Análisis forense digital

ImprimirCitar

La ciencia forense digital o análisis forense digital es una rama de la ciencia forense que abarca la recuperación, investigación, examen y análisis de material encontrado en dispositivos digitales, a menudo en relación con dispositivos móviles y delitos informáticos. El término análisis forense digital se utilizó originalmente como sinónimo de análisis forense informático, pero se ha ampliado para abarcar la investigación de todos los dispositivos capaces de almacenar datos digitales. Con raíces en la revolución de la informática personal de finales de la década de 1970 y principios de la de 1980, la disciplina evolucionó de manera desordenada durante la década de 1990, y no fue hasta principios del siglo XXI que surgieron las políticas nacionales.

Las investigaciones forenses digitales tienen una variedad de aplicaciones. La más común es sustentar o refutar una hipótesis ante tribunales penales o civiles. Los casos penales implican la supuesta infracción de las leyes que están definidas por la legislación y que son aplicadas por la policía y procesadas por el estado, como asesinato, robo y agresión contra la persona. Los casos civiles, por otro lado, se ocupan de la protección de los derechos y la propiedad de las personas (a menudo asociados con disputas familiares), pero también pueden estar relacionados con disputas contractuales entre entidades comerciales en las que puede estar involucrada una forma de análisis forense digital denominada descubrimiento electrónico (ediscovery)..

La ciencia forense también puede aparecer en el sector privado; como durante investigaciones corporativas internas o investigaciones de intrusión (una investigación especializada sobre la naturaleza y el alcance de una intrusión no autorizada en la red).

El aspecto técnico de una investigación se divide en varias subramas, relacionadas con el tipo de dispositivos digitales involucrados; análisis forense informático, análisis forense de redes, análisis forense de datos y análisis forense de dispositivos móviles. El proceso forense típico abarca la incautación, la obtención de imágenes forenses (adquisición) y el análisis de los medios digitales y la producción de un informe sobre las pruebas recopiladas.

Además de identificar evidencia directa de un delito, el análisis forense digital se puede utilizar para atribuir evidencia a sospechosos específicos, confirmar coartadas o declaraciones, determinar la intención, identificar fuentes (por ejemplo, en casos de derechos de autor) o autenticar documentos. Las investigaciones tienen un alcance mucho más amplio que otras áreas del análisis forense (donde el objetivo habitual es proporcionar respuestas a una serie de preguntas más simples) y, a menudo, involucran líneas de tiempo o hipótesis complejas.

Historia

Antes de la década de 1970, los delitos relacionados con las computadoras se trataban con las leyes existentes. Los primeros delitos informáticos se reconocieron en la Ley de Delitos Informáticos de Florida de 1978, que incluía legislación contra la modificación o eliminación no autorizada de datos en un sistema informático. En los años siguientes, la gama de delitos informáticos que se cometieron aumentó y se aprobaron leyes para abordar cuestiones de derechos de autor, privacidad/acoso (p. ej., ciberacoso, happy slapping, ciberacoso y depredadores en línea) y pornografía infantil. No fue sino hasta la década de 1980 que las leyes federales comenzaron a incorporar los delitos informáticos. Canadá fue el primer país en aprobar legislación en 1983. A esto le siguió la Ley Federal de Abuso y Fraude Informático de EE. UU.en 1986, las enmiendas australianas a sus leyes sobre delitos en 1989 y la Ley británica de uso indebido de computadoras en 1990.

Décadas de 1980 a 1990: crecimiento del campo

El crecimiento de los delitos informáticos durante las décadas de 1980 y 1990 provocó que los organismos encargados de hacer cumplir la ley comenzaran a establecer grupos especializados, generalmente a nivel nacional, para manejar los aspectos técnicos de las investigaciones. Por ejemplo, en 1984 el FBI puso en marcha un Equipo de Respuesta y Análisis Informático y al año siguiente se creó un departamento de delitos informáticos dentro de la brigada de fraude de la Policía Metropolitana Británica. Además de ser profesionales encargados de hacer cumplir la ley, muchos de los primeros miembros de estos grupos también eran aficionados a la informática y se hicieron responsables de la investigación y dirección inicial del campo.

Uno de los primeros ejemplos prácticos (o al menos publicitados) de análisis forense digital fue la persecución de Cliff Stoll del hacker Markus Hess en 1986. Stoll, cuya investigación hizo uso de técnicas forenses informáticas y de redes, no era un examinador especializado. Muchos de los primeros exámenes forenses siguieron el mismo perfil.

A lo largo de la década de 1990 hubo una gran demanda de estos nuevos y básicos recursos de investigación. La presión sobre las unidades centrales conduce a la creación de grupos de nivel regional e incluso local para ayudar a manejar la carga. Por ejemplo, la Unidad Nacional Británica de Delitos de Alta Tecnología se creó en 2001 para proporcionar una infraestructura nacional para los delitos informáticos; con personal ubicado tanto en el centro de Londres como en las diversas fuerzas policiales regionales (la unidad se incorporó a la Serious Organised Crime Agency (SOCA) en 2006).

Durante este período, la ciencia del análisis forense digital creció a partir de las herramientas y técnicas ad-hoc desarrolladas por estos practicantes aficionados. Esto contrasta con otras disciplinas forenses que se desarrollaron a partir del trabajo de la comunidad científica. No fue hasta 1992 que el término "informática forense" se utilizó en la literatura académica (aunque antes de esto había tenido un uso informal); un artículo de Collier y Spaul intentó justificar esta nueva disciplina en el mundo de la ciencia forense. Este rápido desarrollo resultó en una falta de estandarización y capacitación. En su libro de 1995, " Crimen de alta tecnología: investigación de casos relacionados con computadoras ", K. Rosenblatt escribió:

Incautar, preservar y analizar evidencia almacenada en una computadora es el mayor desafío forense que enfrenta la policía en la década de 1990. Aunque la mayoría de las pruebas forenses, como las huellas dactilares y las pruebas de ADN, son realizadas por expertos especialmente capacitados, la tarea de recopilar y analizar evidencia informática a menudo se asigna a oficiales de patrulla y detectives.

Década de 2000: desarrollo de estándares

Desde el año 2000, en respuesta a la necesidad de estandarización, varios organismos y agencias han publicado pautas para el análisis forense digital. El Grupo de Trabajo Científico sobre Evidencia Digital (SWGDE) elaboró ​​un documento de 2002, " Mejores prácticas para la informática forense ", seguido, en 2005, por la publicación de una norma ISO (ISO 17025, Requisitos generales para la competencia de pruebas y calibración laboratorios). En 2004 entró en vigor un tratado internacional liderado por Europa, la Convención sobre Ciberdelincuencia, con el objetivo de reconciliar las leyes nacionales sobre delitos informáticos, las técnicas de investigación y la cooperación internacional. El tratado ha sido firmado por 43 naciones (incluidos EE. UU., Canadá, Japón, Sudáfrica, Reino Unido y otras naciones europeas) y ratificado por 16.

El tema de la capacitación también recibió atención. Las empresas comerciales (a menudo desarrolladores de software forense) comenzaron a ofrecer programas de certificación y el análisis forense digital se incluyó como tema en Centrex, el centro de formación de investigadores especializados del Reino Unido.

Desde finales de la década de 1990, los dispositivos móviles están cada vez más disponibles, avanzando más allá de los simples dispositivos de comunicación, y se ha descubierto que son formas ricas de información, incluso para delitos que tradicionalmente no se asocian con el análisis forense digital. A pesar de esto, el análisis digital de teléfonos se ha quedado atrás con respecto a los medios informáticos tradicionales, en gran parte debido a problemas relacionados con la naturaleza propietaria de los dispositivos.

El enfoque también se ha desplazado hacia los delitos en Internet, en particular el riesgo de guerra cibernética y terrorismo cibernético. Un informe de febrero de 2010 del Comando de Fuerzas Conjuntas de los Estados Unidos concluyó:

A través del ciberespacio, los enemigos apuntarán a la industria, la academia, el gobierno, así como a las fuerzas armadas en los dominios aéreo, terrestre, marítimo y espacial. De la misma manera que el poderío aéreo transformó el campo de batalla de la Segunda Guerra Mundial, el ciberespacio ha fracturado las barreras físicas que protegen a una nación de los ataques a su comercio y comunicación.

El campo de la ciencia forense digital aún enfrenta problemas sin resolver. Un artículo de 2009, "Investigación forense digital: lo bueno, lo malo y lo no abordado", de Peterson y Shenoi identificó un sesgo hacia los sistemas operativos Windows en la investigación forense digital. En 2010, Simson Garfinkel identificó los problemas que enfrentarán las investigaciones digitales en el futuro, incluido el tamaño cada vez mayor de los medios digitales, la amplia disponibilidad de cifrado para los consumidores, una variedad cada vez mayor de sistemas operativos y formatos de archivo, un número cada vez mayor de personas que poseen varios dispositivos y problemas legales. limitaciones a los investigadores. El documento también identificó problemas de capacitación continua, así como el costo prohibitivamente alto de ingresar al campo.

Desarrollo de herramientas forenses.

Durante la década de 1980, existían muy pocas herramientas forenses digitales especializadas y, en consecuencia, los investigadores a menudo realizaban análisis en vivo en los medios, examinando las computadoras desde dentro del sistema operativo utilizando las herramientas de administración de sistemas existentes para extraer evidencia. Esta práctica conllevaba el riesgo de modificar los datos en el disco, ya sea inadvertidamente o de otra manera, lo que dio lugar a reclamos de manipulación de pruebas. A principios de la década de 1990 se crearon varias herramientas para abordar el problema.

La necesidad de dicho software se reconoció por primera vez en 1989 en el Centro Federal de Capacitación para el Cumplimiento de la Ley, lo que resultó en la creación de IMDUMP (por Michael White) y en 1990, SafeBack (desarrollado por Sydex). Se desarrolló un software similar en otros países; DIBS (una solución de hardware y software) se lanzó comercialmente en el Reino Unido en 1991, y Rob McKemmish lanzó Fixed Disk Image gratis para las fuerzas del orden público australianas. Estas herramientas permitieron a los examinadores crear una copia exacta de un medio digital para trabajar, dejando el disco original intacto para su verificación. A fines de la década de 1990, a medida que crecía la demanda de evidencia digital, se desarrollaron herramientas comerciales más avanzadas, como EnCase y FTK, que permitían a los analistas examinar copias de medios sin utilizar análisis forense en vivo. Más recientemente, ha crecido una tendencia hacia el "análisis forense de la memoria en vivo", lo que ha dado como resultado la disponibilidad de herramientas como WindowsSCOPE.

Más recientemente, se ha producido la misma progresión en el desarrollo de herramientas para dispositivos móviles; inicialmente los investigadores accedían a los datos directamente en el dispositivo, pero pronto aparecieron herramientas especializadas como XRY o Radio Tactics Aceso.

Proceso forense

Una investigación forense digital comúnmente consta de 3 etapas: adquisición o creación de imágenes de exhibiciones, análisis e informes. Idealmente, la adquisición implica capturar una imagen de la memoria volátil (RAM) de la computadora y crear un duplicado de nivel de sector exacto (o "duplicado forense") de los medios, a menudo utilizando un dispositivo de bloqueo de escritura para evitar la modificación del original. Sin embargo, el crecimiento del tamaño de los medios de almacenamiento y desarrollos como la computación en la nube han llevado a un mayor uso de adquisiciones 'en vivo' mediante las cuales se adquiere una copia 'lógica' de los datos en lugar de una imagen completa del dispositivo de almacenamiento físico.Tanto la imagen adquirida (o copia lógica) como los medios/datos originales se procesan (utilizando un algoritmo como SHA-1 o MD5) y los valores se comparan para verificar que la copia sea precisa.

Un enfoque alternativo (y patentado) (que se ha denominado "análisis forense híbrido" o "análisis forense distribuido") combina el análisis forense digital y los procesos de descubrimiento electrónico. Este enfoque se materializó en una herramienta comercial llamada ISEEK que se presentó junto con los resultados de las pruebas en una conferencia en 2017.

Durante la fase de análisis, un investigador recupera material de evidencia utilizando una serie de metodologías y herramientas diferentes. En 2002, un artículo del International Journal of Digital Evidence se refirió a este paso como "una búsqueda sistemática en profundidad de pruebas relacionadas con el presunto delito". En 2006, el investigador forense Brian Carrier describió un "procedimiento intuitivo" en el que primero se identifica la evidencia obvia y luego "se realizan búsquedas exhaustivas para comenzar a llenar los agujeros".

El proceso real de análisis puede variar entre las investigaciones, pero las metodologías comunes incluyen la realización de búsquedas de palabras clave en los medios digitales (dentro de los archivos, así como el espacio sin asignar y sin uso), la recuperación de archivos eliminados y la extracción de información de registro (por ejemplo, para enumerar las cuentas de los usuarios, o dispositivos USB conectados).

La evidencia recuperada se analiza para reconstruir hechos o acciones y llegar a conclusiones, trabajo que muchas veces puede ser realizado por personal menos especializado. Cuando se completa una investigación, los datos se presentan, por lo general en forma de informe escrito, en términos legos.

Solicitud

El análisis forense digital se usa comúnmente tanto en el derecho penal como en la investigación privada. Tradicionalmente se ha asociado al derecho penal, donde se recogen pruebas para sustentar u oponer una hipótesis ante los tribunales. Al igual que con otras áreas de la ciencia forense, esto suele ser parte de una investigación más amplia que abarca varias disciplinas. En algunos casos, las pruebas recopiladas se utilizan como una forma de recopilación de inteligencia, con fines distintos de los procedimientos judiciales (por ejemplo, para localizar, identificar o detener otros delitos). Como resultado, la recopilación de inteligencia a veces se somete a un estándar forense menos estricto.

En litigios civiles o asuntos corporativos, el análisis forense digital forma parte del proceso de descubrimiento electrónico (o eDiscovery). Los procedimientos forenses son similares a los que se utilizan en las investigaciones criminales, a menudo con diferentes requisitos y limitaciones legales. Fuera de los tribunales, el análisis forense digital puede formar parte de las investigaciones corporativas internas.

Un ejemplo común podría ser seguir una intrusión de red no autorizada. Se realiza un examen forense especializado sobre la naturaleza y el alcance del ataque como un ejercicio de limitación de daños, tanto para establecer el alcance de cualquier intrusión como para intentar identificar al atacante. Dichos ataques se realizaban comúnmente a través de líneas telefónicas durante la década de 1980, pero en la era moderna generalmente se propagan a través de Internet.

El enfoque principal de las investigaciones forenses digitales es recuperar evidencia objetiva de una actividad delictiva (denominada actus reus en el lenguaje legal). Sin embargo, la diversa gama de datos almacenados en dispositivos digitales puede ayudar con otras áreas de investigación.AtribuciónLos metadatos y otros registros se pueden usar para atribuir acciones a un individuo. Por ejemplo, los documentos personales en una unidad de computadora pueden identificar a su propietario.Coartadas y declaracionesLa información proporcionada por los involucrados puede cotejarse con evidencia digital. Por ejemplo, durante la investigación de los asesinatos de Soham, la coartada del delincuente fue refutada cuando los registros del teléfono móvil de la persona con la que afirmaba estar mostraban que ella estaba fuera de la ciudad en ese momento.IntenciónAdemás de encontrar pruebas objetivas de la comisión de un delito, las investigaciones también pueden utilizarse para probar la intención (conocida por el término legal mens rea). Por ejemplo, la historia de Internet del asesino convicto Neil Entwistle incluía referencias a un sitio que discutía Cómo matar personas.Evaluación de la fuenteLos artefactos de archivo y los metadatos se pueden usar para identificar el origen de un dato en particular; por ejemplo, las versiones anteriores de Microsoft Word incrustaron un identificador único global en los archivos que identificaban la computadora en la que se había creado. Puede ser muy importante probar si un archivo se produjo en el dispositivo digital que se está examinando o si se obtuvo de otro lugar (por ejemplo, Internet).Autenticación de documentosEn relación con la "Evaluación de la fuente", los metadatos asociados con los documentos digitales se pueden modificar fácilmente (por ejemplo, cambiando el reloj de la computadora puede afectar la fecha de creación de un archivo). La autenticación de documentos se relaciona con la detección e identificación de la falsificación de tales detalles.

Limitaciones

Una de las principales limitaciones de una investigación forense es el uso de cifrado; esto interrumpe el examen inicial donde la evidencia pertinente podría ubicarse usando palabras clave. Las leyes que obligan a las personas a revelar las claves de cifrado son todavía relativamente nuevas y controvertidas. pero cada vez con mayor frecuencia existen soluciones para forzar contraseñas brutas o eludir el cifrado, como en smartphones o PCs donde mediante técnicas de bootloader se puede adquirir primero el contenido del dispositivo y luego forzarlo para encontrar la contraseña o clave de cifrado.

Consideraciones legales

El examen de los medios digitales está contemplado en la legislación nacional e internacional. Para las investigaciones civiles, en particular, las leyes pueden restringir la capacidad de los analistas para realizar exámenes. A menudo existen restricciones contra el monitoreo de la red o la lectura de comunicaciones personales. Durante la investigación criminal, las leyes nacionales restringen la cantidad de información que se puede incautar. Por ejemplo, en el Reino Unido, la incautación de pruebas por parte de las fuerzas del orden se rige por la ley PACE. Durante su existencia temprana en el campo, la "Organización Internacional de Pruebas Informáticas" (IOCE) fue una agencia que trabajó para establecer estándares internacionales compatibles para la incautación de pruebas.

En el Reino Unido, las mismas leyes que cubren los delitos informáticos también pueden afectar a los investigadores forenses. La Ley de uso indebido de computadoras de 1990 legisla contra el acceso no autorizado a material informático; esta es una preocupación particular para los investigadores civiles que tienen más limitaciones que las fuerzas del orden.

El derecho de un individuo a la privacidad es un área del análisis forense digital que aún no ha sido decidida en gran medida por los tribunales. La Ley de privacidad de las comunicaciones electrónicas de EE. UU. impone limitaciones a la capacidad de las fuerzas del orden público o los investigadores civiles para interceptar y acceder a las pruebas. La ley hace una distinción entre la comunicación almacenada (por ejemplo, archivos de correo electrónico) y la comunicación transmitida (como VOIP). Este último, que se considera más una invasión de la privacidad, es más difícil de obtener una orden judicial. La ECPA también afecta la capacidad de las empresas para investigar las computadoras y las comunicaciones de sus empleados, un aspecto que aún se debate en cuanto a la medida en que una empresa puede realizar dicho monitoreo.

El artículo 5 del Convenio Europeo de Derechos Humanos afirma limitaciones de privacidad similares a las de la ECPA y limita el procesamiento y el intercambio de datos personales tanto dentro de la UE como con países externos. La capacidad de las fuerzas del orden del Reino Unido para realizar investigaciones forenses digitales está legislada por la Ley de Regulación de Poderes de Investigación.

Evidencia digital

Cuando se usa en un tribunal de justicia, la evidencia digital se rige por las mismas pautas legales que otras formas de evidencia; los tribunales no suelen exigir directrices más estrictas. En los Estados Unidos, las Reglas Federales de Evidencia se utilizan para evaluar la admisibilidad de la evidencia digital, las leyes PACE y Civil Evidencia del Reino Unido tienen pautas similares y muchos otros países tienen sus propias leyes. Las leyes federales de EE. UU. restringen las incautaciones a artículos que solo tengan un valor probatorio evidente. Se reconoce que esto no siempre es posible establecerlo con medios digitales antes de un examen.

Las leyes que se ocupan de las pruebas digitales se ocupan de dos cuestiones: la integridad y la autenticidad. La integridad es asegurar que el acto de incautación y adquisición de medios digitales no modifique la prueba (ya sea el original o la copia). La autenticidad se refiere a la capacidad de confirmar la integridad de la información; por ejemplo, que los medios en imágenes coincidan con la evidencia original. La facilidad con la que se pueden modificar los medios digitales significa que es importante documentar la cadena de custodia desde la escena del crimen, a través del análisis y, en última instancia, hasta el tribunal (una forma de pista de auditoría) para establecer la autenticidad de la evidencia.

Los abogados han argumentado que debido a que la evidencia digital teóricamente puede alterarse, socava la confiabilidad de la evidencia. Los jueces estadounidenses están comenzando a rechazar esta teoría, en el caso US v. Bonallo, el tribunal dictaminó que "el hecho de que sea posible alterar los datos contenidos en una computadora es claramente insuficiente para establecer la falta de confiabilidad". En el Reino Unido, se siguen pautas como las emitidas por la ACPO para ayudar a documentar la autenticidad e integridad de las pruebas.

Los investigadores digitales, particularmente en investigaciones criminales, deben asegurarse de que las conclusiones se basen en pruebas fácticas y en su propio conocimiento experto. En los EE. UU., por ejemplo, las Reglas Federales de Evidencia establecen que un experto calificado puede testificar "en forma de opinión o de otra manera" siempre que:

(1) el testimonio se basa en hechos o datos suficientes, (2) el testimonio es producto de principios y métodos confiables, y (3) el testigo ha aplicado los principios y métodos de manera confiable a los hechos del caso.

Cada una de las ramas secundarias del análisis forense digital puede tener sus propias pautas específicas para la realización de investigaciones y el manejo de evidencia. Por ejemplo, es posible que se requiera que los teléfonos móviles se coloquen en un escudo de Faraday durante la incautación o adquisición para evitar más tráfico de radio hacia el dispositivo. En el Reino Unido, el examen forense de computadoras en asuntos penales está sujeto a las pautas de la ACPO. También existen enfoques internacionales para brindar orientación sobre cómo manejar la evidencia electrónica. La "Guía de pruebas electrónicas" del Consejo de Europa ofrece un marco para las autoridades judiciales y de aplicación de la ley en los países que buscan establecer o mejorar sus propias directrices para la identificación y el manejo de pruebas electrónicas.

Herramientas de investigación

La admisibilidad de la evidencia digital depende de las herramientas utilizadas para extraerla. En los EE. UU., las herramientas forenses están sujetas al estándar Daubert, donde el juez es responsable de garantizar que los procesos y el software utilizados sean aceptables. En un artículo de 2003, Brian Carrier argumentó que las pautas de Daubert requerían que el código de herramientas forenses fuera publicado y revisado por pares. Concluyó que "las herramientas de código abierto pueden cumplir con los requisitos de las pautas de manera más clara y completa que las herramientas de código cerrado".En 2011, Josh Brunty afirmó que la validación científica de la tecnología y el software asociados con la realización de un examen forense digital es fundamental para cualquier proceso de laboratorio. Argumentó que "la ciencia del análisis forense digital se basa en los principios de procesos repetibles y pruebas de calidad, por lo que saber cómo diseñar y mantener adecuadamente un buen proceso de validación es un requisito clave para que cualquier examinador forense digital defienda sus métodos en los tribunales". "

Sucursales

La investigación forense digital no se limita a recuperar datos simplemente de la computadora, ya que los delincuentes infringen las leyes y ahora se utilizan ampliamente pequeños dispositivos digitales (por ejemplo, tabletas, teléfonos inteligentes, unidades flash). Algunos de estos dispositivos tienen memoria volátil mientras que otros tienen memoria no volátil. Hay suficientes metodologías disponibles para recuperar datos de la memoria volátil, sin embargo, falta una metodología detallada o un marco para la recuperación de datos de fuentes de memoria no volátil. Según el tipo de dispositivos, medios o artefactos, la investigación forense digital se divide en varios tipos.

Informática forense

El objetivo de la informática forense es explicar el estado actual de un artefacto digital; como un sistema informático, un medio de almacenamiento o un documento electrónico. La disciplina generalmente cubre computadoras, sistemas integrados (dispositivos digitales con potencia de cómputo rudimentaria y memoria integrada) y memoria estática (como memorias USB).

La informática forense puede manejar una amplia gama de información; desde registros (como el historial de Internet) hasta los archivos reales en el disco. En 2007, los fiscales utilizaron una hoja de cálculo recuperada de la computadora de Joseph Edward Duncan para demostrar la premeditación y asegurar la pena de muerte. El asesino de Sharon Lopatka fue identificado en 2006 después de que se encontraran en su computadora mensajes de correo electrónico suyos que detallaban torturas y fantasías de muerte.

Análisis forense de dispositivos móviles

El análisis forense de dispositivos móviles es una rama secundaria del análisis forense digital relacionado con la recuperación de pruebas digitales o datos de un dispositivo móvil. Se diferencia de la informática forense en que un dispositivo móvil tendrá un sistema de comunicación incorporado (por ejemplo, GSM) y, por lo general, mecanismos de almacenamiento patentados. Las investigaciones generalmente se enfocan en datos simples, como datos de llamadas y comunicaciones (SMS/correo electrónico), en lugar de una recuperación profunda de los datos eliminados. Los datos de SMS de una investigación de dispositivos móviles ayudaron a exonerar a Patrick Lumumba del asesinato de Meredith Kercher.

Los dispositivos móviles también son útiles para proporcionar información sobre la ubicación; ya sea desde el seguimiento de ubicación/gps incorporado o a través de los registros del sitio celular, que rastrean los dispositivos dentro de su alcance. Dicha información se utilizó para rastrear a los secuestradores de Thomas Onofri en 2006.

Análisis forense de la red

El análisis forense de redes se ocupa de la supervisión y el análisis del tráfico de la red informática, tanto local como WAN/Internet, con el fin de recopilar información, recopilar pruebas o detectar intrusiones. El tráfico generalmente se intercepta a nivel de paquete y se almacena para su análisis posterior o se filtra en tiempo real. A diferencia de otras áreas del análisis forense digital, los datos de red suelen ser volátiles y rara vez se registran, lo que hace que la disciplina sea a menudo reaccionaria.

En 2000, el FBI atrajo a los piratas informáticos Aleksey Ivanov y Gorshkov a los Estados Unidos para una entrevista de trabajo falsa. Al monitorear el tráfico de la red desde las computadoras de la pareja, el FBI identificó contraseñas que les permitieron recolectar evidencia directamente de las computadoras con sede en Rusia.

Análisis de datos forenses

El análisis forense de datos es una rama del análisis forense digital. Examina datos estructurados con el objetivo de descubrir y analizar patrones de actividades fraudulentas resultantes de delitos financieros.

Análisis forense de bases de datos

El análisis forense de bases de datos es una rama del análisis forense digital relacionado con el estudio forense de las bases de datos y sus metadatos. Las investigaciones utilizan el contenido de la base de datos, los archivos de registro y los datos en la memoria RAM para crear una línea de tiempo o recuperar información relevante.

Análisis forense de IoT

El análisis forense de IoT es una rama del análisis forense digital que tiene el objetivo de identificar y extraer información digital de dispositivos pertenecientes al campo de Internet de las cosas, para ser utilizada en investigaciones forenses como fuente potencial de evidencia.

Contenido relacionado

Efecto CSI

El efecto CSI, también conocido como el síndrome CSI y la infección CSI, es una de las varias formas en que la representación exagerada de la ciencia...

Psicología forense

La psicología forense implica la aplicación de conocimientos y métodos psicológicos para ayudar a responder preguntas legales que surgen en procedimientos...

Palinología forense

La palinología forense es una subdisciplina de la palinología que tiene como objetivo probar o refutar una relación entre objetos, personas y lugares que...
Más resultados...
Tamaño del texto:
Editar