llegar a conclusiones, trabajo que muchas veces puede ser realizado por personal menos especializado.

[3]​ La ciencia forense digital se utiliza comúnmente tanto en derecho penal como en investigación privada.

[14]​ Pero cada vez con mayor frecuencia existen soluciones para forzar contraseñas con fuerza bruta o evitar el cifrado, como en los teléfonos inteligentes o en las PC, donde mediante técnicas de gestor de arranque se puede primero adquirir el contenido del dispositivo y luego forzarlo a ordenar.

[34]​ Durante la investigación criminal, las leyes nacionales restringen la cantidad de información que se puede confiscar.

[35]​ En el Reino Unido, las mismas leyes que cubren los delitos informáticos también pueden afectar a los investigadores forenses.

[9]​[36]​ La ECPA también afecta la capacidad de las empresas para investigar las computadoras y las comunicaciones de sus empleados, un aspecto que aún está en debate sobre hasta qué punto una la empresa puede realizar dicho seguimiento.

[9]​ Cuando se utiliza en un tribunal de justicia, la "prueba" digital se rige por las mismas pautas legales que otras tipos de "pruebas, ya que los tribunales generalmente no exigen pautas más estrictas.

Las leyes federales de Estados Unidos restringen las incautaciones a artículos que sólo tienen un valor probatorio obvio.

Se reconoce que esto no siempre es posible establecerlo con medios digitales antes de un examen.

[9]​[38]​ En el Reino Unido, se siguen pautas como las emitidas por ACPO para ayudar a documentar la autenticidad e integridad de las pruebas.

En Estados Unidos, las herramientas forenses están sujetas al estándar Daubert, donde el juez es responsable de garantizar que los procesos y el software utilizados sean aceptables.

[41]​ La investigación forense digital no se limita a recuperar datos simplemente de la computadora, ya que los delincuentes violan las leyes y ahora se utilizan ampliamente pequeños dispositivos digitales (por ejemplo, tabletas, teléfonos inteligentes, unidades flash).

Esta información se utilizó para localizar a los secuestradores de Thomas Onofri en 2006.

XRY (MSAB): Herramienta confiable para la recuperación de datos en profundidad desde múltiples dispositivos móviles.

BlackLight (BlackBag): Ofrece capacidades avanzadas para analizar datos móviles y de dispositivos conectados.

Estas herramientas, combinadas con una metodología rigurosa, son esenciales para garantizar que las pruebas digitales sean preservadas y analizadas adecuadamente, contribuyendo de manera significativa a las investigaciones legales.

[45]​ El tráfico suele ser interceptados a nivel de paquete y almacenados para su posterior análisis o filtrados en tiempo real.

Foto aérea de FLETC , donde se desarrollaron los estándares forenses digitales de EE. UU. en las décadas de 1980 y 1990.
Un "write-blocker" portátil conectado a un disco duro
Un ejemplo de metadatos Exif de una imagen que podrían usarse para probar su origen
Una prueba digital puede presentarse en varios formatos
Private Investigator & Certified Digital Forensics Examiner generando imágenes de un disco duro para un análisis forense.
Teléfonos móviles en una bolsa de pruebas del Reino Unido