Software

El valor de la información en nuestra sociedad, y sobre todo en las empresas, es cada vez más importante para el desarrollo de negocio de cualquier organización. Derivado de este aspecto, la importancia de la Informática forense –sus usos y objetivos- adquiere cada vez mayor trascendencia. ¿En qué consiste esta técnica relativamente reciente?

Leer más
Por: Anónimo

El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.

La informática forense es una disciplina relativamente joven que empezó a practicarse en los años 80 con el análisis directo de los medios digitales.

El manejo científico de los datos que archivamos en formato digital ha alumbrado esta profesión con futuro, la del informático forense. Su nombre excita la imaginación del asiduo consumidor de series policiacas como C.S.I., y en la práctica su trabajo no dista mucho de lo que vemos en las películas de espionaje. Igual que un forense analiza la escena de un crimen, así escrutan estos analistas informáticos los aparatos digitales.

“Un ordenador lo cuenta todo. Sólo necesitamos hacer una copia del disco duro y crear una línea de tiempo de su uso para saber quién ha hecho qué en cada momento, incluso si ha habido intentos de borrar las huellas”, explica Daniel Creus. Estos informes tienen validez como prueba para litigios judiciales en situaciones como fugas de información corporativa a manos de empleados despechados o en divorcios.

Los expertos en seguridad informática aseguran que los teléfonos móviles de última generación son nuestro principal semillero de rastros digitales, así como el mayor boquete de seguridad informática con el que convivimos. En la práctica, los smart-phones son ordenadores de bolsillo, donde no solo guardamos fotos personales, listas de contactos y archivos de trabajo, sino también el correo, las contraseñas y a veces hasta aplicaciones para interactuar con el banco. Un simple hurto permite tener acceso a toda esa información.

La Informática forense permite la solución de conflictos tecnológicos relacionados con seguridad informática y protección de datos. Gracias a ella, las empresas obtienen una respuesta a problemas de privacidad, competencia desleal, fraude, robo de información confidencial y/o espionaje industrial surgidos a través de uso indebido de las tecnologías de la información.

Mediante sus procedimientos se identifican, aseguran, extraen, analizan y presentan pruebas generadas y guardadas electrónicamente para que puedan ser aceptadas en un proceso legal.

El objetivo del análisis forense de dispositivos electrónicos (ordenadores personales, servidores, agendas electrónicas, teléfonos móviles, etc.) es la identificación de rastros digitales que evidencien que cierto suceso ha ocurrido en el dispositivo. Estas evidencias pueden ser usadas en un juicio.

El análisis forense informático permite obtener evidencias informáticas de un fraude garantizando que la fuente original de la información, el móvil, el ordenador, el disco, etc... no se altera durante el proceso. Es fundamental que en cuanto se tenga la menor sospecha de la comisión de un delito o de actividades susceptibles de ser investigadas, efectuadas en el dispositivo electrónico, éste deje de utilizarse, ni siquiera debe apagarse, y se contacte con profesionales para evitar la destrucción no intencionada de la prueba.

Una de las primeras acciones del equipo forense será la duplicación exacta de las fuentes de datos (discos, memorias, etc.) con el objetivo de preservar las originales inalteradas y manipular únicamente las copias para el análisis. Para ello, se hace uso de distintas técnicas y dispositivos hardware que bloquean electrónicamente la escritura en el dispositivo origen evitando cualquier tipo de alteración no prevista del mismo.

Una vez disponemos de copias exactas de los dispositivos origen, se procede al análisis de los rastros en el mismo. Tratará de analizarse cualquier rastro que pueda identificarse, memoria volátil, ficheros existentes, borrados, protegidos con contraseña, ocultos mediante el uso de distintas técnicas (características del sistema de ficheros, criptografía, esteganografía), tráfico de red, registros del sistema, etc.

El análisis forense informático es una prueba clave en numerosas ocasiones, como por ejemplo:

  • Revelación de secretos, espionaje industrial y confidencialidad.
  • Delitos económicos, societarios o contra el mercado o los consumidores.
  • Delitos contra la propiedad intelectual e industrial.
  • Vulneración de la intimidad.
  • Sabotaje.
  • Uso indebido de equipos.
  • Amenazas, calumnias e injurias.
  • Cumplimiento de obligaciones y contratos.
  • Delitos contra la Propiedad Intelectual, en caso de Software Pirata o documentos con el debido registro de derechos de Autor.
  • Robo de Propiedad Intelectual y Espionaje industrial (que aunque no se crea, sí existe en nuestro país).
  • Blanqueo de dinero, vía transferencia de fondos por Internet.
  • Acoso Sexual (vía e-mail); Chantaje o amenazas (vía e-mail).
  • Acceso no autorizado a propiedad intelectual.
  • Corrupción.
  • Destrucción de Información Confidencial.
  • Fraude (en apuestas, compras, etc. Vía e-mail).
  • Pornografía en todas sus formas, inclusive en la más devastadora: Pornografía infantil. 

Procesos técnicos de la informática forense

Para obtener pruebas, los investigadores examinaban la “vida interior” de los ordenadores con ayuda de las herramientas de administración del sistema. No obstante, esa forma de proceder podía ocasionar la modificación de los datos, lo que a su vez podía dar lugar a alegaciones de falsificación de las pruebas.

Ello condujo a la adopción de otro enfoque, el análisis forense, que se compone de tres pasos:

  1. Identificación y preservación de los datos con el fin de crear un duplicado forense, es decir, una copia exacta de los datos de un soporte digital, sin modificar los datos originales.
  2. Análisis de los datos así protegidos por medio de un software especial y de métodos para la recopilación de pruebas. Medidas típicas son, por ejemplo, la búsqueda de contraseñas, la recuperación de archivos borrados, la obtención de información del registro de Windows (base de datos de registro), etc.
  3. Elaboración de un informe por escrito sobre las evidencias descubiertas en el análisis y en el que se incluyan también las conclusiones extraídas del estudio de los datos y de la reconstrucción de los hechos o incidentes.

Para preservar y analizar datos en el contexto de una investigación se requiere un software muy especializado. Los jueces deben poder confiar en que las herramientas de análisis forense empleadas en la investigación son fiables y satisfacen los requisitos.

En EE. UU. se emplea el estándar de Daubert para regular la admisibilidad de las herramientas y procesos forenses. Este estándar exige que la tecnología y las herramientas de software empleadas en una investigación sean sometidas a una prueba empírica y comprobadas por especialistas, y que los resultados obtenidos puedan ser reproducidos por otros expertos.

Los aspectos técnicos de la informática forense están determinados también por el tipo de soportes digitales que se investigue. Por ello, la informática forense se divide en varias ramas que se ocupan del análisis de ordenadores, redes, bases de datos y dispositivos móviles con fines forenses. Ésta última en especial tiene que hacer frente a los desafíos que se derivan de la naturaleza propietaria de los aparatos móviles.

Metodologías en la Informática forense

Las distintas metodologías forenses incluyen la recogida segura de datos de diferentes medios digitales y evidencias digitales, sin alterar los datos de origen.

Cada fuente de información se cataloga preparándola para su posterior análisis y se documenta cada prueba aportada. Las evidencias digitales recabadas permiten elaborar un dictamen claro, conciso, fundamentado y con justificación de las hipótesis que en él se barajan a partir de las pruebas recogidas.

Procedimientos correctos

Todo el procedimiento debe hacerse tenido en cuenta los requerimientos legales para no vulnerar en ningún momento los derechos de terceros que puedan verse afectados. Ello para que, llegado el caso, las evidencias sean aceptadas por los tribunales y puedan constituir un elemento de prueba fundamental, si se plantea un litigio, para alcanzar un resultado favorable.

En resumen, estamos hablando de la utilización de la informática con una finalidad preventiva, en primer término.

Como medida preventiva sirve a las empresas para auditar, mediante la práctica de diversas pruebas técnicas, que los mecanismos de protección instalados y las condiciones de seguridad aplicadas a los sistemas de información son suficientes.

El análisis forense es muy amplio y dependerá mucho de lo que se pretenda lograr, cada necesidad tiene una metodología particular y sus respectivas técnicas. Aquí solo presentamos un breve esbozo de  esta área tan fascinante.

El asesino en serie B.T.K

La historia del asesino en serie Dennis Rader, más conocido como B.T.K. (Bind, Torture, Kill), es memorable y digna de un pequeño hueco en este artículo debido a la importancia de la ciencia forense informática en su captura.

El primero de los asesinatos de BTK de los que se tiene constancia, fue en 1974, cuando mató a una pareja y a dos de sus hijos: entró en su casa, les cortó el teléfono, los ató a las sillas, y los fue asfixiando uno a uno con bolsas de plástico en la cabeza.

Ese mismo año asesino a otra joven e intento lo mismo con su hermano.

Durante ese año, tres personas confesaron los crímenes asegurando que eran B.T.K., lo que provocó que el Dennis Rader llamase a un periódico local para contarles que había colocado una carta en un libro de la biblioteca pública en la que desacreditaba a los falsos asesinos, y daba más datos para demostrar que el asesino era él.

No solo reconocía los crímenes sino que aseguraba que volvería a matar: “The code word for me will be....Bind them, toture them, kill them, B.T.K., you see he at it again. They will be on the next victim.”

Y efectivamente, así lo hizo: mató a 5 personas más entre el 77 y el 91.

En 1977 asesina a una chica y lo intenta con sus dos hijos, pero el sonido del teléfono lo asusta y huye del lugar del asesinato. También en el 77 asfixia a otra chica de 25 años.

Sus actos cesan hasta el año 85, donde estrangula a otra mujer. Un año después otra joven es asesinada siguiendo el mismo patrón. Finalmente en el año 91, comete su décimo y último crimen al secuestrar y estrangular a otra mujer.

A Dennis Rader le gustaba comunicarse con la policía mediante cartas y pretendía llamar la atención de los medios de comunicación. 

Era 2004, habían pasado décadas y el asesino seguía libre, además enviaba sobres y notas con su firma a cadenas de televisión locales, también solía incluir documentos personales de sus víctimas, puzzles y acertijos.

Pero el 16 de Febrero de 2005 algo cambió. Un disquete que contenía un archivo con el nombre: “Test A.RTF” y algunos objetos más se entregaba en KSAS TV. El fichero contenía el texto: This is a test. See 3 x 5 Card for details on Communication with me in the newspaper.

El disquete fue entregado a los forenses que no tardaron en observar en las propiedades del archivo el texto: “Dennis” y “Christ Lutheran Church”. Lo que llevó al especialista a lanzar una consulta a Google. Allí encontró la página web de la iglesia, en la que figuraba un tal “Dennis Rader” como presidente de la Congregación. ¡Bingo! El grupo encargado de su búsqueda rápidamente lo localizó y distintas pruebas de ADN hicieron el resto.

Debido a que Kansas re-instauró la pena de muerte en 1994 (3 años después de su último asesinato) fue condenado a 10 cadenas perpetuas consecutivas. Lo que garantiza que morirá en prisión.

 Referencia: http://www.gitsinformatica.com/forense.html

Ir arriba