A medida que más y más usuarios se mueven y utilizan dispositivos interconectados, las computadoras a menudo están en el centro de los incidentes y las investigaciones. La evidencia para el debate en un tribunal de justicia a menudo se recopila gracias a las habilidades de expertos forenses digitales que pueden extraer datos cruciales de dispositivos electrónicos pertenecientes a las partes afectadas. Los funcionarios de la ley a veces dependen del testimonio de analistas forenses informáticos especializados en descubrimiento electrónico; estos expertos están llamados a trabajar directamente con oficiales de policía y detectives para ayudar a identificar, preservar, analizar y presentar pruebas digitales para ayudar a resolver casos de delitos.
El objetivo del artículo es proporcionar una visión general de la informática forense y los métodos aplicados en la adquisición de pruebas digitales de sistemas informáticos y dispositivos móviles para el análisis de información involucrada en investigaciones criminales. También aborda los últimos desafíos forenses: forense móvil, forense en la nube y anti-forense.
Expertos forenses en informática
El trabajo de los expertos forenses es «ayudar a identificar a los delincuentes y analizar las pruebas en su contra», dice Hall Dillon en un puesto de perspectivas de carrera para la Oficina de Estadísticas Laborales de los Estados Unidos.
Personas capacitadas y cualificadas trabajan para la aplicación de la ley pública o en el sector privado para llevar a cabo tareas relacionadas con la recopilación y el análisis de pruebas digitales. También son responsables de redactar informes significativos para su uso en entornos de investigación y legales. Además de trabajar en laboratorios, los expertos forenses aplican técnicas de investigación digital en el campo para descubrir metadatos que tienen importancia en un tribunal de justicia.
Los analistas forenses informáticos de hoy en día son capaces de recuperar datos que han sido eliminados, cifrados o están ocultos en los pliegues de la tecnología de dispositivos móviles; pueden ser llamados a testificar en el tribunal y relacionar las pruebas encontradas durante las investigaciones. Pueden participar en casos difíciles, como la verificación de las coartadas de los delincuentes, el examen del abuso de Internet, el uso indebido de los recursos informáticos y el uso de la red para crear amenazas relacionadas con la informática. Se puede recurrir a expertos forenses para apoyar casos importantes relacionados con violaciones de datos, intrusiones o cualquier otro tipo de incidente. Al aplicar técnicas y aplicaciones forenses de software privativo para examinar dispositivos o plataformas del sistema, podrían ser capaces de proporcionar descubrimientos clave para identificar quién fue/fue responsable de un delito investigado.
La disciplina en rápido crecimiento de la informática forense se ha convertido en su propia área de experiencia científica, con capacitación y certificaciones complementarias (CCFE, CHFI). De acuerdo con Computer Forensics World, una comunidad de profesionales involucrados en la industria forense digital, las personas certificadas en este campo son responsables de la identificación, recopilación, adquisición, autenticación, preservación, examen, análisis y presentación de pruebas con fines de procesamiento.
El proceso forense informático
El propósito de un examen forense informático es recuperar datos de computadoras incautadas como pruebas en investigaciones penales. Los expertos utilizan un enfoque sistemático para examinar las pruebas que pueden presentarse en los tribunales durante las actuaciones. La participación de expertos forenses debe ser temprana en una investigación, ya que pueden ayudar a recopilar adecuadamente el material técnico de una manera que permita restaurar el contenido sin dañar su integridad.
Los esfuerzos de investigación forense pueden involucrar muchos (o todos) de los siguientes pasos:
- Recogida-búsqueda y captura de pruebas digitales y adquisición de datos
- Examen – aplicación de técnicas para identificar y extraer datos
- Análisis – uso de datos y recursos para probar un caso
- Presentación de la información recopilada (por ejemplo, informe de caso escrito)
Bill Nelson, uno de los autores contribuyentes de la Guía para la Informática Forense y las Investigaciones (tercera edición).), destaca la importancia de las tres A de la informática forense: Adquirir, Autenticar y Analizar. Dice que el proceso forense informático, de hecho, implica adoptar un enfoque sistemático, que incluye una evaluación inicial, la obtención de pruebas y su análisis, para completar un informe de caso (2008, pp.32-33).
Los casos forenses varían mucho; algunos tratan con intrusos informáticos que roban datos; otros involucran a piratas informáticos que irrumpen en sitios web y lanzan ataques DDoS, o intentan obtener acceso a nombres de usuario y contraseñas para el robo de identidad con intenciones fraudulentas, dice el FBI. Algunos casos involucran acoso cibernético o malhechores que visitan sitios prohibidos (por ejemplo, sitios web de pornografía infantil). Un forense puede explorar el rastro cibernético dejado por el delincuente.
Cualquiera que sea la razón de la investigación, los analistas siguen procedimientos paso a paso para asegurarse de que los hallazgos sean sólidos. Una vez abierto un caso penal, se confiscarán y/o investigarán las computadoras y otros equipos y software de medios digitales en busca de pruebas. Durante el proceso de recuperación, se recogen todos los artículos esenciales para dar al analista forense lo que necesita para prestar testimonio en el tribunal.
Entonces es el momento de extraer y analizar datos. Un investigador forense informático tiene en cuenta los 5Ws (Quién, Qué, Cuándo, Dónde, Por Qué) y Cómo ocurrió un delito o incidente informático. Mediante el uso de criterios de evaluación estándar, el examinador puede identificar fallos relacionados con la seguridad en un entorno de red en busca de tráfico sospechoso y cualquier tipo de intrusión, o puede recopilar mensajes, datos, imágenes y otra información que se atribuya de forma exclusiva a un usuario específico involucrado en un caso.
El proceso forense también incluye la redacción de informes. Se requiere que los examinadores forenses informáticos creen dichos informes para que el abogado analice las pruebas fácticas disponibles. Es importante preparar pruebas forenses para el testimonio, especialmente cuando los casos van a juicio y el examinador es llamado como testigo técnico / científico o testigo experto.
Formas de obtener pruebas forenses
Tradicionalmente, las investigaciones forenses por computadora se realizaban en datos en reposo, por ejemplo, explorando el contenido de los discos duros. Siempre que un científico forense necesitara análisis adicionales (por ejemplo, para realizar imágenes, la copia de discos duros, unidades flash, discos, etc.).), normalmente se hacía en un entorno de laboratorio controlado. El análisis muerto (también conocido como adquisición forense muerta o simplemente adquisición estática) es la posesión de datos que se realiza en computadoras que se han apagado. En otras palabras, implica exámenes del sistema (y partes de él) en reposo (muerto). La técnica de análisis en vivo, en cambio, implica recopilar datos de un sistema antes de apagarlo. Un análisis muerto se considera necesario para tener tiempo también para recuperar pruebas físicas como ADN( huellas dactilares en el equipo); sin embargo, es la adquisición en vivo en el campo lo que actualmente es el foco de atención de los expertos forenses.
Realizar un» análisis en vivo » sobre el terreno proporciona pruebas rápidas y directas; se puede realizar gracias a herramientas analíticas que ahora son portátiles y que los analistas pueden llevar a la escena del crimen para comenzar a investigar de inmediato.
A pesar de que un examinador forense puede necesitar el laboratorio criminalístico para realizar análisis adicionales o para realizar un proceso repetitivo (algo que no es posible con adquisiciones en vivo), no todos los casos lo requieren. Sin embargo, es importante que el examinador forense recopile la información suficiente para determinar el siguiente paso apropiado en la investigación. Este enfoque garantiza que no se pierdan ni dañen pruebas digitales, que no se pierdan datos volátiles ni que se necesite una orden judicial para la incautación del equipo.
Las investigaciones en vivo ya se han realizado durante años. En la era digital actual y el aumento de la delincuencia informática, no es de extrañar por qué es necesario emplear analistas forenses para el análisis e interpretación de pruebas digitales (por ejemplo, sistemas informáticos, medios de almacenamiento y dispositivos), explica Marcus K. Rogers, del Departamento de Informática y Tecnología de la Información de la Universidad de Purdue. En un artículo sobre el Modelo de Proceso de Triaje de Campo Cibernético Forense (CFFTPM) en 2006, señaló que «CFFTPM propone un enfoque in situ o de campo para proporcionar la identificación, el análisis y la interpretación de pruebas digitales en un corto período de tiempo, sin el requisito de tener que llevar el sistema o los medios al laboratorio para un examen en profundidad o adquirir una(s) imagen(s) forense (es) completa (s).»
Algunas herramientas forenses de computadoras
Herramientas de software forenses integrales (como Encase Forensic Edition, X-Ways Forensic Addition, Paraben, Forensic ToolKit (FTK), Linux DD, etc.) son utilizados por los investigadores de la escena del crimen para proporcionar su recopilación, indexación y análisis detallado.
Una investigación forense consiste en recopilar información forense informática; el proceso puede comenzar analizando el tráfico de red con un analizador de paquetes o una herramienta de rastreo como Wireshark que es capaz de interceptar el tráfico y registrarlo para un análisis posterior. NetworkMiner, otra Herramienta de Análisis Forense de Redes (NFAT), es una alternativa a Wireshark para extraer o recuperar todos los archivos. Snort, en cambio, es una herramienta valiosa para rastrear a los intrusos de la red en tiempo real.
El software NFAT también contiene capacidades forenses al realizar análisis del tráfico de red almacenado, como su nombre indica. En cuanto a la Respuesta e Identificación de incidentes, se puede usar un Kit de herramientas Forenses, o FTK, para identificar archivos eliminados y recuperarlos; mientras que EnCase es apto para uso forense, de ciberseguridad y descubrimiento electrónico.
La necesidad de nuevas herramientas forenses
La implementación y el rápido crecimiento de las nuevas tecnologías ha creado bastantes problemas para los analistas forenses que ahora se enfrentan a la tarea de tener que buscar información no solo en computadoras personales y portátiles, sino también (y más a menudo) en tabletas y teléfonos inteligentes.
«La ciencia forense de dispositivos móviles es la ciencia de recuperar evidencia digital de un dispositivo móvil bajo condiciones de sonido forense utilizando métodos aceptados», afirma el NIST en sus «Directrices sobre la Ciencia Forense de dispositivos móviles».»La guía destaca cómo los analistas forenses deben tener una comprensión firme, hoy en día, de la singularidad del mundo móvil y comprender la mayoría de las características tecnológicas detrás de cualquier modelo y tipo de dispositivo que se pueda encontrar en la escena del crimen.
La proliferación de sistemas operativos propietarios, tecnologías de cifrado y herramientas de protección desarrolladas por compañías de teléfonos inteligentes como Nokia, Samsung, LG, Huawei, Apple y más obliga a los analistas a mantenerse al día con los últimos desarrollos a un ritmo más rápido que nunca. Los nuevos dispositivos avanzados de hoy en día se producen a velocidades más altas y la extracción de información de ellos, incluso después de pasar por alto las características de seguridad obvias que los protegen, ofrece desafíos únicos.
Trabajando con computadoras independientes, un analista sabía dónde buscar datos (RAM, BIOS, HHD…). En el almacenamiento de un dispositivo móvil, no es tan claro, y la información relevante se puede encontrar en varias ubicaciones, desde la NAND hasta la memoria flash NOR y la RAM de una tarjeta SIM, por ejemplo.
Es importante trabajar de manera que se conserven los datos teniendo en cuenta, por ejemplo, problemas como los efectos del drenaje de energía en la memoria volátil del dispositivo que podrían revelar información importante sobre las ejecuciones de programas en el dispositivo. Además, » los sistemas operativos cerrados dificultan la interpretación de su sistema de archivos y estructura asociados. Muchos dispositivos móviles con el mismo sistema operativo también pueden variar ampliamente en su implementación, lo que resulta en una miríada de permutaciones de sistemas de archivos y estructuras. Estas permutaciones crean desafíos significativos para los fabricantes y examinadores de herramientas forenses móviles.»(Publicación Especial del NIST 800-101, Revisión 1)
Como explica el Instituto Nacional de Estándares y Tecnología (NIST), muchas son las técnicas que los analistas pueden emplear para recopilar datos forenses de dispositivos móviles, desde la extracción manual menos intrusiva hasta la micro lectura invasiva, sofisticada y costosa. Extracción manual significa obtener información simplemente utilizando la interfaz de usuario y la pantalla del dispositivo. El segundo paso sigue siendo básico e implica la extracción lógica. El tercer nivel involucra métodos de descarga hexadecimal / Extracción JTAG; requiere un enfoque de recopilación de datos más difícil, realizado a través de la adquisición física de la memoria del dispositivo. El cuarto nivel es el método de eliminación de chips que implica la eliminación real de la memoria y el quinto, el método más difícil y sofisticado es la técnica de Micro Lectura en la que los analistas usan un microscopio sofisticado para ver el estado físico de todas las puertas.
NIST no solo está trabajando en un enfoque común para la medicina forense móvil, sino que también proporciona un foro para recopilar ideas sobre la medicina forense en la nube. La computación en la nube es una tecnología de rápido crecimiento que ahora utilizan la mayoría de los usuarios de dispositivos móviles y muchas empresas. Su flexibilidad y escalabilidad lo convierten en una opción atractiva para la mayoría de los usuarios, pero también plantea desafíos forenses únicos.
Además de los desafíos técnicos, de hecho, la computación en nube plantea problemas de jurisdicción y legales. De hecho, los datos se pueden almacenar y acceder a ellos en cualquier lugar y puede ser problemático para los investigadores acceder a los datos en diferentes países o de maneras que preserven los derechos de privacidad de otros usuarios de la nube.
Además, a veces es difícil atribuir datos y acciones a un usuario en particular. La recuperación de datos también podría ser problemática debido a la sobreescritura y reutilización de espacio en un entorno de nube.
Los investigadores también deben estar al tanto de las técnicas, herramientas y prácticas anti-forenses que pueden hacer que el análisis forense no sea concluyente, especialmente en un entorno de nube. Ciertos tipos de malware y técnicas de ofuscación pueden comprometer la integridad de la evidencia recopilada y hacer que las conclusiones sean difíciles de presentar en los tribunales.
Conclusión
Como Infosec explica en su sitio web, » Las empresas de hoy en día necesitan especialistas en informática forense para determinar la causa raíz de un ataque de hackers, recopilar pruebas legalmente admisibles en los tribunales y proteger los activos y la reputación corporativos.»
Con delitos informáticos (p. ej., cualquier acto delictivo relacionado con computadoras y redes) en aumento y amenazando los datos de la organización, así como el mayor uso de dispositivos digitales por parte de la población en general, el análisis de la evidencia digital se convierte en un elemento crucial en muchas escenas del crimen.
La informática forense es ahora una profesión emocionante que pone énfasis en el elemento humano, pero también plantea desafíos debido a la necesidad de descubrir evidencia digital en un entorno en constante cambio. Los avances tecnológicos y el cambio a entornos en red y en la nube donde los métodos forenses pueden entrar en juego fácilmente, obligan a los profesionales en el campo a mantenerse actualizados y revisar continuamente los procedimientos operativos estándar.
Rebecca T. Mercuri, fundadora de Notable Software, Inc., señaló en un artículo académico sobre Desafíos en Computación Forense que » la madurez continua de este campo traerá invariablemente cierta estabilización en las mejores prácticas, capacitación, certificación y conjuntos de herramientas, pero siempre surgirán nuevos desafíos debido a la naturaleza dinámica de la tecnología en su raíz.»Sin embargo, como dice el FBI en su sitio web, «esta disciplina forense emergente seguirá siendo una herramienta eficaz y confiable en el sistema de justicia penal.»
Sources
Directrices sobre Medicina Forense de Dispositivos móviles
Determinar la diferencia entre Informática Forense y Descubrimiento electrónico
Racionalización del Flujo de Trabajo Forense Digital: Parte 3
Adquisición Forense en vivo más segura
Vigilancia de Seguridad: Desafíos en Informática Forense
Guía para Computadoras Forenses e Investigaciones. (3rd ed.). Boston, MA
Modelo de Proceso de Triaje de Campo de Informática Forense.
Blog de innovaciones: El Impulso para la Ciencia Forense en vivo.
La ciencia forense digital no es solo CÓMO, sino POR QUÉ