Informática Forense

Annotations:

• El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examen forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructuras tecnológicas que permiten identificar, preservar, analizar y presentar datos válidos dentro de un proceso legal.

1. Objetivos

   Annotations:

   • Estos objetivos se alcanzan de varias formas, siendo la principal la recopilación de evidencias.
   1. Compensación de los daños causados por los intrusos o criminales
   2. Persecución y procesamiento judicial de los criminales
   3. Creación y aplicación de medidas para prevenir casos similares
2. Evidencia Digital

   Annotations:

   • Las evidencias digitales son las que se extraen de un medio informático. Los discos duros, las memorias USB y las impresoras (entre otros elementos) se pueden considerar evidencias en un proceso legal al igual que las huellas digitales o las armas.
   1. Características

      Annotations:

      • Estas evidencias comparten una serie de características que dificultan el ejercicio de la computación forense:
      1. Volatilidad
      2. Anonimato
      3. Facilidad de duplicación
      4. Alterabilidad
      5. Facilidad de eliminación
   2. Categorías

      Annotations:

      • Estas evidencias se pueden dividir en tres categorías:
      1. Registros almacenados en el equipo de tecnología informática (ej. imágenes y correos)
      2. Registros generados por equipos de tecnología informática (ej. transacciones, registros en eventos)
      3. Registros parcialmente generados y almacenados en los equipos de tecnología informática (ej. consultas en bases de datos)
   3. Dispositivos a analizar

      Annotations:

      • Toda aquella infraestructura informática que tenga una memoria es susceptible de análisis
      1. Disco duro de una Computadora o Servidor
      2. Memorias USB
      3. Impresoras
      4. Dispositivos de GPS
      5. Teléfonos móviles
      6. Información de los Firewalls
      7. IP, redes Proxy. LMhost, host, conexiones cruzadas, pasarelas
3. Roles
   1. Intrusos

      Annotations:

      • El intruso es aquel que ataca un sistema, hace cambios no autorizados, manipula contraseñas o cambia configuraciones, entre otras actividades que atentan contra la seguridad de un sistema. La intención de los intrusos es un punto clave para poder analizar el caso, ya que no se puede comparar un intruso cuya motivación es el dinero con otro cuya motivación es la demostración de sus habilidades.
      • El modelo del atacante para realizar su procedimiento se explica conceptualmente por tres fases: la fase de reconocimiento, la fase de ataque y la fase de eliminación
      1. Reconocimiento

         Annotations:

         • En la primera fase, se busca reconocer y recolectar información. De esta manera, el atacante puede saber cómo puede actuar y los riesgos posibles, para así poder avanzar.
      2. Ataque

         Annotations:

         • En la segunda fase, se compromete el sistema, avanzando hasta el nivel más alto, teniendo el control del sistema atacado. Esta etapa usualmente se maneja de manera discreta, y es por eso que es más difícil identificar al intruso. Usualmente, la vanidad del intruso y la falta de discreción ayudan al investigador a resolver el caso con mayor facilidad.
      3. Eliminación

         Annotations:

         • Finalmente, se altera, elimina o desaparece toda la evidencia que pueda comprometer al intruso en algún caso judicial. Del cuidado con el que el atacante proceda en esta fase depende el proceso del informático forense y del caso.
   2. Administradores de Seguridad

      Annotations:

      • El administrador del sistema es el experto encargado de la configuración de este, de la infraestructura informática y de la seguridad del sistema. Estos administradores son los primeros en estar en contacto con la inseguridad de la información, ya sea por un atacante o por una falla interna de los equipos. Al ser los arquitectos de la infraestructura y de la seguridad de la información del sistema, son quienes primero deberían reaccionar ante un ataque, y deben proporcionar su conocimiento de la infraestructura del sistema para apoyar el caso y poder resolverlo con mayor facilidad.
   3. Infraestructura de Seguridad Informática

      Annotations:

      • Las infraestructuras de seguridad informática (realizadas por el administrador) han avanzado a medida que avanzan las tecnologías. Inicialmente, se utilizaba una infraestructura centralizada en la cual la información se encontraba en un equipo. Por lo tanto, en este caso la Seguridad informática se concentraba en el control del acceso a los equipos con la información, al control del lugar en donde se encontraban, y en el entrenamiento de quienes estaban encargados de manejar los equipos. Pero con la tecnología fueron cambiando las infraestructuras y las inseguridades cambiaron. Así, se crearon los proxies, Firewall, los IDS Sistema de detección de intrusos , los IPS Sistema de prevención de intrusos entre muchas otras herramientas para proveer una mejor seguridad a los sistemas, ya que ahora el acceso no ocurría solo a través de la máquina, sino a través de otras y de la Web
      1. Auditabilidad

         Annotations:

         • La auditabilidad es la capacidad del sistema para registrar los eventos de una acción en particular con el fin de mantener la historia de estos y de realizar un control con mayor facilidad.
      2. Trazabilidad

         Annotations:

         • La trazabilidad es la propiedad que tiene un sistema para rastrear o reconstruir relaciones entre diferentes objetos monitoreados.
   4. Investigadores

      Annotations:

      • Es un nuevo profesional que actúa como perito, criminalista digital, o informático. Comprende y conoce las nuevas tecnologías de la información, y analiza la inseguridad informática emergente en los sistemas. El trabajo del informático es indagar en las evidencias, analizarlas y evaluarlas para poder decidir cómo estas evidencias pueden ayudar a resolver el caso.
      • En un proceso de investigación forense en informática hay ocho roles principales en un caso: el líder del caso, el propietario del sistema, el asesor legal, el auditor/ingeniero especialista en seguridad de la información, el administrador del sistema, el especialista en informática forense, el analista en informática forense y el fiscal. Usualmente, entre todos estos roles, los informáticos forenses pueden tomar los siguientes cuatro roles:
      1. Líder del caso

         Annotations:

         • Es aquel que planea y organiza todo el proceso de investigación digital. Debe identificar el lugar en donde se realizará la investigación, quienes serán los participantes y el tiempo necesario para esta.
      2. Auditor/ingeniero especialista en seguridad de la información

         Annotations:

         • Conoce el escenario en donde se desarrolla la investigación. Tiene el conocimiento del modelo de seguridad en el cual ocurrieron los hechos y de los usuarios y las acciones que pueden realizar en el sistema.
      3. Especialista en informática forense

         Annotations:

         • Es un criminalista digital que debe identificar los diferentes elementos probatorios informáticos vinculados al caso, determinando la relación entre los elementos y los hechos para descubrir el autor del delito.
      4. Analista en informática forense

         Annotations:

         • Examina en detalle los datos, los elementos informáticos recogidos en la escena del crimen con el fin de extraer toda la información posible y relevante para resolver el caso.
4. Proceso de la Informática Forense
   1. Identificación

      Annotations:

      • Es muy importante conocer los antecedentes a la investigación "HotFix", situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y las estrategias (debes estar bien programado y sincronizado con las actividades a realizar, herramientas de extracción de los registros de información a localizar). Incluye muchas veces ( en un momento especifico Observar, Analizar Interpretar y Aplicar la certeza, esto se llama criterio profesional que origina la investigación) la identificación del bien informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia), la revisión del entorno legal que protege el bien y del apoyo para la toma de decisión con respecto al siguiente paso una vez revisados los resultados.
   2. Preservación

      Annotations:

      • Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para poder realizar el análisis. Dicha duplicación se realiza utilizando tecnología punta para poder mantener la integridad de la evidencia y la cadena de custodia que se requiere (soportes). Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia “bit-a-bit” (copia binaria) de todo el disco duro, el cual permitirá recuperar en el siguiente paso, toda la información contenida y borrada del disco duro. Para evitar la contaminación del disco duro, normalmente se ocupan bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura con el disco, lo que provocaría una alteración no deseada en los medios.
   3. Análisis

      Annotations:

      • Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca, modelo), búsqueda de archivos específicos, recuperación e identificación de correos electrónicos, recuperación de los últimos sitios visitados, recuperación del caché del navegador de Internet, etc.
   4. Presentación

      Annotations:

      • Es el recopilar toda la información que se obtuvo a partir del análisis para realizar el reporte y la presentación a los abogados, jueces o instancias que soliciten este informe, la generación (si es el caso) de una pericial y de su correcta interpretación sin hacer uso de tecnicismos; se deberá presentar de manera cauta, prudente y discreta al solicitante la documentación ya que siempre existirán puertas traseras dentro del sistema en observación y debe ser muy especifica la investigación dentro del sistema que se documenta porque se compara y vincula una plataforma de telecomunicación y computo forense y que están muy estrechamente enlazadas no omitiendo los medios de almacenamiento magnéticos portables estos son basamentos sobre software libre y privativo. Deberá ser muy cuidadosa la información a entregar porque se maneja el prestigio técnico según la plataformas y sistemas.
5. Retos y Riesgos

   Annotations:

   • Al estar en un escenario que evoluciona constantemente, cada vez surgen más retos y riesgos en el área de la computación forense. Entre ellos la formación de informáticos forenses, la confiabilidad de las herramientas, la facilidad de la destrucción de las evidencias, las amenazas estratégicas y tácticas que plantea el ciberterrorismo; y las tecnologías emergentes como la nube, las tecnologías móviles, y las redes sociales.
   1. Confiabilidad de las herramientas

      Annotations:

      • Las herramientas existentes disponibles para el cómputo forense presentan otro reto. Las herramientas licenciadas exigen a los investigadores inversiones altas (tanto en hardware, como en software), al adquirirlas y para mantenerlas. Adicionalmente, como las herramientas están avanzando constantemente requieren técnicos y usuarios que estén constantemente aprendiendo de sus actualizaciones, modificaciones y posibles errores. Por otro lado, las herramientas de código abierto son cuestionadas en muchos tribunales por su confiabilidad. Por lo tanto, no se recomiendan a la hora de usarse en una audiencia.
   2. Formación de informáticos forenses

      Annotations:

      • Los criminales informáticos son una nueva generación de delincuentes, en este contexto, es necesario desarrollar un nuevo tipo de investigadores: los informáticos forenses. En este momento es un desafío encontrar personas que tengan este perfil, ya que no existen suficientes programas que realicen este tipo de formación. Adicionalmente, en este momento, las personas del común ignoran la importancia de los informáticos forenses porque ignoran la dimensión del cibercrimen. Usualmente se cree que no es algo tan grave y se le da mayor importancia a otro tipo de crímenes. Por lo tanto, se deben plantear programas e iniciativas para poder realizar esta formación.
6. Herramientas Comunes

   Annotations:

   • - Air  - Autopsy  - Cryptcat  - Deep Freeze - Dcfldd  - Dumpzilla  - Encase - Viewer  - FacesForemost  - Forensik Toolkit - Helix - Hetman software - Hiren´s bootMd5deep - Metashield Analyser Online  - Mini XPNTFS-Tools - Netcat - Net resident - NetFlow - Py-Flag - Qtparted - R-Studio Emergency - R-Studio Network Edition - R-Studio RS Agent - Regviewer - Sleuth Kit - SnortViewerVolatility - X-Ways Forensics - X-Ways - WinHex - WinTrace
   1. Para analizar discos duros

      Annotations:

      • - AccessData Forensic ToolKit (FTK) - Guidance Software EnCase - Kit Electrónico de Transferencia de datos
   2. Para analizar correos electrónicos

      Annotations:

      • - Paraben - AccessData Forensic ToolKit (FTK)
   3. Para analizar dispositivos móviles

      Annotations:

      • - Cellebrite UFED Touch 2, Physical Analyzer - AccessData Mobile Phone Examiner Plus (MPE+)
   4. Para analizar redes

      Annotations:

      • - E-Detective - Decision Computer Group - SilentRunner - AccessData - NetworkMiner - Netwitness Investigator
   5. Para filtrar y monitorear tráfico en redes

      Annotations:

      • - Tcpdump - USBDeview - SilentRunner - AccessData - WireShark