¿Qué es la informática forense?

Con una creciente cadencia vemos en los medios como se producen casos de hacking, sextortion (extorsión sexual), cyberbullying, pedofilia y otros delitos que se apoyan de alguna manera en las nuevas tecnologías -internet, dispositivos digitales- para cometerse.
Seguro que también hemos visto ocasiones en que la policía y otros organismos estatales requisan servidores, discos duros, interceptan enrutadores y conexiones inalámbricas, por no hablar de la importancia que dan a los teléfonos móviles actuales, que son grandes minas de información.
Y es que para poder juzgar y hacer cumplir las penas a los cibercriminales es necesario probar los hechos que se presuponen, lo que requiere recopilar toda evidencia posible que los incrimine. Es ahí donde entra en juego la ciencia forense digital o informática forense.
¿Qué es la ciencia forense de la información o informática forense?
Podemos definir la informática forense como un subconjunto de algo más amplio que es la ciencia forense, que representa toda investigación criminal sin importar el tipo de hechos o datos tratados.
La informática forense puede definirse como el proceso de recolección, preservación, análisis e información de pruebas legalmente admisibles ante un tribunal o ante un tercero que las solicite. O, como lo definieron dos de los pioneros (Farmer y Venema) en 1999:
Obtener y analizar datos de una forma tan libre de adulteración como sea posible, para reconstruir datos o sucesos que han tenido lugar en el pasado, en un sistema digital.
Tipos de informática forense
Se pueden distinguir a su vez 4 tipos principales de operaciones en el campo forense digital:
- Análisis forense de sistemas: Windows, Linux / *NIX, etcétera
- Análisis forense de dispositivos móviles
- Análisis forense de redes
- Análisis forense cloud o de internet
Herramientas de informática forense
- Creación de imágenes: FTK Imager / FTK Imager lite. Más sobre imágenes forenses y Write blockers.
- Cálculo de hashes: HashCalc, otras herramientas de sistema operativo
- Análisis de memoria volátil: Volatility, Belkasoft Live RAM capturer
- Análisis de registro de Windows: AccessData Registry Viewer
- Suites de análisis forense: Sleuthkit, Encase Forensics, SIFT Workstation 3, OsForensics v6
Esta lista no es excluyente, hay muchas (pero muchas) herramientas de análisis forense ahí fuera.
Informática anti-forense vs informática forense
La ciencia forense digital está destinada a desencubrir las actividades ilegales de un usuario u organización.
Mientras tanto, lo que se conoce como ciencia anti-forense o contra-forense tiene otros objetivos:
- Dificultar el descubrimiento de información y pruebas de actos ilegales
- Manipular, eliminar u «ofuscar» (un término muy de nuestro tiempo) los datos digitales
El objetivo de estas actividades es conseguir que el examen de los dispositivos sea complicado, requiera un tiempo prolongado y, en el mejor de los casos, sea imposible.
Ejemplos de mecanismos anti-forenses (ADF)
La ciencia forense digital debe enfrentarse a lo que los criminales contraponen para evitar ser descubiertos o detenidos. En la mayoría de casos estamos hablando de herramientas legítimas pero muy eficientes.
Sobre escritura de datos (wiping)
BCWipe, R-Wipe & Clean, Eraser, Aevita Wipe & Delete, CyberScrubs PrivacySuite, etc.
Destrucción de disco completo
DBAN, srm, BCWipe Total WipeOut, KillDisk, CMRR Secure Erase
Ocultación / ofuscación de datos
Esteganografía, criptografía, etcétera. Entre estas herramientas podemos citar la ya analizada Invisible Secrets (esteganografía) y otras como OpenStego. También se intentará en muchos casos modificar extensiones de archivos, alterar las marcas MAC (modificación, acceso, creación) para los archivos mediante comandos como «touch» en Linux, aunque esto tiene sus limitaciones y es menos sofisticado.
En ocasiones incluso se esconden elementos en áreas del sistema ocultas como áreas de la memoria volátil (RAM), directorios ocultos, bloques de disco marcados como «inservibles», particiones ocultas o lo que se conoce como slack space: aprovechamiento de huecos libres en los bloques de asignación de datos en disco, originados por fragmentación.
Aprovechamiento de fallos en herramientas forenses
Errores o limitaciones conocidas, así como intento de modificar el hash resultante de la obtención de evidencias para invalidar las pruebas.
Metodología
Los expertos en esta materia son llamados habitualmente a testificar y presentar sus conclusiones en juicios criminales de diverso tipo, considerándose «testigos expertos» (Expert Witness).
Evidentemente, el investigador forense debe tener en cuenta una serie de principios y reglas (buenas prácticas) si quiere que su caso llegue a buen puerto y no se rechacen las pruebas por él propuestas.
- Debe seguir los procedimientos del tribunal
- Debe testificar basándose en sus hallazgos, análisis y ofrecer unas conclusiones
- Debe poder demostrar el conocimiento científico asociado con sus áreas de experiencia
Además de lo anterior, el experto forense debe poder apoyar su alegato en una documentación completa y bien redactada;
¿Qué tipo de incidente tuvo lugar?
¿Qué sistemas fueron afectados de forma directa o indirecta? ¿Cuál es su utilización, criticidad o sensibilidad?
¿Cuál es el daño causado?
¿Qué impacto potencial afronta el negocio?
Si el profesional no cumple con los estándares exigidos (por ejemplo, la cadena de custodia) o no es capaz de probar suficiente solvencia en el sector, podría ser fácilmente recusado y sus pruebas, invalidadas.
Para conocer más sobre la ciencia informática forense, te recomiendo revisar el curso ofrecido por eDX. También puedes cursar el ofrecido por Cybrary.
Conclusiones
La ciencia forense digital o informática forense aprovecha cualquier elemento contenido en un soporte digital para probar o negar unos hechos ante la autoridad competente. Es igualmente útil tanto para inculpar al responsable de unos hechos como para conocer el alcance de los hechos en sí. Debe ser ejercida por personas cualificadas y respetar un código deontológico para llegar a buen puerto.
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.
Muy buen artículo. Un saludo.
Gracias!