QUÉ ES LA INFORMÁTICA FORENSE

tomado de: https://protecciondatos-lopd.com/empresas/informatica-forense/

El término forense significa literalmente utilizar algún tipo de proceso científico establecido para la recopilación, análisis y presentación de la evidencia que se ha recopilado. Sin embargo, todas las formas de evidencia son importantes, especialmente cuando se ha producido un ataque cibernético.

Por lo tanto, una definición de informática forense se puede presentar de la siguiente manera:

Es la disciplina que combina los elementos del derecho y la informática para recopilar y analizar datos de sistemas informáticos, redes, comunicaciones inalámbricas y dispositivos de almacenamiento de una manera que sea admisible como prueba en un tribunal de justicia.

Obviamente, cuando se ha producido un ataque cibernético, la recopilación de todas las pruebas relevantes es de suma importancia para responder a las preguntas que se describieron anteriormente. Sin embargo, ten en cuenta que el investigador forense está particularmente interesado en una evidencia en particular, que se conoce específicamente como “datos latentes“.

En el mundo de la Ciberseguridad, este tipo de datos (también conocidos como “datos ambientales“) no se pueden ver ni acceder fácilmente a primera vista en la escena de un ataque cibernético. En otras palabras, se necesita un nivel mucho más profundo de investigación por parte del experto en informática forense para desenterrarlos.

Obviamente, estos datos tienen muchos usos, pero se implementaron de tal manera que el acceso a ellos ha sido extremadamente limitado.

Los ejemplos de datos latentes incluyen los siguientes:

  • Información que se encuentra en el almacenamiento del ordenador pero que no se menciona fácilmente en las tablas de asignación de archivos;
  • Información que el sistema operativo o las aplicaciones de software de uso común no pueden ver fácilmente;
  • Datos que se han eliminado deliberadamente y ahora se encuentran en:
    • Espacios no asignados en el disco duro;
    • Intercambiar archivos;
    • Imprimir archivos de cola de impresión;
    • Volcados de memoria;
    • El espacio flojo entre los archivos existentes y el caché temporal.

Objetivos del cómputo forense

En caso de que se haya producido una brecha de seguridad, estos son los objetivos esenciales del uso de la computación forense:

  • Ayuda a recuperar, analizar y preservar el ordenador y los materiales relacionados de tal manera que ayuda a la agencia de investigación a presentarlos como evidencia en un tribunal de justicia.
  • Ayuda a postular el motivo detrás del crimen y la identidad del principal culpable.
  • Diseñar procedimientos en una presunta escena del crimen que ayudan a garantizar que la evidencia digital obtenida no esté corrupta.
  • Adquisición y duplicación de datos: recuperación de archivos eliminados y particiones eliminadas de medios digitales para extraer la evidencia y validarlos.
  • Ayuda a identificar la evidencia rápidamente y también permite estimar el impacto potencial de la actividad maliciosa en la víctima
  • Producir un informe forense informático que ofrece un informe completo sobre el proceso de investigación.
  • Preservar la evidencia siguiendo la cadena de custodia.

Tipos de informática forense

Los principales tipos de informática forense son los siguientes:

De sistemas operativos

Es el proceso de recuperación de información útil del sistema operativo (SO) del ordenador o dispositivo móvil en cuestión. El objetivo de recopilar esta información es adquirir evidencia empírica contra el autor.

La comprensión de un sistema operativo y su sistema de archivos es necesaria para recuperar datos para investigaciones informáticas. El sistema de archivos proporciona un sistema operativo con una hoja de ruta para los datos en el disco duro. El sistema de archivos también identifica cómo el disco duro almacena los datos.

De redes

El análisis forense de la red se refiere a la recopilación, monitorización y análisis de las actividades de la red para descubrir la fuente de ataques, virus, intrusiones o violaciones de seguridad que ocurren en una red o en el tráfico de la red.

Como tal, el análisis forense de la red se considera junto con el análisis forense móvil o el análisis forense de imágenes digitales, como parte del análisis forense digital.

Por lo general, se usa cuando se trata de ataques a la red. En muchos casos, se usa para monitorizar una red para identificar proactivamente el tráfico sospechoso o un ataque inminente. Por otro lado, se utiliza para recopilar pruebas mediante el análisis de datos de tráfico de red para identificar la fuente de un ataque.

En dispositivos móviles

Los crímenes no ocurren aislados de las tendencias tecnológicas; por lo tanto, el análisis forense de dispositivos móviles se ha convertido en una parte importante del análisis forense digital.

El proceso forense móvil tiene como objetivo recuperar evidencia digital o datos relevantes de un dispositivo móvil de una manera que conserve la evidencia en una condición forense sólida. Para lograr eso, el proceso forense móvil necesita establecer reglas precisas que incauten, aíslen, transporten, almacenen para el análisis y prueben pruebas digitales que se originen de manera segura desde dispositivos móviles.

En la nube o Cloud

Hoy en día, con la mayoría de los datos críticos de nuestra empresa transferidos a los proveedores de servicios en la nube, una de nuestras principales preocupaciones es tratar los asuntos de seguridad. Eso incluye ser capaz de responder rápidamente y reportar eventos que pueden conducir a problemas legales.

Esta no es una tarea fácil y las cosas se complican aún más por el hecho de que tenemos que confiar en la capacidad de nuestro proveedor de la nube para entregar datos forenses digitales en caso de cualquier disputa legal (ya sea civil o criminal) durante los ataques cibernéticos o incluso si los datos se produce una violación.

El análisis forense de la nube combina la computación en la nube y el análisis forense digital, que se centra principalmente en la recopilación de información forense digital de una infraestructura de la nube. Esto significa trabajar con una colección de recursos informáticos, como activos de red, servidores (tanto físicos como virtuales), almacenes, aplicaciones y cualquier servicio que se brinde.

Para la mayoría de las situaciones, este entorno permanecerá (al menos parcialmente) en vivo, y puede reconfigurarse rápidamente con un mínimo esfuerzo. Al final, cualquier tipo de evidencia recopilada debe ser adecuada para su presentación en un tribunal de justicia.

Informática forense vs informática anti-forense

La informática anti-forense puede ser la peor pesadilla de un investigador informático. Los programadores diseñan herramientas anti forenses para que sea difícil o imposible recuperar información durante una investigación.

Esencialmente, la informática anti-forense se refiere a cualquier técnica, dispositivo o software diseñado para obstaculizar una investigación informática.

Hay docenas de formas en que las personas pueden ocultar información. Algunos programas pueden engañar a los ordenadores cambiando la información en los encabezados de los archivos.

Un encabezado de archivo normalmente es invisible para los humanos, pero es extremadamente importante: le dice al ordenador a qué tipo de archivo se adjunta el encabezado. Si tuviera que cambiar el nombre de un archivo mp3 para que tuviera una extensión .gif, el ordenador sabría que el archivo era realmente un mp3 debido a la información en el encabezado.  Algunos programas permiten cambiar la información en el encabezado para que el ordenador piense que es un tipo diferente de archivo.

Otros programas pueden dividir los archivos en pequeñas secciones y ocultar cada sección al final de otros archivos. Los archivos a menudo tienen un espacio no utilizado llamado espacio flojo. Con el programa correcto, puede ocultar archivos aprovechando este espacio flojo. Es muy difícil recuperar y volver a ensamblar la información oculta.

También es posible ocultar un archivo dentro de otro. Los archivos ejecutables son particularmente problemáticos. Los programas llamados empacadores pueden insertar archivos ejecutables en otros tipos de archivos, mientras que las herramientas llamadas enlazadoras pueden unir varios archivos ejecutables.

El cifrado es otra forma de ocultar datos. Cuando encriptas datos, utilizas un conjunto complejo de reglas llamado algoritmo para hacer que los datos sean ilegibles. Una persona que quiera leer los datos necesitaría la clave de cifrado. Sin la clave, los detectives tienen que usar programas de ordenador diseñados para descifrar el algoritmo de cifrado. Cuanto más sofisticado sea el algoritmo, más tiempo llevará descifrarlo sin una clave.

Otras herramientas anti forenses pueden cambiar los metadatos adjuntos a los archivos. Si los metadatos se ven comprometidos, es más difícil presentar la evidencia como confiable.

Algunas personas usan informática anti-forense para demostrar cuán vulnerables y poco confiables pueden ser los datos del ordenador. Si no puedes estar seguro de cuándo se creó un archivo, cuándo se accedió por última vez o si alguna vez existió, ¿cómo puedes justificar el uso de pruebas informáticas en un tribunal de justicia?

Herramientas para el análisis forense digital

Las herramientas forenses digitales vienen en muchas categorías, por lo que la elección exacta de la herramienta depende de dónde y cómo deseas usarla.

Pero independientemente de estas variaciones, lo importante es que las herramientas de análisis forense informático ofrecen una gran cantidad de posibilidades para obtener información durante una investigación. También es importante tener en cuenta que el panorama de la investigación forense digital es muy dinámico con nuevas herramientas y características que se lanzan regularmente para mantenerse al día con las actualizaciones constantes de los dispositivos.

Creación de imágenes

FTK Imager es una herramienta de vista previa de datos e imágenes que te permite examinar archivos y carpetas en discos duros locales, unidades de red, CD / DVD y revisar el contenido de imágenes forenses o volcados de memoria.

Con FTK Imager también puedes crear hash de archivos SHA1 o MD5, exportar archivos y carpetas de imágenes forenses al disco, revisar y recuperar archivos que se eliminaron de la Papelera de reciclaje (siempre que sus bloques de datos no se hayan sobrescrito) y montar una imagen forense para ver su contenido en el Explorador de Windows.

Cuando inicies FTK Imager, ve a Archivo> Agregar elemento de evidencia …’ para cargar una pieza de evidencia para su revisión. Para crear una imagen forense, ve a ‘Archivo> Crear imagen de disco …’ y elige de qué fuente deseas obtener una imagen forense.

Cálculo de hashes

HashCalc es un programa de calculadora desarrollado por SlavaSoft. Se utiliza para calcular HMAC, resúmenes de mensajes y sumas de comprobación para archivos. También se puede usar para calcular cadenas hexadecimales y cadenas de texto. El programa proporciona 13 de los algoritmos de suma de comprobación y hash más comunes.

La interfaz del programa es sencilla. Ofrece una ventana estándar que proporciona todas las opciones directamente desde la interfaz principal. Para usarlo, el usuario solo tiene que elegir el archivo a calcular y las funciones hash criptográficas deseadas.

Análisis de memoria volátil

Para el análisis de memoria volátil existen varias herramientas como:

  • Volatility: Se utiliza para la respuesta a incidentes y el análisis de malware. Con esta herramienta, puedes extraer información de procesos en ejecución, tomas de red, conexión de red, archivos DLL y colmenas de registro. También tiene soporte para extraer información de archivos de volcado por caída de Windows y archivos de hibernación. Esta herramienta está disponible de forma gratuita bajo licencia GPL.
  • Belkasoft Live RAM capturer: es una pequeña herramienta forense gratuita para extraer de forma confiable todo el contenido de la memoria volátil del ordenador, incluso si está protegido por un sistema activo de antidepurado o antidumping. Se encuentran disponibles versiones separadas de 32 y 64 bits para minimizar la huella de la herramienta tanto como sea posible. Los volcados de memoria capturados con Belkasoft Live RAM Capturer se pueden analizar con cualquier herramienta forense.

Análisis de registros

El análisis informático forense incluye el descubrimiento y la extracción de información recopilada en la etapa de recopilación. El tipo de análisis depende de las necesidades de cada caso. Puede ir desde extraer un solo correo electrónico hasta unir las complejidades de un caso de fraude o terrorismo.

Durante el análisis, el perito informático forense generalmente retroalimenta a su gerente de línea o cliente. Estos intercambios pueden hacer que el análisis tome un camino diferente o se reduzca a áreas específicas. El análisis forense debe ser preciso, exhaustivo, imparcial, registrado, repetible y completado dentro de los plazos disponibles y los recursos asignados.

Existen múltiples herramientas disponibles para el análisis forense informático. Una de las más completas es AccessData Registry Viewer.

Programas de análisis

Dentro de los programas de análisis para informática forense, podemos destacar los siguientes:

Sleuthkit

Es una colección de herramientas de línea de comandos y una biblioteca C que permite analizar imágenes de disco y recuperar archivos de ellas. Se utiliza detrás de escena en Autopsia y en muchas otras herramientas forenses comerciales y de código abierto.

Encase Forensics

Permite buscar, identificar y priorizar rápidamente evidencia potencial, en ordenadores y dispositivos móviles, para determinar si se justifica una investigación adicional. Esto dará como resultado una disminución de la cartera de pedidos para que los investigadores puedan concentrarse en cerrar el caso.

SIFT Workstation 3

Es un grupo de herramientas forenses y de respuesta libre a incidentes de código abierto diseñadas para realizar exámenes forenses digitales detallados en una variedad de entornos. Puede coincidir con cualquier respuesta actual a incidentes y conjunto de herramientas forenses.

SIFT demuestra que las capacidades avanzadas de respuesta a incidentes y las técnicas forenses digitales de inmersión profunda para intrusiones se pueden lograr utilizando herramientas de código abierto de vanguardia que están disponibles gratuitamente y se actualizan con frecuencia.

OsForensics v6

Proporciona una de las formas más rápidas y potentes de localizar archivos en un ordenador con Windows. Puede buscar por nombre de archivo, tamaño, fechas de creación y modificación, y otros criterios.

Los resultados se devuelven y están disponibles en varias vistas útiles diferentes. Esto incluye la Vista de línea de tiempo que le permite examinar las coincidencias en una línea de tiempo, lo que evidencia el patrón de actividad del usuario en la máquina.

OSForensics también puede buscar el contenido de los archivos y devolver resultados casi instantáneamente después de la indexación. Es capaz de buscar dentro de los formatos de archivo más comunes y funciona con el motor de búsqueda Zoom de gran precisión de Wrensoft .

Casos de informática forense

Hay pocas áreas de crimen o disputa donde no se puede aplicar la informática forense. Las agencias de aplicación de la ley se encontraban entre los primeros y más pesados ​​usuarios de informática forense; como resultado, a menudo han estado a la vanguardia de los desarrollos en el campo.

Los ordenadores pueden considerarse una escena de un crimen, por ejemplo, con ataques de piratería o denegación de servicio. Pueden tener evidencia de delitos que ocurrieron en otros lugares, en forma de correos electrónicos, historial de Internet, documentos u otros archivos relevantes para delitos como asesinato, secuestro, fraude o tráfico de drogas.

Un examen forense digital de ordenador puede revelar más de lo esperado.

Los investigadores no solo están interesados ​​en el contenido de correos electrónicos, documentos y otros archivos, sino también en los metadatos asociados con esos archivos. Los registros de las acciones de un usuario también pueden almacenarse en archivos de registro y otras aplicaciones en un ordenador, como los navegadores de Internet.

Por lo tanto, un examen forense informático podría revelar cuándo apareció por primera vez un documento en un ordenador, cuándo se editó por última vez, cuándo se guardó o imprimió por última vez y qué usuario realizó estas acciones.

Las organizaciones comerciales han utilizado informática forense para ayudar con todo tipo de casos, incluidos:

  • Robo de propiedad intelectual
  • Disputas laborales
  • Fraude de facturas, a menudo habilitado por correos electrónicos de phishing
  • Falsificaciones
  • Uso inapropiado de correo electrónico e Internet en el lugar de trabajo
  • Cumplimiento normativo

¿Dónde estudiar informática forense?

Elegir dónde obtener tu título de forense en informática puede ser bastante personal, pero hay algunas preguntas que todos los estudiantes deben hacerse: ¿cuánto tiempo tienes para obtener tu título? ¿Trabajarás mientras asistes a la escuela, o puedes comprometerte a una experiencia universitaria a tiempo completo?

Si tienes una idea más específica de lo que quieres estudiar, puedes basar tu decisión en los planes de estudios específicos que ofrecen las diferentes escuelas. Puedes buscar programas que ofrezcan las concentraciones, las oportunidades de pasantías y las estructuras de cursos que más te convengan.

Solo las escuelas acreditadas pueden otorgar títulos, habiendo demostrado ante un consejo regional o nacional que cumplen con ciertos criterios educativos. Además de la acreditación nacional o regional de toda la institución, algunas escuelas también tienen acreditación programática, a través de la cual los programas o departamentos individuales han sido acreditados por una junta en una profesión relacionada.

Hay tantos cursos diferentes de informática forense como escuelas que los ofrecen, pero algunas materias son comunes a la mayoría de los programas. A continuación, tienes cinco ejemplos de cursos que probablemente encontrarás en la mayoría de las instituciones, muchos de los cuales forman la base de una educación en informática forense.

  • Informática básica forense
  • Ciber criminología
  • Seguridad de la red
  • Respuesta a incidentes
  • Análisis de vulnerabilidad y pruebas

¿Por qué el análisis informático forense será tan importante en el futuro?

Con el constante aumento de los dispositivos digitales y las actuaciones en línea, la mayoría de los delitos en el futuro serán cometidos en la red.

La importancia de la informática forense para un negocio o una corporación es enorme. Por ejemplo, a menudo se piensa que simplemente fortalecer las líneas de defensa con cortafuegos, enrutadores, etc. será suficiente para frustrar cualquier ataque cibernético.

Pero el profesional de seguridad sabe que esto no es cierto, dada la naturaleza extremadamente sofisticada del hacker cibernético actual.

Esta premisa tampoco es cierta desde el punto de vista de la informática forense. Si bien estas piezas especializadas de hardware proporcionan información en cierto grado sobre lo que generalmente ocurrió durante un ataque cibernético, a menudo no poseen esa capa más profunda de datos para proporcionar esas pistas sobre lo que sucedió exactamente.

Esto subraya la necesidad de que la organización también implemente esos mecanismos de seguridad (junto con el hardware anterior) que pueden proporcionar estos datos específicos (ejemplos de esto incluyen los dispositivos de seguridad que utilizan inteligencia artificial, aprendizaje automático, análisis de negocios, etc.).

Por lo tanto, la implementación de este tipo de modelo de seguridad en el que también se adoptan los principios de la informática forense también se conoce como “Defensa en profundidad“.

Al tener estos datos específicos, hay una probabilidad mucho mayor de que las pruebas presentadas se consideren admisibles en un tribunal de justicia, lo que lleva a los responsables que lanzaron el ataque cibernético ante la justicia.

Además, al incorporar los principios de una “Defensa en profundidad”, la empresa o corporación puede cumplir fácilmente con las leyes y mandatos gubernamentales. Requieren que todos los tipos y tipos de datos se archiven y almacenen para fines de auditoría. Si una entidad falla alguna medida de cumplimiento, puede enfrentar severas sanciones financieras.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *