Informática forense

format_list_bulleted Contenido keyboard_arrow_down
ImprimirCitar

La informática forense (también conocida como informática forense) es una rama de la ciencia forense digital relacionada con las pruebas encontradas en las computadoras y los medios de almacenamiento digital. El objetivo de la informática forense es examinar los medios digitales de manera forense sólida con el objetivo de identificar, preservar, recuperar, analizar y presentar hechos y opiniones sobre la información digital.

Aunque se asocia más a menudo con la investigación de una amplia variedad de delitos informáticos, la informática forense también se puede utilizar en procedimientos civiles. La disciplina involucra técnicas y principios similares a la recuperación de datos, pero con pautas y prácticas adicionales diseñadas para crear un registro de auditoría legal.

La evidencia de las investigaciones forenses informáticas generalmente está sujeta a las mismas pautas y prácticas de otra evidencia digital. Se ha utilizado en una serie de casos de alto perfil y se acepta como confiable dentro de los sistemas judiciales de EE. UU. y Europa.

Visión general

A principios de la década de 1980, las computadoras personales se volvieron más accesibles para los consumidores, lo que llevó a su mayor uso en actividades delictivas (por ejemplo, para ayudar a cometer fraude). Al mismo tiempo, se reconocieron varios "delitos informáticos" nuevos (como el cracking). La disciplina de la informática forense surgió durante este tiempo como un método para recuperar e investigar pruebas digitales para su uso en los tribunales. Desde entonces, los delitos informáticos y los delitos relacionados con la informática han crecido y se han disparado un 67 % entre 2002 y 2003. Hoy en día, se utilizan para investigar una amplia variedad de delitos, como la pornografía infantil, el fraude, el espionaje, el acoso cibernético, el asesinato y la violación. La disciplina también se presenta en procedimientos civiles como una forma de recopilación de información (por ejemplo, descubrimiento electrónico)

Las técnicas forenses y el conocimiento experto se utilizan para explicar el estado actual de un artefacto digital, como un sistema informático, un medio de almacenamiento (p. ej., disco duro o CD-ROM) o un documento electrónico (p. ej., un mensaje de correo electrónico o una imagen JPEG). El alcance de un análisis forense puede variar desde la simple recuperación de información hasta la reconstrucción de una serie de eventos. En un libro de 2002, Computer Forensics, los autores Kruse y Heiser definen la informática forense como "la preservación, identificación, extracción, documentación e interpretación de datos informáticos".Continúan describiendo la disciplina como "más un arte que una ciencia", lo que indica que la metodología forense está respaldada por la flexibilidad y un amplio conocimiento del campo. Sin embargo, aunque se pueden utilizar varios métodos para extraer pruebas de una computadora determinada, las estrategias utilizadas por las fuerzas del orden son bastante rígidas y carecen de la flexibilidad que se encuentra en el mundo civil.

La seguridad cibernética

La informática forense a menudo se confunde con la ciberseguridad, pero ambas son bastante diferentes. La ciberseguridad se trata de prevención y protección, mientras que la informática forense es más reaccionaria y activa, como el seguimiento y la exposición. Suele haber dos equipos, Ciberseguridad e Informática Forense que trabajan codo con codo. Se complementan entre sí, ya que el equipo de ciberseguridad crearía sistemas y programas para proteger los datos y, si fallan, el equipo de informática forense se recupera y descubre cómo sucedió y realiza un seguimiento, etc. Sin embargo, hay muchas similitudes, por lo que estos dos campos se ayudan mutuamente. Ambos requieren conocimientos de informática y ambos campos son aparte de TI/STEM.

Delitos relacionados con la informática

La informática forense se utiliza para condenar a personas que han cometido delitos físicos y digitales. Algunos de estos delitos informáticos incluyen interrupción, interceptación, infracción de derechos de autor y fabricación. La interrupción se relaciona con la destrucción y el robo de partes de computadoras y archivos digitales. La interceptación es el acceso no autorizado a archivos e información almacenados en dispositivos tecnológicos. La infracción de derechos de autor consiste en usar, reproducir y distribuir información protegida por derechos de autor, incluida la piratería de software. La fabricación es acusar a alguien de usar datos e información falsos ingresados ​​en el sistema a través de una fuente no autorizada. Ejemplos de intercepciones son el caso The Bank NSP, el caso Sony.Sambandh.com y las estafas de compromiso de correos electrónicos comerciales. El caso Bank NSP fue una situación en la que la ex novia de un empleado de la gerencia del banco creó correos electrónicos fraudulentos, que se enviaban al cliente del banco para ganar dinero. El caso Sony.Sambandh.com fue un trabajador de un centro de llamadas que usó la información de la tarjeta de crédito de un extranjero para comprar un televisor y auriculares. Las estafas de compromiso de correos electrónicos comerciales se refieren a piratas informáticos que obtienen acceso al correo electrónico del CEO/CFO y lo utilizan para obtener dinero de sus empleados.

Usar como evidencia

En los tribunales, las pruebas forenses informáticas están sujetas a los requisitos habituales de las pruebas digitales. Esto requiere que la información sea auténtica, obtenida de manera confiable y admisible. Diferentes países tienen pautas y prácticas específicas para la recuperación de evidencia. En el Reino Unido, los examinadores suelen seguir las directrices de la Asociación de Jefes de Policía que ayudan a garantizar la autenticidad y la integridad de las pruebas. Si bien son voluntarias, las pautas son ampliamente aceptadas en los tribunales británicos.

La informática forense se ha utilizado como evidencia en el derecho penal desde mediados de la década de 1980, algunos ejemplos notables incluyen:

  • Asesino BTK: Dennis Rader fue condenado por una serie de asesinatos en serie que ocurrieron durante un período de dieciséis años. Hacia el final de este período, Rader envió cartas a la policía en un disquete. Los metadatos dentro de los documentos implicaban a un autor llamado "Dennis" en la "Iglesia Luterana de Cristo"; esta evidencia ayudó a conducir al arresto de Rader.
  • Joseph Edward Duncan: una hoja de cálculo recuperada de la computadora de Duncan contenía evidencia que lo mostraba planeando sus crímenes. Los fiscales usaron esto para demostrar premeditación y asegurar la pena de muerte.
  • Sharon Lopatka: Cientos de correos electrónicos en la computadora de Lopatka llevan a los investigadores a su asesino, Robert Glass.
  • Grupo Corcoran: este caso confirmó los deberes de las partes de preservar la evidencia digital cuando el litigio ha comenzado o se anticipa razonablemente. Los discos duros fueron analizados por un experto en informática forense que no pudo encontrar correos electrónicos relevantes que los Demandados deberían haber tenido. Aunque el experto no encontró evidencia de eliminación en los discos duros, surgió evidencia de que se descubrió que los demandados destruyeron intencionalmente correos electrónicos y engañaron y no revelaron hechos materiales a los demandantes y al tribunal.
  • Dr. Conrad Murray: El Dr. Conrad Murray, el médico del fallecido Michael Jackson, fue condenado parcialmente por evidencia digital en su computadora. Esta evidencia incluía documentación médica que mostraba cantidades letales de propofol.

Proceso forense

Las investigaciones forenses informáticas suelen seguir el proceso o las fases forenses digitales estándar, que son la adquisición, el examen, el análisis y la elaboración de informes. Las investigaciones se realizan sobre datos estáticos (es decir, imágenes adquiridas) en lugar de sistemas "en vivo". Este es un cambio de las primeras prácticas forenses donde la falta de herramientas especializadas llevó a los investigadores a trabajar comúnmente en datos en vivo.

Laboratorio de Informática Forense

El laboratorio de informática forense es una zona segura y protegida donde los datos electrónicos pueden administrarse, conservarse y accederse a ellos en un entorno controlado. Allí, hay un riesgo muy reducido de daño o modificación de la evidencia. Los examinadores forenses informáticos tienen los recursos necesarios para obtener datos significativos de los dispositivos que están examinando.

Técnicas

Se utilizan varias técnicas durante las investigaciones forenses informáticas y se ha escrito mucho sobre las muchas técnicas utilizadas por las fuerzas del orden público en particular.Análisis de transmisión cruzadaUna técnica forense que correlaciona la información que se encuentra en varios discos duros. El proceso, aún en investigación, puede utilizarse para identificar redes sociales y realizar detección de anomalías.Análisis en vivoEl examen de las computadoras desde dentro del sistema operativo utilizando análisis forense personalizado o herramientas de administración de sistemas existentes para extraer evidencia. La práctica es útil cuando se trata de sistemas de cifrado de archivos, por ejemplo, donde se pueden recopilar las claves de cifrado y, en algunos casos, se puede generar una imagen del volumen lógico del disco duro (lo que se conoce como adquisición en vivo) antes de que se apague la computadora.Archivos eliminadosUna técnica común utilizada en la informática forense es la recuperación de archivos eliminados. El software forense moderno tiene sus propias herramientas para recuperar o extraer datos eliminados. La mayoría de los sistemas operativos y de archivos no siempre borran los datos de los archivos físicos, lo que permite a los investigadores reconstruirlos a partir de los sectores del disco físico. El tallado de archivos implica la búsqueda de encabezados de archivos conocidos dentro de la imagen del disco y la reconstrucción de materiales eliminados.Análisis forense estocásticoUn método que utiliza las propiedades estocásticas del sistema informático para investigar actividades que carecen de artefactos digitales. Su uso principal es investigar el robo de datos.EsteganografíaUna de las técnicas utilizadas para ocultar datos es la esteganografía, el proceso de ocultar datos dentro de una fotografía o imagen digital. Un ejemplo sería ocultar imágenes pornográficas de niños u otra información que un delincuente determinado no quiere que se descubra. Los profesionales de la informática forense pueden combatir esto mirando el hash del archivo y comparándolo con la imagen original (si está disponible). Si bien las imágenes parecen idénticas en la inspección visual, el hash cambia a medida que cambian los datos.

Análisis forense de dispositivos móviles

Registros telefónicos: las compañías telefónicas generalmente mantienen registros de las llamadas recibidas, lo que puede ser útil al crear líneas de tiempo y recopilar las ubicaciones de las personas cuando ocurrió el delito.

Contactos: las listas de contactos ayudan a reducir el grupo de sospechosos debido a sus conexiones con la víctima o el sospechoso.

Mensajes de texto: los mensajes contienen marcas de tiempo y permanecen en los servidores de la empresa de forma indefinida, incluso si se eliminan en el dispositivo original. Debido a esto, los mensajes actúan como registros cruciales de comunicación que pueden usarse para condenar a los sospechosos.

Fotos: las fotos pueden ser fundamentales para respaldar o refutar coartadas al mostrar una ubicación o escena junto con una marca de tiempo de cuándo se tomó la foto.

Grabaciones de audio: algunas víctimas podrían haber podido grabar momentos cruciales de la lucha, como la voz de su atacante o un contexto extenso de la situación.

Datos volátiles

Los datos volátiles son todos los datos que se almacenan en la memoria, o que existen en tránsito, que se perderán cuando la computadora se quede sin energía o se apague. Los datos volátiles residen en registros, caché y memoria de acceso aleatorio (RAM). La investigación de estos datos volátiles se denomina "análisis forense en vivo".

Al incautar pruebas, si la máquina aún está activa, se puede perder cualquier información almacenada únicamente en la RAM que no se recupere antes de apagarla. Una aplicación de "análisis en vivo" es recuperar datos de RAM (por ejemplo, usando la herramienta COFEE de Microsoft, WinDD, WindowsSCOPE) antes de eliminar una exhibición. CaptureGUARD Gateway pasa por alto el inicio de sesión de Windows para computadoras bloqueadas, lo que permite el análisis y la adquisición de memoria física en una computadora bloqueada.

La RAM se puede analizar en busca de contenido anterior después de una pérdida de energía, porque la carga eléctrica almacenada en las celdas de memoria tarda en disiparse, un efecto explotado por el ataque de arranque en frío. El período de tiempo que los datos son recuperables aumenta con las bajas temperaturas y los voltajes de celda más altos. Mantener la memoria RAM sin alimentación por debajo de -60 °C ayuda a preservar los datos residuales en un orden de magnitud, lo que mejora las posibilidades de una recuperación exitosa. Sin embargo, puede ser poco práctico hacer esto durante un examen de campo.

Sin embargo, algunas de las herramientas necesarias para extraer datos volátiles requieren que una computadora esté en un laboratorio forense, tanto para mantener una cadena de evidencia legítima como para facilitar el trabajo en la máquina. Si es necesario, las fuerzas del orden aplican técnicas para mover una computadora de escritorio activa y en funcionamiento. Estos incluyen un jiggler del mouse, que mueve el mouse rápidamente en pequeños movimientos y evita que la computadora se duerma accidentalmente. Por lo general, una fuente de alimentación ininterrumpida (UPS) proporciona energía durante el tránsito.

Sin embargo, una de las formas más sencillas de capturar datos es guardar los datos de RAM en el disco. Varios sistemas de archivos que tienen funciones de registro en diario, como NTFS y ReiserFS, mantienen una gran parte de los datos de la RAM en el medio de almacenamiento principal durante el funcionamiento, y estos archivos de página se pueden volver a ensamblar para reconstruir lo que había en la RAM en ese momento.

Herramientas de análisis

Existen varias herramientas comerciales y de código abierto para la investigación forense informática. El análisis forense típico incluye una revisión manual del material en los medios, revisión del registro de Windows en busca de información sospechosa, descubrimiento y descifrado de contraseñas, búsquedas de palabras clave para temas relacionados con el delito y extracción de correo electrónico e imágenes para su revisión. Autopsy (software), Belkasoft Evidence Center, COFEE, EnCase son algunas de las herramientas utilizadas en el análisis forense digital.

Trabajos en Informática Forense

Investigador Forense Digital Informático

Los investigadores forenses digitales informáticos revisan los dispositivos y datos de los sospechosos para obtener pruebas incriminatorias que podrían usarse en el caso.

Programas de computador

Los programadores de computadoras programan sistemas y programas para que las computadoras los ejecuten. Los informáticos forenses trabajan con programación y son elegibles para trabajar en esta carrera.

Analista de Ciberforense

Los analistas forenses cibernéticos apoyan a los detectives e investigadores en el crimen mediante el análisis de datos y pruebas y el uso de procesos que lo hacen elegible en los tribunales.

Técnico en Informática Forense

Un técnico forense informático busca información que pueda ser relevante para un caso en curso. Buscan a través de dispositivos personales y dispositivos de almacenamiento para descubrir y presentar pruebas.

Certificaciones

Hay varias certificaciones de informática forense disponibles, como el examinador informático certificado por ISFCE, el profesional de investigación forense digital (DFIP) y el examinador forense informático certificado por IACRB.

La certificación independiente de proveedor superior (especialmente dentro de la UE) se considera [ CCFP - Profesional forense cibernético certificado [1]].

Otros, que vale la pena mencionar para EE. UU. o APAC son: La Asociación Internacional de Especialistas en Investigación Informática ofrece el programa de Examinador Informático Certificado.

La Sociedad Internacional de Examinadores Forenses de Informática ofrece el programa de Examinador Informático Certificado.

Muchas empresas de software forense con base comercial ahora también ofrecen certificaciones patentadas en sus productos. Por ejemplo, Guidance Software ofrece la certificación (EnCE) en su herramienta EnCase, AccessData ofrece la certificación (ACE) en su herramienta FTK, PassMark Software ofrece la certificación en su herramienta OSForensics y X-Ways Software Technology ofrece la certificación (X-PERT) para su software, X-Ways Forensics.

Leyes

Leyes relacionadas con la informática forense (India)

Las secciones 65 a 77 de las leyes indias se relacionan con los delitos informáticos. Todas las leyes se hacen cumplir mediante evidencias dejadas digital y remotamente en la computadora debido al seguimiento permanente de nuestras acciones en bases de datos.

Artículo 66: Ley que impide la piratería informática. El delito se castiga con tres años de prisión o una multa de cinco lakhs de rupias.

Sección 66F: Ley enfocada en el terrorismo cibernético como malware, phishing, acceso no autorizado, robo de identidad, etc. Si se detecta, generalmente conduce a cadena perpetua.

Artículo 67B: Ley para prevenir la difusión y publicación de pornografía infantil. Podría dar lugar a hasta 7 años de prisión y una multa de diez lakhs de rupias.

Contenido relacionado

Psiquiatría forense

La psiquiatría forense es una subespecialidad de la psiquiatría y está relacionada con la criminología. Abarca la interfaz entre el derecho y la...

Delitos de cuello blanco

El término delitos de cuello blanco se refiere a delitos no violentos o directamente violentos con motivación financiera cometidos por individuos, empresas...

Toxicología forense

Toxicología forense es el uso de la toxicología y disciplinas como la química analítica, la farmacología y la química clínica para ayudar en la...
Más resultados...
Tamaño del texto:
undoredo
format_boldformat_italicformat_underlinedstrikethrough_ssuperscriptsubscriptlink
save