En el mundo de los investigadores forenses digitales, no son los cabellos o los huevos deun insecto las pruebas que arrojarán luz sobre la escena del crimen: son los datos de modificación de un documento, los registros de acceso, las direcciones IP o los correos electrónicos lo que ayudará a encontrar y procesar a los delincuentes.
Al igual que su contraparte en el mundo físico, el forense digital buscará identificar, preservar, analizar y presentar evidencia que sea válida dentro de un proceso legal, solo que en su caso será rescatada de un ámbito computacional. Para mantener la integridad de la evidencia forense digital, el investigador deberá utilizar sistemas con tecnología de punta y tener conocimientos avanzados en informática que le permitan analizar cuidadosamente su “escena del crimen” digital.
Si bien aún no es una norma generalizada, el uso de evidencias digitales en procesos judiciales sí ha aumentado en los últimos años, a medida que la legislación y los propios tribunales y jueces han ido aceptando este tipo de pruebas en procedimientos laborales, civiles y penales. Sin embargo, la “novedad” de las pruebas digitales requiere un cuidado aún mayor en las técnicas de investigación forense digital.
“Las evidencias digitales son todos aquellos datos e información almacenados o transmitidos en formato electrónico que pueden tener valor probatorio en un procedimiento legal. Correos electrónicos, documentos, fotografías digitales, archivos de video o audio, logs de eventos o históricos son algunos ejemplos de lo que podría ser evidencias digitales”, explica Andrés Velázquez, Presidente y Fundador de MaTTica.
La evidencia forense digital puede ser recuperada desde cualquier dispositivo que tenga una memoria informática. Es decir: discos duros de computadoras y servidores, cintas de respaldo, dispositivos móviles (celulares, tabletas y agendas electrónicas o PDA), tarjetas de memoria, GPS, impresoras, memorias USB e incluso credenciales de autentificación, logs de seguridad y trazo de paquetes de red. Cabe señalar que en algunos casos un investigador forense digital puede llegar a recuperar información que haya sido borrada desde el sistema operativo.
“Al realizar su análisis forense, un investigador digital necesita llevar a cabo un proceso de búsqueda detallada y minuciosa para reconstruir el log de acontecimientos que tuvieron lugar hasta el momento en que se detectó algún estado comprometedor. Esto debe hacerse con el máximo cuidado, para asegurar que la información en la memoria del sistema se conserve intacta, ya que la evidencia digital es sumamente frágil, pues con un doble clic se modifica la última fecha de acceso a un archivo”, comenta Velázquez.
Pasos del análisis forense digital
Un proceso completo de análisis forense digital conlleva las siguientes fases:
>> Asegurar la escena digital e identificar el bien informático: Se protege el bien informático para evitar la modificación o destrucción de evidencias digitales, y se identifica su uso dentro de la red, al igual que el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia), y la revisión del entorno legal que protege el bien.
>> Capturar y preservar evidencias: Se realiza una imagen forense (copia exacta) de la evidencia identificada utilizando tecnología de punta para mantener la integridad de la evidencia original y garantizar la cadena de custodia. Asimismo, se documenta detalladamente todos los procedimientos realizados sobre las evidencias y sobre la imagen forense.
>> Analizar evidencias: Se aplica técnicas científicas y analíticas a la imagen forense para buscar pruebas de delitos. Se puede realizar búsquedas de cadenas de caracteres, acciones específicas de algún usuario (como el uso de dispositivos de USB), archivos específicos, correos electrónicos, últimos sitios visitados, el caché del navegador de Internet, etc.
>> Presentar resultados: Se recopila toda la información obtenida, se realiza un reporte y se presenta de forma clara y con el formato adecuado a los abogados encargados de la investigación. De ser necesario, se ratifican los informes periciales.
“Todo el trabajo de investigación forense digital debe ser realizado en un ambiente adecuado, un laboratorio forense, con las mejores herramientas –que permitan realizar las imágenes forenses y su análisis con la mínima invasión y asegurando la integridad de la evidencia–, y por profesionales experimentados con conocimientos de técnicas forenses, que sepan qué buscar y cómo hacerlo, pero también cómo presentar los resultados lo más claramente posible, para que además de ser válidos puedan ser comprendidos por abogados, policías y jueces. Eso es lo que hacemos en MaTTica”, finaliza Andrés Velázquez.
Como referencia, de acuerdo con el Computer Crime and Security Survey 2010/2011 del Computer Security Institute (CSI) y el FBI, más del 40% de las empresas sufren incidentes de seguridad informática cada año, y uno de los principales tipos de ataques que sufren es el acceso no autorizado o ingreso sin privilegios de empleados internos (13%), mientras que la penetración de externos en sistemas corporativos alcanza el 11%. Cabe señalar que la encuesta también indica que 20% de las pérdidas de las empresas podía ser atribuida a empleados internos maliciosos (87.1%) o sin intenciones maliciosas (66.1%).
Fuente > MaTTica.com
MaTTica, primer laboratorio de investigaciones forenses en América Latina, ofrece servicios de investigación digital ante incidentes relacionados con delitos informáticos dentro de una organización, desde extracciones y adquisiciones de imágenes forenses, hasta asesoría y dictámenes en pruebas judiciales.
Para los iniciados en el computo forense les cuento que Me ha gustado siempre presentar a los protagonistas por sobre las organizaciones. Pero en esta ocasión dejemos que el Experto Andrés Velázquez, @cibercrimen, nos hable con su sencillez que siempre lo caracteriza.
Recomiendo escuchar tambien el poscast > 043. Intepretando Información con fines forenses del mismo experto.
...
No hay comentarios.:
Publicar un comentario