Informatica Forense

Introducción a la informática forense

Los intrusos informáticos poseen diferentes motivaciones, alcances y estrategias que desconciertan a analistas, consultores y cuerpos especiales de investigaciones, pues sus modalidades de ataque y penetración de sistemas varían de un caso a otro.

La criminalística nos ofrece un espacio de análisis y estudio hacia una reflexión profunda sobre los hechos y las evidencias que se identifican en el lugar donde se llevaron a cabo las acciones catalogadas como criminales.

La informática forense es una disciplina auxiliar de la justicia moderna, para enfrentar los desafíos y técnicas de los intrusos informáticos, así como garante de la verdad alrededor de la evidencia digital que se pudiese aportar en un proceso.

Definición

Digital forensics (forensia digital): Una disciplina especializada que procura el esclarecimiento de los hechos (¿quién?, ¿cómo?, ¿dónde?, ¿cuándo?, ¿porqué?) de eventos que podrían catalogarse como incidentes, fraudes o usos indebidos

Network forensics (forensia en redes): Las operaciones de las redes de computadores, es capaz, siguiendo los protocolos y formación criminalística, de establecer los rastros, los movimientos y acciones que un intruso ha desarrollado para concluir su acción.

Computer forensics (computación forense): procura descubrir e interpretar la información en los medios informáticos para establecer los hechos y formular las hipótesis relacionadas con el caso. Ofrece un análisis de la información residente en dichos equipos.

Evidencia Digital

Categorías :

1. Registros almacenados en el equipo de tecnología informática (P.e. correos electrónicos, archivos de aplicaciones de ofimática, imágenes, etc.)
2. Registros generados por los equipos de tecnología informática (registros de auditoría, registros de transacciones, registros de eventos, etc.).
3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática. (hojas de cálculo financieras, consultas especializadas en bases de datos, vistas parciales de datos, etc.). 

La evidencia digital posee, entre otros, los siguientes elementos que la hacen un constante desafío para aquellos que la identifican y analizan en la búsqueda de la verdad:

1. Es volátil
2. Es anónima
3. Es duplicable
4. Es alterable y modificable
5. Es eliminable

PROCEDIMIENTOS

1. Esterilidad de los medios informáticos de trabajo: Los medios informáticos utilizados por los profesionales en esta área, deben estar certificados de tal manera, que éstos no hayan sido expuestos a variaciones magnéticas, ópticas (láser) o similares, las copias de la evidencia que se ubiquen en ellos puedan estar contaminadas.
2. Verificación de las copias en medios Informáticos: Las copias efectuadas en los medios previamente esterilizados, deben ser idénticas al original del cual fueron tomadas. El software u aplicación soporte de esta operación haya sido previamente probado y analizado por la comunidad científica, para que conociendo su tasa de efectividad, sea validado en un procedimiento ante una diligencia legal.
3. Documentación de los procedimientos, herramientas y resultados sobre los medios informáticos analizados: El investigador debe ser el custodio de su propio proceso, por tanto cada uno de los pasos realizados, las herramientas utilizadas (sus versiones, licencias y limitaciones), los resultados obtenidos del análisis de los datos, deben estar claramente documentados, de tal manera, que cualquier persona externa pueda validar y revisar los mismos.
4. Mantenimiento de la cadena de custodia de las evidencias digitales: La custodia de todos los elementos allegados al caso y en poder del investigador, debe responder a una diligencia y formalidad especiales para documentar cada uno de los eventos que se han realizado con la evidencia en su poder. Quién la entregó, cuándo, en qué estado, cómo se ha transportado, quién ha tenido acceso a ella, cómo se ha efectuado su custodia, entre otras.
5. Informe y presentación de resultados de los análisis de los medios informáticos: la claridad, el uso de un lenguaje amable y sin tecnicismos. Informes: los técnicos con los detalles de la inspección realizada y el ejecutivo para la gerencia y sus dependencias.
6. Administración del caso realizado: el mantener un sistema automatizado de documentación de expedientes de los casos, con una adecuada cuota de seguridad y control.
7. Auditoría de los procedimientos realizados en la investigación: Planear, Hacer, Verificar y Actuar, sea una constante que permita incrementar la actual confiabilidad de sus procedimientos y cuestionar sus prácticas y técnicas actuales para el mejoramiento de su ejercicio profesional y la práctica de la disciplina. 

Herramientas

• ENCASE
• FORENSIC TOOLKIT
• WINHEX (FORENSIC EDICTION)
• Y OTRAS

Retos

1.El reconocimiento de la evidencia digital como evidencia formal y válida: elemento que requiere un tratamiento especial, más allá de las características legales requeridas, pues éstas deben estar articuladas con los esfuerzos de seguridad de la información vigentes en las organizaciones.

2.Los mecanismos y estrategias de validación y confiabilidad de las herramientas forenses en informática: Las herramientas utilizadas actualmente en investigaciones forenses en informática están cumpliendo una función importante para esclarecer los hechos ante incidentes informáticos. La fragilidad inherente del software, la vulnerabilidad presentes en las mismas y las limitaciones propias de los lenguajes y prácticas de programación hacen que la comunidad académica y científica redoble sus esfuerzos para hacer de estos programas, herramientas más confiables y predecibles para los cuerpos de investigaciones judiciales y organizacionales.

Conclusión

Existen intrusos informáticos que tienen diferentes formas de ataques y ahí  la informática forense que es una disciplina  que es la que nos permite investigar, preservar,  analizar y presentar datos que sean válidos dentro de un proceso legal, ya que ayuda a detectar pistas sobre ataques informáticos, robo de información, conversaciones o pistas de emails, chats, entre otras cosas. Para esto se requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido.