laptop

Todo lo que tienes que saber sobre informática forense

En la actualidad el término informática forense se da a conocer más y más, muchos creen que es algo relacionado con los muertos (como la forensia normal) pero no, en este caso la informática forense es un campo más amplio pero en el mundo digital, la era 2.0 donde la información se da por “perdida” o “muerta”, la labor de estos Forenses es recuperarlo.

ado

Si no es con muertos entonces, ¿Qué hace un informático forense?

En este mundo tecnológico  la mayor parte de la información se transmite, se procesa y se almacena en formato digital en nuestros dispositivos. La labor de estos informáticos es hacer el proceso anverso, esto quiere decir, tomando el dispositivo, procesarlo y recreando otra vez la información almacenada, en otras palabras, recuperar información borrada y con información no solo nos referimos a las fotos que estaban en tu celular que no querías que nadie viera, también lo que no puede ver el usuario cotidiano, por ejemplo dispositivos que fueron conectados, metadatos de una imagen para saber dónde, cuándo y con qué fue tomada una foto, recuperación de datos que “jamás” se guardaron.

Y…¿Todo esto es legal?

La respuesta nunca es fija, siempre depende del trabajo que quieras realizar y quien lo vayas a realizar, todo esto trajo consigo la aparición de novedosas y variadas formas de hechos ilícitos, dada la relativa facilidad con la cual se puede crear, alterar o manipular la información digital (sí, realmente es sencillo).

Se utiliza el neologismo cibercrimen con referencia a aquellas actividades ilegales asociadas con el uso de las TIC que causan pérdida de la utilidad, integridad, autenticidad, disponibilidad, posesión y confidencialidad de la información. Estos crímenes incluyen fraude,amenazas internas, suplantación de la identidad personal y corporativa, espionaje industrial e institucional, phishing, sabotaje a redes informáticas,redes WIFI, telefonía celular, entre otros.

Aquí es cuando aparecemos nosotros para ayudar a resolver estos casos, las organizaciones contratan profesionales forenses de computadoras (InformáticoForense) y requieren de la formación de agentes de las fuerzas legales en crímenes cibernéticos para luchar contra ellos y resolverlos. Aquí es donde se vuelve legal 🙂

Entonces, ¿Qué es la Informática Forense o Forénsica Digital?

Con todo lo anterior dicho, podemos decir que, la Forénsica Digital (o Informática Forense) se encarga de la recolección, inspección, identificación, extracción, preservación, análisis, interpretación y documentación de las pruebas relacionadas con incidentes o delitos cometidos utilizando las tecnologías de la información y las comunicaciones (TIC).

En la investigación forense se utilizan herramientas y técnicas sofisticadas para encontrar, preservar y analizar pruebas digitales frágiles, que son susceptibles de ser “borradas” (Cabe destacar que la información no se borra, solo se sobreescribe, ¿interesante no?)o sufrir alteración. Se busca información tales como fotografías y videos digitales, e-mails, SMS, transacciones bancarias o rastros de cualquier tipo de actividades a través de Internet. Esta información puede estar codificada, cifrada, camuflada u oculta en archivos gráficos o en sectores borrados de un disco duro o de una memoria USB.

 Quienes practican la investigación forense reúnen la evidencia física y la evidencia digital para juicios civiles y penales, siendo también perito informático. Durante el manejo del caso, el análisis forense debe aplicarse metódicamente para garantizar que las actividades se realicen de modo coherente, consistente, auditable y repetible,cuidando la integridad y autenticidad de las pruebas mediante una estricta cadena de custodia.

¿Esto realmente es importante?

Sí, realmente sí, es una actividad cada vez más importante en el mundo moderno, ya que se ocupa de investigar los incidentes de seguridad informática, tales como fraudes electrónicos, cibeterrorismo, ataques de “hackers”, penetración de intrusos, etc. También tiene que ver con la persecución y procesamiento judicial de los responsables, la creación y aplicación de medidas para prevenir casos similares y la compensación de los daños causados.

Mediante diversos tipos de herramientas y la propia intuición, el investigador forense (¡como un detective!) va extrayendo evidencia tras evidencia, siguiendo un hilo conductor que le permita obtener conclusiones. Existen tantos tipos de análisis como tipos de evidencias o delitos.

¿Qué metodología debe seguir un informático forense?

Un Informático Forense requiere de una metodología a fin de obtener las evidencias digitales para su posterior análisis y entrega a la Justicia.

Este procedimiento varía según el país, en nuestro caso te  lo mostraremos el proceso según El Manual Único de Cadena de Custodia Para Preservación de Evidencia Digital en Venezuela:

  • 1. Recolección: Durante la recolección, los elementos (pruebas) relacionados a un evento específico se identifican, etiquetan, registran, recolectan y se preserva su integridad. Encaso de un computador, deberían inventariarse y etiquetarse todos sus componentes, dispositivos de almacenamiento y dispositivos periféricos conectados al computador. El inventario debería incluir el número de modelo,serial y descripción del elemento. También debería documentarse y fotografiarse información sobre cómo está conectado cada elemento fuera y adentro del equipo.
  • 2. Recolección o adquisición de evidencias: En la segunda fase se utilizan las herramientas y técnicas apropiadas a los tipos de datos que fueron recolectados para identificar y extraer la información relevante, tratando de proteger su integridad. La inspección puede usar una combinación de herramientas automatizadas y procesos manuales.
  • 3. Preservación de evidencias (física y lógica): La preservación de evidencias se centra en mantener en perfecto estado las pruebas recogidas. Al igual que otro tipo de objetos, el material informático, como discos duros, CD, DVD, memorias USB,teléfonos celulares, teléfonos inteligentes, etc., necesita especiales cuidados para evitar su deterioro o manipulación hasta que se resuelva el proceso judicial y ya no sea necesario mantener la evidencia. Se deben proteger los dispositivos del daño y se debe proteger los datos contenidos en ellos, ya que pueden ser alterados por causas ambientales, o por un simple campo magnético.
  • 4. Análisis de evidencias: La siguiente fase, involucra el estudio minucioso de los resultados de la inspección para extraer información útil.
  • 5. Presentación de resultados: La fase final es el reporte donde se describe todo el proceso, los resultados obtenidos, las conclusiones y las recomendaciones sobre qué otras actividades deberían realizarse.

El proceso forense transforma los recaudos (pruebas) en evidencia, ya sea que se requiera para los organismos judiciales o para uso interno de la organización. Desde la perspectiva legal, el término evidencia se refiere únicamente a aquellas pruebas que son admisibles por un juez en un caso de tribunal.

¿Los informáticos forenses bajo qué ley se rigen?

¡Muy buena pregunta! Nosotros dentro del marco legal estamos completamente sometidos a la “Ley especial contra los delitos informáticos”. Cada país presenta sus leyes, las cuales deben ser muy similares entre sí. El informático forense debe trabajar siguiendo los lineamientos para que al momento de presentar las pruebas ante el jurado no sea juzgado por alguna falta de prudencia durante la recolección, entiéndase falta de prudencia como modificación de los datos, pérdida de información sensible al caso, daño de un dispositivo electrónico, entre otros.

En la investigación forense existe una gran debilidad: frente a la evidencia documental, la evidencia digital es frágil, dado que la copia de un documento almacenado en un archivo es idéntica al original. Asimismo, existe el riesgo potencial de realizar copias no autorizadas del archivo original sin que quede evidencia de dicha acción.

Entonces… ¿El informático forense puede recuperar la información que desee?

Debes tener en cuenta que todo lo que se haga queda grabado en los dispositivos electrónicos,así que si un secuestrador borró las fotos de su víctima, el informático forense es capaz de conseguirla mediante una búsqueda profunda en el disco duro, o incluso, sus actividades pueden ser vistas en la memoria RAM (Sí,memoria RAM), por ejemplo, si borró algún archivo.

Pero no siempre la información ha de ser recuperada, incluso muy rara vez se podrá recuperar información en buenas condiciones, sino fragmentos. Un ejemplo es el caso en el que los delincuentes informáticos realizan lo que se llama un formateo de bajo nivel, en la cual corrompen (sobrescriben) la data almacenada en el disco duro quedando inservible.

laptop

¿Qué estudia el analista forense?

El analista forense se centra en la extracción de conclusiones a partir de la evidencia.Esta no es una tarea sencilla, ya que los culpables utilizan diversos métodos para ocultarla. En otros casos, los datos se encuentran dispersos y es necesario, al igual que haría un detective, ir atando cabos para buscar una conexión entre las diferentes pistas.

El analista forense debe ser capaz de describir claramente cómo encontró y manipuló la evidencia. Debe iniciar la cadena de custodia y documentar aspectos como los siguientes:

  •  Dónde,cuándo y por quién fue encontrada y recolectada la evidencia
  • Número de respaldos originales de la evidencia, incluyendo la fecha en la cual fueron realizados
  • Dónde,cuándo y por quién fue manipulada o examinada la evidencia
  • Quién tuvo la custodia de la evidencia y durante cuál período
  • Cuándo cambió la custodia de la evidencia
  • Cuándo y cómo ocurrió la transferencia, etc.

Un informático forense debe ser capaz de conseguir con las herramientas forenses:

  1. La recuperación de datos borrados u ocultos.
  2. Conocer información de uso en los dispositivos: conexiones de dispositivos externos, usuarios logueados…
  3. Los correos electrónicos, conversaciones en chats, información en perfiles en la red… tanto almacenados como eliminados,y demás acciones que se relacionan con las comunicaciones online.
  4. Tener un conocimiento de las configuraciones y los protocolos de las infraestructuras. Ello permite conocer  comportamientos particulares en momentos particulares.
  5. Analizar documentos de todo tipo.
  6. Detectar vulnerabilidades.
  7. Rastrear el filtrado de información privada o secreta.

¿Qué herramientas se usan para el análisis Forense?

Con herramientas adecuadas es relativamente fácil identificar si la evidencia ha sido alterada, comparada con la original. Aún si es borrada, es posible, en la mayoría de los casos, recuperar la información.

Los tipos de herramientas para realizar trabajos profesionales de informática forense se clasifican como:

  • De captura de datos y de disco.
  • Visor de archivos.
  • Análisis de archivos, de registro, de Internet, de correo electrónico y de dispositivos móviles.
  • Herramientas forenses de red.
  • Recursos forenses de bases de datos.

¡Bien! ¿y donde puedo hacer un curso para ser informático forense?

Primero déjanos  felicitarte por llegar hasta el final del post y en segundo ¡Estás en el lugar indicado!, somos una organización enfocada en dar la formación y servicio en esta rama de la seguridad informática.

<<INSCRIBIRME EN EL CURSO DE INFORMÁTICA FORENSE>>

Nosotros te guiaremos del inicio hasta el final durante todo el proceso de aprendizaje, dándote todas las herramientas y tips para que salgas listo el campo laboral. Verás 95% de practicas el resto será teoría, aunque ya con con todo lo que has leído bebería ser suficiente. ¡adelante empieza con nosotros! 🙂

Dejar un comentario