martes, 31 de enero de 2017

Introducción a la Informática Forense

Actualmente las tecnologías de la información constituyen un elemento cotidiano en la vida de las personas, e indispensable para el funcionamiento de organizaciones y empresas de todo tipo.
La ubicuidad de las TIC, combinada con el crecimiento imparable de Internet y las redes durante los últimos años, abre un escenario de oportunidades para actos ilícitos (fraude, espionaje empresarial, sabotaje, robo de datos, intrusiones no autorizadas en redes y sistemas y un largo etc) a los que es preciso hacer frente realizando una investigación de medios digitales basada en métodos profesionales y buenas prácticas al efecto de que los elementos de evidencia obtenidos mediante la misma puedan ser puestos a disposición de los tribunales.

Se debe hacer con las suficientes garantías en lo que respecta al mantenimiento de la cadena de custodia y al cumplimiento de aspectos esenciales para el orden legal del estado de derecho, como el respeto a las leyes sobre privacidad y protección de datos y otras normativas de relevancia similar.

El propósito de este artículo consiste en introducir al lector, de manera resumida y clara, en los principios, métodos, las técnicas fundamentales y las implicaciones jurídicas de la investigación informática forense.

1. Historia.

El campo de la informática forense se inició en la década de 1980, poco después de que las computadoras personales se convirtieran en una opción viable para los consumidores. En 1984, fue creado un programa del FBI, conocido por un tiempo como el Programa de Medios Magnéticos, que ahora se conoce como CART, o análisis de informática y equipo de respuesta. Poco después, el hombre al que se le atribuye ser el "padre de la informática forense", comenzó a trabajar en este campo. Su nombre era Michael Anderson, y era un agente especial de la División de Investigación Criminal IRS.

2. Definición.

La Informática forense es una nueva disciplina dedicada a la recopilación de pruebas digitales desde una máquina computacional para fines judiciales mediante la aplicación de técnicas de análisis y de investigación.

3. Fases.

La Informática Forense usualmente es dividido en cinco fases que nos ayudan a mantener un estudio estructurado, facilitando la verificabilidad y la reproducción del análisis.

  1. Adquisición.- En esta fase se obtienen copias de la información que se sospecha que puede estar vinculada con algún incidente.
  2. Preservación.- En esta etapa se debe garantizar la información recopilada con el fin de que no se destruya o sea transformada.
  3. Análisis.- Una vez obtenida la información y preservada, se pasa a la parte más completa. Sin duda, es la fase más técnica, donde se utilizan tanto hardware como software específicamente diseñados para el análisis forense.
  4. Documentación.- Si bien esta es una etapa final, recomendamos ir documentando todas las acciones, en lo posible, a medida que vayan ocurriendo.
  5. Presentación.- Se entrega un informe ejecutivo mostrando los rasgos más importantes de forma resumida y ponderando por criticidad en la investigación entrando en detalles técnicos.

4. Recolección de Evidencia Digital.

Si la recolección de datos se realiza correctamente y de una manera ordenada, es mucho más útil en la detención del atacante y, como tal, tiene una posibilidad mucho mayor de ser administrable en un proceso judicial.

5. Herramientas de software utilizados.

En la actualidad existen cientos de herramientas, el uso de herramientas sofisticadas se hace necesario debido a:

  • La gran cantidad de datos que pueden estar almacenados en un computador.
  • La variedad de formatos de archivos, los cuales pueden variar enormemente, aún dentro del contexto de un mismo sistema operativo.
  • La necesidad de recopilar la información, y que permita verificar que la copia es exacta.
  • Limitaciones de tiempo para analizar toda la información.
  • Facilidad para borrar archivos de computadores.
  • Mecanismos de cifrado, o de contraseñas.
Son herramientas que realizan una exploración completa del computador afectado en un solo paquete informático, se instala en el computador y se realiza la exploración del sistema de archivos y de usuarios. Entre los más populares se encuentran:
  • EnCase.- Este es un ejemplo de herramientas de éste tipo, desarrollada por Guidance Software Inc., permite asistir al especialista forense durante el análisis de un crimen digital.
  • OSForensics.- Es un conjunto de utilidades para Informática Forense para comprobar qué se ha hecho con un computador. OSForensic se puede instalar en memorias USB y cuenta con un gestor de casos
  • Access Data Forensic Tool Kit (FTK).- Ofrece a los profesionales encargados de controlar el cumplimiento de la ley y a los profesionales de seguridad la capacidad de realizar exámenes forenses informatizados completos y exhaustivos. FTK posee funciones eficaces de filtros y búsqueda de archivos. Los filtros personalizables de FTK permiten buscar en miles de archivos para encontrar rápidamente la prueba que necesita. FTK ha sido reconocida como la mejor herramienta forense para realizar análisis de correo electrónico.
  • Caine.- Es una versión italiana de GNU/Linux, fue creado como un proyecto forense digital. CAINE ofrece un completo entorno forense que está organizado para integrar herramientas de software existente como módulos de software y proporcionar una interfaz gráfica amigable.

6. Desarrollo de un caso de I.F.

Para el desarrollo de un caso de informática forense se deben seguir ciertos pasos:

  • Reconocimiento de los S.O.
  • Imágenes de Discos Duros.
  • Iniciar un caso de Informática Forense.
  • Donde buscar evidencia.
  • Analizando información.

La realización de éstos pasos es crucial para el desarrollo de un caso y deben ser llevados a cabos por expertos especializados ya que si se comete un error toda la información obtenida perderá validez.

7. Conclusiones.

  • A la hora de realizar un análisis forense digital durante un incidente de seguridad informática, hay que tener muy en claro su naturaleza, ser meticulosos, estructurados, muy claros en las observaciones y detallar el peritaje con la mayor precisión posible.
  • Asegurando preservar la muestra en su estado original y si siempre trabajando sobre copias realizadas bit a bit, lograremos ir alineados a la metodologías estandarizadas internacionales, las cuales nos darán pie a presentar nuestros resultados con un soporte legal ante alguna institución que lo requiera.
  • El uso de herramientas de software permite mejorar la productividad y calidad del peritaje digital, pero nunca serán sustitutos del buen criterio, experiencia y formación de un perito informático forense.

8. ¿Quieres saber más?

No hay comentarios :

Publicar un comentario

Encuesta: ¿Quién es el mejor catedrático de la carrera de Ing. Informática de la UAGRM?