Guía Rapida para Quienes se Inician en Informática Forense

La informática forense es la práctica de recopilar, analizar e informar sobre información digital de una manera legalmente admisible. Se puede utilizar en la detección y prevención de delitos y en cualquier disputa en la que las pruebas se almacenen digitalmente. La informática forense tiene etapas de examen comparables a otras disciplinas forenses y se enfrenta a problemas similares.

Acerca de esta guía

Esta guía analiza la informática forense desde una perspectiva neutral. No está vinculado a una legislación en particular ni tiene la intención de promover una empresa o producto en particular y no está escrito con prejuicios ni de aplicación de la ley ni de análisis forense informático comercial. Está dirigido a un público no técnico y proporciona una visión de alto nivel de la informática forense. Esta guía utiliza el término "computadora", pero los conceptos se aplican a cualquier dispositivo capaz de almacenar información digital. Cuando se han mencionado metodologías, se proporcionan solo como ejemplos y no constituyen recomendaciones ni consejos. 

Usos de la informática forense

Hay pocas áreas de crimen o disputa donde no se puede aplicar la informática forense. Los organismos encargados de hacer cumplir la ley han estado entre los primeros y más intensos usuarios de la informática forense y, en consecuencia, a menudo han estado a la vanguardia de los desarrollos en el campo. Las computadoras pueden constituir una 'escena de un crimen', por ejemplo con piratería [1] o ataques de denegación de servicio [2] o pueden contener pruebas en forma de correos electrónicos, historial de Internet, documentos u otros archivos relevantes para delitos como el asesinato, secuestro, fraude y narcotráfico. No es solo el contenido de los correos electrónicos, documentos y otros archivos lo que puede ser de interés para los investigadores, sino también los 'metadatos' [3] asociados con esos archivos. Un examen forense informático puede revelar cuándo apareció un documento por primera vez en una computadora, cuándo se editó por última vez,

Más recientemente, las organizaciones comerciales han utilizado la informática forense para su beneficio en una variedad de casos tales como;

  • Robo de propiedad intelectual
  • Espionaje industrial
  • Disputas laborales
  • Investigaciones de fraude
  • Falsificaciones
  • Problemas matrimoniales
  • Investigaciones de quiebras
  • Uso inadecuado de correo electrónico e Internet en el lugar de trabajo
  • Cumplimiento normativo

Pautas

Para que las pruebas sean admisibles, deben ser confiables y no perjudiciales, lo que significa que en todas las etapas de este proceso la admisibilidad debe estar a la vanguardia de la mente de un examinador forense informático. Un conjunto de pautas que ha sido ampliamente aceptado para ayudar en esto es la Guía de Buenas Prácticas de la Asociación de Jefes de Policía para Evidencia Electrónica Basada en Computadoras o la Guía ACPO para abreviar. Aunque la Guía ACPO está destinada a la aplicación de la ley del Reino Unido, sus principios fundamentales son aplicables a toda la informática forense en cualquier legislatura. Los cuatro principios principales de esta guía se reproducen a continuación (con las referencias a la aplicación de la ley eliminadas):


  1. Ninguna acción debe cambiar los datos almacenados en una computadora o medios de almacenamiento en los que posteriormente se pueda confiar en los tribunales.
  2. En circunstancias en las que una persona considere necesario acceder a datos originales almacenados en una computadora o medio de almacenamiento, esa persona debe ser competente para hacerlo y poder brindar evidencia que explique la relevancia y las implicaciones de sus acciones.
  3. Se debe crear y conservar una pista de auditoría u otro registro de todos los procesos aplicados a la evidencia electrónica basada en computadora. Un tercero independiente debería poder examinar esos procesos y lograr el mismo resultado.
  4. La persona a cargo de la investigación tiene la responsabilidad general de garantizar que se cumplan la ley y estos principios.

En resumen, no se deben realizar cambios en el original, sin embargo, si el acceso / cambios son necesarios, el examinador debe saber lo que están haciendo y registrar sus acciones.

El principio de adquisición en vivo 2 anterior puede plantear la pregunta: ¿En qué situación serían necesarios cambios en la computadora de un sospechoso por parte de un examinador forense informático? Tradicionalmente, el examinador forense informático copia (o adquiere) información de un dispositivo que está apagado. Se usaría un bloqueador de escritura [4] para hacer una copia exacta bit por bit [5] del medio de almacenamiento original. El examinador trabajaría entonces a partir de esta copia, dejando el original demostrablemente sin cambios.

Sin embargo, a veces no es posible o deseable apagar una computadora. Es posible que no sea posible apagar una computadora si hacerlo daría como resultado una pérdida financiera o de otro tipo para el propietario. Puede que no sea conveniente apagar una computadora si hacerlo significaría que se podrían perder pruebas potencialmente valiosas. En ambas circunstancias, el examinador forense informático necesitaría realizar una "adquisición en vivo" que implicaría ejecutar un pequeño programa en la computadora sospechosa para copiar (o adquirir) los datos en el disco duro del examinador.

Al ejecutar dicho programa y adjuntar una unidad de destino a la computadora sospechosa, el examinador realizará cambios y / o adiciones al estado de la computadora que no estaban presentes antes de sus acciones. Tales acciones seguirían siendo admisibles siempre que el examinador registrara sus acciones, fuera consciente de su impacto y pudiera explicar sus acciones.

Etapas de un examen

A los efectos de este artículo, el proceso de examen forense informático se ha dividido en seis etapas. Aunque se presentan en su orden cronológico habitual, es necesario ser flexible durante un examen. Por ejemplo, durante la etapa de análisis, el examinador puede encontrar una nueva pista que justificaría que se examinen más computadoras y significaría volver a la etapa de evaluación.

Preparación

La preparación forense es una etapa importante y en ocasiones pasada por alto en el proceso de examen. En la informática forense comercial, puede incluir educar a los clientes sobre la preparación del sistema; por ejemplo, los exámenes forenses proporcionarán pruebas más sólidas si los sistemas de registro y auditoría integrados de un servidor o de una computadora están encendidos. Para los examinadores, hay muchas áreas en las que la organización previa puede ayudar, incluida la capacitación, las pruebas periódicas y la verificación de software y equipos, la familiaridad con la legislación, el manejo de problemas inesperados (por ejemplo, qué hacer si hay pornografía infantil durante un trabajo comercial) y garantizar que su kit de adquisición in situ está completo y en funcionamiento.

Evaluación

La etapa de evaluación incluye la recepción de instrucciones claras, análisis de riesgos y asignación de roles y recursos. El análisis de riesgos para la aplicación de la ley puede incluir una evaluación sobre la probabilidad de amenaza física al ingresar a la propiedad de un sospechoso y la mejor manera de lidiar con ella. Las organizaciones comerciales también deben ser conscientes de los problemas de salud y seguridad, mientras que su evaluación también cubriría los riesgos financieros y de reputación al aceptar un proyecto en particular.

Colección

La parte principal de la etapa de recolección, la adquisición, se ha presentado anteriormente. Si la adquisición se va a llevar a cabo en el lugar en lugar de en un laboratorio forense informático, esta etapa incluiría identificar, asegurar y documentar la escena. Las entrevistas o reuniones con el personal que puede tener información que podría ser relevante para el examen (que podría incluir a los usuarios finales de la computadora y el gerente y la persona responsable de proporcionar los servicios informáticos) generalmente se llevarían a cabo en esta etapa. La pista de auditoría de 'ensacado y etiquetado' comenzaría aquí sellando cualquier material en bolsas únicas a prueba de manipulaciones. También debe tenerse en cuenta la posibilidad de transportar el material de forma segura al laboratorio del examinador.

Análisis

El análisis depende de las particularidades de cada trabajo. El examinador generalmente proporciona retroalimentación al cliente durante el análisis y, a partir de este diálogo, el análisis puede tomar un camino diferente o limitarse a áreas específicas. El análisis debe ser preciso, completo, imparcial, registrado, repetible y completado dentro de los plazos disponibles y los recursos asignados. Existen innumerables herramientas disponibles para el análisis forense informático. En nuestra opinión, el examinador debe utilizar cualquier herramienta con la que se sienta cómodo siempre que pueda justificar su elección. Los principales requisitos de una herramienta forense informática es que haga lo que debe hacer y la única forma de que los examinadores estén seguros de ello es que prueben y calibren regularmente las herramientas que utilizan antes de que se lleve a cabo el análisis.

Presentación

Esta etapa generalmente implica que el examinador produzca un informe estructurado sobre sus hallazgos, abordando los puntos en las instrucciones iniciales junto con las instrucciones posteriores. También cubriría cualquier otra información que el examinador considere relevante para la investigación. El informe debe redactarse pensando en el lector final; en muchos casos, el lector del informe no será técnico, por lo que la terminología debe reconocer esto. El examinador también debe estar preparado para participar en reuniones o conferencias telefónicas para discutir y desarrollar el informe.

Revisión

Junto con la etapa de preparación, la etapa de revisión a menudo se pasa por alto o se ignora. Esto puede deberse a los costos percibidos de hacer un trabajo que no es facturable, o la necesidad de "continuar con el siguiente trabajo". Sin embargo, una etapa de revisión incorporada en cada examen puede ayudar a ahorrar dinero y elevar el nivel de calidad al hacer que los exámenes futuros sean más eficientes y efectivos en cuanto a tiempo. La revisión de un examen puede ser simple, rápida y puede comenzar durante cualquiera de las etapas anteriores. Puede incluir un "qué salió mal y cómo se puede mejorar" y un "qué salió bien y cómo se puede incorporar en exámenes futuros". También debe solicitarse la retroalimentación de la parte instructora. Cualquier lección aprendida de esta etapa debe aplicarse al siguiente examen y alimentarse en la etapa de preparación.

Problemas que enfrenta la informática forense

Los problemas que enfrentan los examinadores de informática forense se pueden dividir en tres grandes categorías: técnicos, legales y administrativos.

Cifrado: los archivos o discos duros cifrados pueden ser imposibles de ver para los investigadores sin la clave o contraseña correctas. Los examinadores deben considerar que la clave o contraseña pueden estar almacenadas en otro lugar de la computadora o en otra computadora a la que el sospechoso haya tenido acceso. También podría residir en la memoria volátil de una computadora (conocida como RAM [6], que generalmente se pierde cuando se apaga la computadora; otra razón para considerar el uso de técnicas de adquisición en vivo como se describió anteriormente).

Mayor espacio de almacenamiento: los medios de almacenamiento contienen cantidades cada vez mayores de datos, lo que para el examinador significa que sus computadoras de análisis deben tener suficiente capacidad de procesamiento y almacenamiento disponible para hacer frente de manera eficiente a la búsqueda y el análisis de enormes cantidades de datos.

Nuevas tecnologías: la informática es un área en constante cambio, con la producción constante de nuevo hardware, software y sistemas operativos. Ningún examinador forense informático puede ser un experto en todas las áreas, aunque con frecuencia se espera que analicen algo con lo que no se han ocupado antes. Para hacer frente a esta situación, el examinador debe estar preparado y ser capaz de probar y experimentar con el comportamiento de las nuevas tecnologías. Trabajar en red y compartir conocimientos con otros examinadores forenses informáticos también es muy útil a este respecto, ya que es probable que otra persona ya se haya encontrado con el mismo problema.

Anti-forense: el anti-forense es la práctica de intentar frustrar el análisis forense informático. Esto puede incluir el cifrado, la sobrescritura de datos para hacerlos irrecuperables, la modificación de los metadatos de los archivos y la ofuscación de archivos (disfrazar archivos). Al igual que con el cifrado anterior, la evidencia de que se han utilizado tales métodos puede almacenarse en otro lugar de la computadora o en otra computadora a la que el sospechoso haya tenido acceso. En nuestra experiencia, es muy raro ver que las herramientas anti-forenses se utilicen correctamente y con la frecuencia suficiente para ocultar totalmente su presencia o la presencia de la evidencia que se utilizaron para ocultar.

Cuestiones legales: Los argumentos legales pueden confundir o distraer los hallazgos de un examinador de computadoras. Un ejemplo aquí sería la 'Defensa contra troyanos'. Un troyano es un fragmento de código informático disfrazado de algo benigno pero que tiene un propósito oculto y malicioso. Los troyanos tienen muchos usos e incluyen el registro de claves [7], la carga y descarga de archivos y la instalación de virus. Un abogado puede argumentar que las acciones en una computadora no fueron realizadas por un usuario, sino que fueron automatizadas por un troyano sin el conocimiento del usuario; tal Trojan Defense se ha utilizado con éxito incluso cuando no se encontró rastro de un troyano u otro código malicioso en la computadora del sospechoso. En tales casos, un abogado opositor competente, provisto de pruebas de un analista forense informático competente, debería poder desestimar tal argumento.

Estándares aceptados: hay una gran cantidad de estándares y pautas en informática forense, pocos de los cuales parecen ser universalmente aceptados. Esto se debe a una serie de razones, entre las que se incluyen los órganos de establecimiento de normas que están vinculados a legislaciones particulares, las normas están dirigidas a la aplicación de la ley o al análisis forense comercial, pero no a ambos, los autores de dichas normas no son aceptados por sus pares o las altas tarifas de afiliación. Disuadir a los practicantes de participar.

Aptitud para ejercer: en muchas jurisdicciones no existe un organismo calificado para verificar la competencia e integridad de los profesionales de la informática forense. En tales casos, cualquiera puede presentarse como un experto forense informático, lo que puede dar lugar a exámenes forenses informáticos de calidad.

Comentarios

Entradas populares de este blog

Empresas de Alquiler de Equipos: Exploración de Opciones de Alquiler

Concejos para desalojar inquilinos por vías legales

Donde Encontrar Buena Comida en Madrid