informática forense (ciber forense)

¿Qué es informática forense?

La informática forense es la aplicación de técnicas de investigación y análisis para reunir y preservar pruebas de un dispositivo informático en particular de una manera que sea adecuada para su presentación en un tribunal de justicia. El objetivo de la informática forense es realizar una investigación estructurada y mantener una cadena de pruebas documentada para averiguar exactamente qué sucedió en un dispositivo informático y quién fue responsable de ello.

Informática forense, que a veces se conoce como informática forense, esencialmente es la recuperación de datos con pautas de cumplimiento legal para que la información sea admisible en procedimientos legales. Los términos forense digital y forense cibernético se utilizan a menudo como sinónimos para la informática forense.

La ciencia forense digital comienza con la recopilación de información de una manera que mantenga su integridad. Luego, los investigadores analizan los datos o el sistema para determinar si se modificó, cómo se modificó y quién realizó los cambios. El uso de la informática forense no siempre está ligado a un crimen. El proceso forense también se utiliza como parte de los procesos de recuperación de datos para recopilar datos de un servidor bloqueado, una unidad fallida, un sistema operativo (SO) reformateado u otra situación en la que un sistema ha dejado de funcionar inesperadamente.

¿Por qué es importante la informática forense?

En el sistema de justicia civil y penal, la informática forense ayuda a garantizar la integridad de las pruebas digitales presentadas en los casos judiciales. A medida que las computadoras y otros dispositivos de recopilación de datos se utilizan con mayor frecuencia en todos los aspectos de la vida, las pruebas digitales, y el proceso forense utilizado para recopilarlas, preservarlas e investigarlas, se han vuelto más importantes para resolver delitos y otras cuestiones jurídicas.

La persona promedio nunca ve gran parte de la información que recopilan los dispositivos modernos. Por ejemplo, las computadoras de los automóviles recopilan continuamente información sobre cuándo un conductor frena, cambia de marcha y cambia de velocidad sin que el conductor se dé cuenta. Sin embargo, esta información puede resultar crítica para resolver un asunto legal o un delito, y la informática forense a menudo desempeña un papel en la identificación y preservación de esa información.

La evidencia digital no solo es útil para resolver delitos del mundo digital, como el robo de datos, las violaciones de la red y las transacciones en línea ilícitas. También se utiliza para resolver crímenes del mundo físico, como robo, asalto, accidentes de atropello y fuga y asesinato.

Las empresas a menudo utilizan una estrategia de gestión de datos multicapa, gobernanza de datos y seguridad de la red para mantener segura la información patentada. Tener datos bien administrados y seguros puede ayudar a agilizar el proceso forense en caso de que esos datos sean investigados.

6 formas de proteger activos digitales
Descubra los seis pasos para crear una protección de activos digitales resiliente.

Las empresas también utilizan la informática forense para rastrear información relacionada con un sistema o un compromiso de red, que se puede usar para identificar y procesar a los atacantes cibernéticos. Las empresas también pueden utilizar expertos y procesos forenses digitales para ayudarles con la recuperación de datos en caso de un fallo del sistema o de la red causado por un desastre natural o de otro tipo.

A medida que el mundo se vuelve más dependiente de la tecnología digital para las funciones básicas de la vida, la ciberdelincuencia está aumentando. Como tal, los especialistas forenses en informática ya no tienen el monopolio sobre el terreno. Vea cómo la policía en el Reino Unido está adoptando técnicas forenses informáticas para mantenerse al día con las crecientes tasas de ciberdelincuencia.

Tipos de informática forense

Hay varios tipos de exámenes forenses informáticos. Cada una de ellas trata de un aspecto específico de la tecnología de la información. Algunos de los tipos principales incluyen los siguientes:

  • Análisis forense de la base de datos. El examen de la información contenida en las bases de datos, tanto los datos como los metadatos conexos.
  • Análisis forense de correo electrónico. Recuperación y análisis de correos electrónicos y otra información contenida en plataformas de correo electrónico, como horarios y contactos.
  • Análisis forense de malware. Revisando el código para identificar posibles programas maliciosos y analizando su carga útil. Dichos programas pueden incluir troyanos, ransomware o varios virus.
     Tipos de malware
    Vea la gama completa de tipos de malware con los que las empresas deben lidiar hoy en día.
  • Análisis de memoria. Recopilar información almacenada en la memoria de acceso aleatorio (RAM) y la caché de un ordenador.
  • Medicina forense móvil. El examen de dispositivos móviles para recuperar y analizar la información que contienen, incluidos contactos, mensajes de texto entrantes y salientes, imágenes y archivos de video.
  • Análisis forense de red. Búsqueda de pruebas mediante el monitoreo del tráfico de red, utilizando herramientas como un firewall o un sistema de detección de intrusos.

¿Cómo funciona la informática forense?

Los investigadores forenses suelen seguir procedimientos estándar, que varían según el contexto de la investigación forense, el dispositivo que se investiga o la información que buscan los investigadores. En general, estos procedimientos incluyen los siguientes tres pasos:

  1. Recopilación de datos. La información almacenada electrónicamente debe recopilarse de manera que se mantenga su integridad. Esto a menudo implica aislar físicamente el dispositivo bajo investigación para garantizar que no se contamine o manipule accidentalmente. Los examinadores hacen una copia digital, también llamada imagen forense, del medio de almacenamiento del dispositivo, y luego bloquean el dispositivo original en una caja fuerte u otra instalación segura para mantener su condición prístina. La investigación se lleva a cabo en la copia digital. En otros casos, la información disponible públicamente puede utilizarse con fines forenses, como publicaciones en Facebook o cargos públicos de Venmo por la compra de productos o servicios ilegales que se muestran en el sitio web de Vicepresidente.
  2. Análisis. Los investigadores analizan copias digitales de medios de almacenamiento en un entorno estéril para recopilar la información de un caso. Se utilizan varias herramientas para ayudar en este proceso, incluida la Autopsia de Basis Technology para investigaciones de discos duros y el analizador de protocolo de red Wireshark. Un mouse jiggler es útil al examinar una computadora para evitar que se quede dormida y pierda datos de memoria volátiles que se pierden cuando la computadora se duerme o pierde energía.
  3. Presentación. Los investigadores forenses presentan sus hallazgos en un procedimiento legal, donde un juez o jurado los utiliza para ayudar a determinar el resultado de una demanda. En una situación de recuperación de datos, los investigadores forenses presentan lo que pudieron recuperar de un sistema comprometido.

A menudo, se utilizan múltiples herramientas en las investigaciones forenses informáticas para validar los resultados que producen. Descubra cómo un investigador de Kaspersky Lab en Asia creó una herramienta forense de código abierto para recopilar pruebas de malware de forma remota sin comprometer la integridad del sistema.

Técnicas que utilizan los investigadores forenses

Los investigadores utilizan una variedad de técnicas y aplicaciones forenses patentadas para examinar la copia que han hecho de un dispositivo comprometido. Buscan en carpetas ocultas y espacio en disco no asignado copias de archivos borrados, cifrados o dañados. Cualquier evidencia encontrada en la copia digital se documenta cuidadosamente en un informe de hallazgos y se verifica con el dispositivo original en preparación para procedimientos legales que involucran descubrimiento, deposiciones o litigios reales.

Las investigaciones forenses informáticas utilizan una combinación de técnicas y conocimientos especializados. Algunas técnicas comunes incluyen las siguientes:

  • Esteganografía inversa. La esteganografía es una táctica común utilizada para ocultar datos dentro de cualquier tipo de archivo digital, mensaje o flujo de datos. Los expertos forenses informáticos invierten un intento de esteganografía analizando el hash de datos que contiene el archivo en cuestión. Si un ciberdelincuente oculta información importante dentro de una imagen u otro archivo digital, puede parecer el mismo antes y después para el ojo inexperto, pero el hash o cadena de datos subyacente que representa la imagen cambiará.
  • Medicina forense estocástica. Aquí, los investigadores analizan y reconstruyen la actividad digital sin el uso de artefactos digitales. Los artefactos son alteraciones involuntarias de datos que se producen a partir de procesos digitales. Los artefactos incluyen pistas relacionadas con un delito digital, como cambios en los atributos de los archivos durante el robo de datos. La ciencia forense estocástica se usa con frecuencia en investigaciones de violación de datos donde se cree que el atacante es un interno, que puede no dejar artefactos digitales.
  • Análisis de transmisión cruzada. Esta técnica correlaciona y hace referencias cruzadas de la información que se encuentra en varias unidades de computadora para buscar, analizar y preservar la información relevante para una investigación. Los eventos que suscitan sospechas se comparan con la información de otras unidades para buscar similitudes y proporcionar contexto. Esto también se conoce como detección de anomalías.
  • Análisis en vivo. Con esta técnica, se analiza una computadora desde el sistema operativo mientras la computadora o el dispositivo se está ejecutando, utilizando las herramientas del sistema en la computadora. El análisis analiza los datos volátiles, que a menudo se almacenan en caché o RAM. Muchas herramientas utilizadas para extraer datos volátiles requieren que la computadora esté en un laboratorio forense para mantener la legitimidad de una cadena de pruebas.
  • Recuperación de archivos eliminados. Esta técnica consiste en buscar en un sistema informático y en la memoria fragmentos de archivos que se eliminaron parcialmente en un lugar, pero que dejan rastros en otro lugar de la máquina. Esto a veces se conoce como tallado de archivos o tallado de datos.

Obtenga más información sobre análisis forense informático en este capítulo del libro Python Forensics: Un banco de trabajo para Inventar y compartir Tecnología Forense Digital, de Chet Hosmer. Muestra cómo usar Python y la tecnología de ciberseguridad para preservar la evidencia digital.

¿Cómo se utiliza la informática forense como prueba?

La informática forense se ha utilizado como prueba por los organismos encargados de hacer cumplir la ley y en el derecho penal y civil desde la década de 1980. :

  • Robo de secretos comerciales de Apple. Un ingeniero llamado Xiaolang Zhang de la división de automóviles autónomos de Apple anunció su retiro y dijo que regresaría a China para cuidar a su anciana madre. Le dijo a su gerente que planeaba trabajar en un fabricante de automóviles electrónicos en China, levantando sospechas. Según una declaración jurada de la Oficina Federal de Investigaciones (FBI), el equipo de seguridad de Apple revisó la actividad de Zhang en la red de la compañía y descubrió, en los días previos a su renuncia, que descargó secretos comerciales de bases de datos confidenciales de la compañía a las que tenía acceso. Fue acusado por el FBI en 2018.
  • Enron. En uno de los escándalos de fraude contable más comúnmente citados, Enron, una empresa estadounidense energy, commodities and services company, informó falsamente de miles de millones de dólares en ingresos antes de ir a la quiebra en 2001, causando daños financieros a muchos empleados y otras personas que habían invertido en la empresa. Los analistas forenses informáticos examinaron terabytes de datos para comprender el complejo esquema de fraude. El escándalo fue un factor importante en la aprobación de la Ley Sarbanes-Oxley de 2002, que estableció nuevos requisitos de cumplimiento contable para las empresas públicas. La empresa se declaró en quiebra en 2001.
  • Robo de secretos comerciales de Google. Anthony Scott Levandowski, ex ejecutivo de Uber y Google, fue acusado de 33 cargos de robo de secretos comerciales en 2019. De 2009 a 2016, Levandowski trabajó en el programa de automóviles autónomos de Google, donde descargó miles de archivos relacionados con el programa desde un servidor corporativo protegido con contraseña. Se alejó de Google y creó Otto, una compañía de camiones autónomos, que Uber compró en 2016, según el New York Times. Levandowski se declaró culpable de un cargo de robo de secretos comerciales y fue sentenciado a 18 meses de prisión y fines 851,499 en multas y restitución. Levandowski recibió un indulto presidencial en enero de 2021.
  • Larry Thomas. Thomas disparó y mató a Rito Llamas-Juárez en 2016 Thomas fue condenado más tarde con la ayuda de cientos de publicaciones en Facebook que hizo bajo el nombre falso de Slaughtaboi Larro. Uno de los mensajes incluía una foto de él con un brazalete que fue encontrado en la escena del crimen.
  • Michael Jackson. Los investigadores utilizaron metadatos y documentos médicos del iPhone del médico de Michael Jackson que mostraban que el médico, Conrad Murray, recetó cantidades letales de medicamentos a Jackson, que murió en 2009.
  • Mikayla Munn. Munn ahogó a su bebé recién nacido en la bañera de su dormitorio de la Universidad de Manchester en 2016. Los investigadores encontraron búsquedas en Google en su computadora que contenían la frase «aborto en casa», que se usaron para condenarla.

El asesinato es solo uno de los muchos tipos de delitos que la informática forense puede ayudar a combatir. Conozca cómo se utiliza el software de análisis financiero forense para combatir el fraude.

Carreras y certificaciones de informática forense

La informática forense se ha convertido en su propia área de experiencia científica, con cursos y certificaciones complementarios. El salario anual promedio para un analista forense de computadoras de nivel inicial es de aproximadamente 6 65,000, según Salary.com. Algunos ejemplos de carreras forenses cibernéticas incluyen los siguientes:

  • Ingeniero forense. Estos profesionales se ocupan de la etapa de recopilación del proceso forense informático, recopilando datos y preparándolos para su análisis. Ayudan a determinar cómo falló un dispositivo.
  • contador Forense. Esta posición se ocupa de los delitos relacionados con el blanqueo de dinero y otras transacciones realizadas para encubrir actividades ilegales.
  • Analista de ciberseguridad. Esta posición se ocupa del análisis de datos una vez que se han recopilado y de la obtención de información que luego se puede utilizar para mejorar la estrategia de ciberseguridad de una organización.

Los profesionales forenses en informática necesitan un título de licenciatura — y, a veces, un título de maestría in en ciencias de la computación, ciberseguridad o un campo relacionado. Hay varias certificaciones disponibles en este campo, incluidas las siguientes:

  • Analista Forense de Ciberseguridad del Instituto de Ciberseguridad. Esta credencial está diseñada para profesionales de seguridad con al menos dos años de experiencia. Los escenarios de prueba se basan en casos reales.
  • Examinador Informático Forense Certificado de la Asociación Internacional de Especialistas en Investigación Informática. Este programa se centra principalmente en validar las habilidades necesarias para garantizar que el negocio siga las pautas forenses establecidas por computadora.
  • Investigador Forense de Piratería Informática del Consejo de la CE. Esta certificación evalúa la capacidad de un solicitante para identificar a intrusos y recopilar pruebas que se pueden usar en el tribunal. Cubre la búsqueda y confiscación de sistemas de información, trabajando con pruebas digitales y otras habilidades forenses cibernéticas.
  • Examinador de Computadoras Certificado por la Sociedad Internacional de Examinadores Forenses de Computadoras (ISFCE). Este programa de examinador forense requiere capacitación en un centro de capacitación autorizado de bootcamp, y los solicitantes deben firmar el Código de Ética y Responsabilidad Profesional de ISFCE.

Obtenga más información sobre una carrera en ciberdelincuencia en esta entrevista con Amanda Rousseau, investigadora sénior de malware en Endgame (ahora en Facebook), que comenzó su carrera realizando investigaciones forenses informáticas en el Centro de Delitos Cibernéticos del Departamento de Defensa.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.