<link rel="stylesheet" href="//fonts.googleapis.com/css?family=Open+Sans%3A400%7CRoboto+Slab%3A400">¿De qué se trata la informática forense? - Eliezer Molina

¿De qué se trata la informática forense?

La informática forense es la práctica de recopilar, analizar e informar sobre datos digitales de una manera que es legalmente admisible. Se puede usar en la detección y prevención de delitos y en cualquier disputa donde la evidencia se almacena digitalmente. La informática forense sigue un proceso similar al de otras disciplinas forenses y enfrenta problemas similares.

¿Cómo funciona la informática forense?

Como mencionamos, el objetivo de las técnicas forenses informáticas es buscar, preservar y analizar la información en los sistemas informáticos para encontrar pruebas potenciales de un ensayo. Muchas de las técnicas que usan los detectives en las investigaciones de la escena del crimen tienen contrapartes digitales, pero también hay algunos aspectos únicos en las investigaciones de la computadora.

Por ejemplo, al abrir un archivo de computadora se cambia el archivo; la computadora registra la hora y la fecha en que se accedió en el archivo. Si los detectives se apoderan de una computadora y luego comienzan a abrir archivos, no hay manera de asegurar que no hayan cambiado nada. Los abogados pueden impugnar la validez de las pruebas cuando el caso va a juicio.

Algunos individuos afirman que no es buena idea el hecho de usar información digital como evidencia. Si es fácil cambiar los datos de la computadora, ¿cómo puede usarse como evidencia confiable? Muchos países permiten la evidencia informática en los ensayos, pero eso podría cambiar si la evidencia digital no es confiable en casos futuros.

Las computadoras son cada vez más potentes, por lo que el campo de la informática forense debe evolucionar constantemente. En los primeros días de las computadoras, era posible que un único detective clasificara los archivos porque la capacidad de almacenamiento era muy baja. Hoy en día, con discos duros capaces de contener gigabytes e incluso terabytes de datos, es una tarea desalentadora. Los detectives deben descubrir nuevas formas de buscar evidencia sin dedicar demasiados recursos al proceso.

Conceptos básicos de la informática forense

El campo de la informática forense es relativamente joven. En los inicios de la informática, los tribunales consideraban que las pruebas de las computadoras no eran diferentes de cualquier otro tipo de evidencia. A medida que las computadoras se volvieron más avanzadas y sofisticadas, la opinión cambió: los tribunales se dieron cuenta de que la evidencia informática era fácil de corromper, destruir o cambiar.

Los investigadores se dieron cuenta de que era necesario desarrollar herramientas y procesos específicos para buscar evidencia en las computadoras sin afectar la información en sí. Los detectives se asociaron con científicos informáticos para analizar los procedimientos y herramientas adecuados que necesitarían utilizar para recuperar la evidencia de una computadora. Poco a poco, desarrollaron los procedimientos que ahora forman el campo de la informática forense.

Usualmente, los detectives deben asegurar una orden para buscar evidencia en la computadora de un sospechoso. La orden debe incluir dónde los detectives pueden buscar y qué tipo de evidencia pueden buscar. En otras palabras, un detective no puede simplemente cumplir una orden judicial y mirar donde le parezca sospechoso. Además, los términos de la orden no pueden ser demasiado generales. La mayoría de los jueces exigen que los detectives sean lo más específicos posible al solicitar una orden.

Por esta razón, es importante que los detectives investiguen al sospechoso tanto como sea posible antes de solicitar una orden. Considere este ejemplo: un detective obtiene una orden para buscar en la computadora portátil de un sospechoso. El detective llega a la casa del sospechoso y sirve la orden. Mientras está en el hogar del sospechoso, el detective ve una PC de escritorio. El detective no puede buscar legalmente la PC porque no estaba incluida en la orden original.

Factores que pueden afectar la duración de la investigación

Cada investigación informática es algo único. Algunas investigaciones solo pueden requerir una semana para completarse, pero otras pueden llevar meses. Estos son algunos factores que pueden afectar la duración de una investigación:

  • La experiencia de los detectives
  • La cantidad de computadoras que se buscan
  • La cantidad de detectives de almacenamiento debe clasificarse (discos duros, CD, DVD y memorias USB)
  • Si el sospechoso intentó ocultar o eliminar información
  • La presencia de archivos cifrados o archivos que están protegidos por contraseñas

Algunos delincuentes cibernéticos han encontrado formas de dificultar aún más que los investigadores encuentren información sobre sus sistemas. Usan programas y aplicaciones conocidos como antiforense. Los detectives deben conocer estos programas y cómo deshabilitarlos si quieren acceder a la información en los sistemas informáticos.

¿Qué son los programas Antiforenses?

Los antiforenses puede ser la peor pesadilla de un investigador de computadoras. Los programadores diseñan herramientas de este tipo para dificultar o imposibilitar la recuperación de información durante una investigación. Esencialmente, antiforense se refiere a cualquier técnica, artilugio o software diseñado para dificultar la investigación de una computadora.

Hay docenas de formas en que las personas pueden ocultar información. Algunos programas pueden engañar a las computadoras al cambiar la información en los encabezados de los archivos. Un encabezado de archivo normalmente es invisible para los humanos, pero es extremadamente importante: le dice a la computadora a qué tipo de archivo está conectado el encabezado.

Si tuviera que renombrar un archivo mp3 para que tuviera una extensión .gif, la computadora aún sabría que el archivo era realmente un mp3 debido a la información en el encabezado. Algunos programas le permiten cambiar la información en el encabezado para que la computadora piense que es un tipo diferente de archivo. Los detectives que buscan un formato de archivo específico pueden omitir pruebas importantes porque parecía que no era relevante.

El cifrado es otra forma de ocultar datos. Cuando cifra datos, utiliza un conjunto complejo de reglas llamado algoritmo para hacer que los datos sean ilegibles. Por ejemplo, el algoritmo podría cambiar un archivo de texto en una colección aparentemente sin sentido de números y símbolos. Una persona que quiera leer los datos necesitaría la clave de encriptación, que revierte el proceso de encriptación para que los números y símbolos se conviertan en texto. Sin la llave, los detectives tienen que usar programas de computadora diseñados para descifrar el algoritmo de encriptación. Cuanto más sofisticado sea el algoritmo, más tiempo llevará descifrarlo sin una clave.

¿Por qué usan estos métodos antiforenses?

Algunas personas usan métodos antiforenses para demostrar cuán vulnerables y poco fiables pueden ser los datos informáticos. Si no puede estar seguro de cuándo se creó un archivo, cuándo se accedió por última vez o si alguna vez existió, ¿cómo puede justificar el uso de la evidencia de la computadora en un tribunal de justicia? Si bien esa puede ser una pregunta válida, muchos países aceptan evidencia informática en los tribunales, aunque los estándares de evidencia varían de un país a otro.

Sobre el Autor

ElTecnólogoEM

Trato de ayudar a otros a comprender más la tecnología y el entorno de seguridad. Soy técnico en informática, SysAdmin, SysNetwork, entre otros tantos cursos realizados y los que me falta por aprender.

En la actualidad me desempeño como Encargado de Tecnología para una empresa Dominicana y SysAdmin para una internacional. Trato de escribir constantemente en mi Blog, entender mis cuentas de redes sociales y crear videos para YouTube.

Comparto sobre tecnología en el programa de televisión CieloTV en las Noticias en un segmento quincenal y semanalmente en El Expreso Musical, emitido por Radio VEN.

Si necesitas contactarme, ya sabes… Solo entra a https://eliezermolina.net/contacto o mis redes sociales.

Happy WhiteHack :)

Si no sirves para servir, tampoco sirves para vivir. By: ElTecnólogoEM

Deja un comentario

Centro de preferencias de privacidad

    Necessary

    Las webs propiedad de BlogTi Media utilizan "cookies". Las cookies son ficheros creados en el navegador por medio de un servidor web para registrar las actividades del Usuario en una web determinada. Usamos esta información en formatos estadísticos y agregados para evaluar la eficacia y calidad de nuestras webs. Gracias a estos datos podemos mejorar tu experiencia al visitar alguna de nuestras web, tomando en cuenta prioridades e intereses de los visitantes. No recogeremos información personal sin tu consentimiento como por ejemplo nombre, apellido, correo electrónico, dirección postal o alguna otra de carácter privado.

    Además se instalan cookies sobre servicios de terceros: • Facebook: Tiene como objetivo compartir los contenidos en Facebook. Sus finalidades están descritas en la Página de Cookies de Facebook. • Twitter: Permite compartir contenidos en Twitter. Sus finalidades están descritas en la Página de Privacidad de Twitter. • Google+: Permite compartir contenidos en Google+. Sus finalidades están descritas en la Página de Cookies de Google.

    Advertising

    Las políticas de Google Adsense y Bing Ads ayudan a los anunciantes a saber cómo crear un buen anuncio y lo que se puede incluir y no se puede incluir en ellos. Revisamos los anuncios y las palabras clave en función de estos requisitos para proporcionarte a ti y a tus clientes una fantástica experiencia en nuestra red publicitaria. Debes cumplir todas las políticas de Bing Ads. Usa las siguientes políticas para ayudar a que tus anuncios reciban la aprobación rápidamente y para evitar las consecuencias resultantes o retrasos. Nos reservamos el derecho de rechazar o eliminar cualquier anuncio, a nuestra entera discreción y en todo momento.