ANÁLISIS FORENSE

¿Qué es la informática forense?

Es la ciencia que recoge, analiza y dictaminan datos informáticos de sistemas informáticos o dispositivo electrónicos de tal manera que lo hace como prueba ante un tribunal de justicia.

De igual manera es importante citar, que la informática forense tiene dos objetivos y dos finalidades que son:

Objetivos

Preventivos: el funcionamiento principal en este caso, es contener la informática forense como parte del sistema de seguridad para anticiparse a cualquier problema.

Correctivos: enfrentar un incidente y conocer su fuente para que con ello se pueda evitar hacia un futuro que se repita el mismo problema.

Problemática

Probatoria: se implementa para obtener pruebas que permitan el hallazgo de la fuente, autor y circunstancias que ocasionan un incidente de seguridad informática y con ello de ser necesario presentar dichas pruebas ante un tribunal de justicia con finalidades legales.

Auditoria: permite conocer la robustez del sistema informático y con base en ello tomar las medidas correctivas si visualiza algún hallazgo.

¿Qué tan necesaria es la informática forense?

Esta ciencia es de vital importancia hoy en día cualquier investigación en la cual se vea implicado un dispositivo electrónico llámese computador, teléfono móvil, dispositivo de almacenamiento, etc. Debido a que ayuda a plasmar evidencias técnicas en un ámbito jurídico, bajo la normatividad vigente de la región/país en la cual se lleve a cabo el juicio.

Evidencia digital

Se refiere a “cualquier información sujeta a manipulación humana u otra semejante, extraída de un medio informático” (Cano, 2015, P.3). en este orden de ideas se ´puede definir que la evidencia digital es cualquier dato que sirva como prueba para ser presentado para llevar a cabo un proceso legal.

Está a se puede dividir en tres partes:

1. Registros informáticos almacenados en el equipo, bien sea por medio de correo electrónicos. Archivos digitales, imágenes, etc.

2. Registros generados por los equipos tecnológicos como auditorias, registros de transacciones, registros de eventos, etc.

3. Registros generados y almacenados en equipos tecnológicos como consultas a bases de datos, hojas de cálculo con información financiera, etc.

Es por ello que la materia prima de un investigador es la evidencia digital, debido a que la tecnología es fundamental en este tipo de procesos.

Características

De acuerdo con Cano (2015), la evidencia digital posee unas características

Es volátil

Es anónima

Es duplicable

Es modificables

Es eliminable.

Es por esto que se resalta la importancia de tener un conocimiento detallado de la normatividad asociada con las pruebas y derecho procesal, así como los procedimientos, técnicas utilizadas en el tratamiento de la información extraída.

Metodologías o modelos de análisis informático forense

Una metodología o modelo de análisis informático forense es una serie de etapas que involucran procedimientos, técnicas, herramientas software, hardware y aspectos legales, las cuales tienen como misión principal servir de guía al investigador informático forense en  su trabajo de peritazgo. En otras palabras, tiene como objetivo principal documentar, educar y normalizar el análisis informático forense.

No existe un modelo estándar para el análisis informático forense, pero si unos modelos muy importantes y reconocidos internacionalmente los cuales se mencionan a continuación.

Modelo DFRWS (Digital Forensic Research Workshop).

Aporta el concepto conocido como “clases de acción en la investigación digital”, donde las “clases de acción” son técnicas de que permiten clasificar por grupos las actividades de un proceso investigativo.

Actividades:

Identificación.

Preservación.

Colección.

Examen.

Análisis.

Informe.

Decisión.

Modelo de Casey (versión 2000)

Actividades que conlleva

Identificación de evidencias.

Conservación, adquisición y documentación de evidencias.

Clasificación, comparación y documentación de evidencias.

Reconstrucción de los hechos.

En estas dos últimas actividades, se puede producir un ciclo repetitivo, ya que se pueden presentar nuevas evidencias que requieran un nuevo procesamiento. Por este motivo estas dos últimas actividades son denominadas por Casey como Ciclo de procesamiento de las pruebas.

Modelo de Casey (versión año 2004)

Actividades:

Autorización y preparación de evidencias.

Identificación de las evidencias.

Documentación de las evidencias.

Adquisición de las evidencias.

Conservación de las evidencias.

Examen y análisis de las evidencias.

Reconstrucción de lo sucedido.

Informe final o conclusiones.

Modelo forense del departamento de justicia de los estados unidos

Fases:

Preparación y extracción.

Identificación.

Análisis.

Además, este modelo estableció las especificaciones básicas en la investigación forense, las cuales son:

Emplear métodos científicos.

Recolectar y preservar.

Validar.

Identificar.

Analizar e interpretar.

Registrar, documentación y presentar.

Procedimientos realizados en el presente informe de análisis forense informático

Algunos de los elementos que deben considerarse al momento de adelantar un procedimiento de informática forense son los siguientes:

1. Esterilidad de los medios informáticos de trabajo: cada uno de los elementos utilizados por los investigadores debe de estar certificado para garantizar que no se haya vulnerado su integridad,

debido que, si este elemento fue expuesto a vibraciones magnéticas u otro tipo de exposición, la evidencia recolectada en este medio quedaría contaminada y no sería confiable en ningún procedimiento forense.

2. Verificación de las copias en medios informáticos: al momento de extraer las copias de información de los medios tecnológicos, estas deben de ser exactas a la original y deben estar asistidas por un método y un procedimiento utilizando algoritmos y técnicas basadas en firmas digitales que comprueben su veracidad.

3. Documentación de los procedimientos, herramientas y resultados de los medios informáticos utilizados: su propósito es que las personas externas puedan validar la información obtenida de dicho análisis.

4. Mantenimiento de la cadena de custodia de las evidencias digitales: este punto es complementario del anterior teniendo en cuenta quien entrego la información, cuando, en qué estado, como, entre otras preguntas para poder rendir cuentas de la correcta administración de las pruebas a cargo del investigador.

5. Informe y presentación de los resultados de los análisis de los medios informáticos: la adecuada presentación de los resultados es fundamental para la interpretación de las pruebas extraídas, si este requisito no se cumple, el investigador puede poner en entredicho su idoneidad y experticia en el manejo de la información.

6. Auditoria de los procedimientos realizados en la investigación: autoevaluación de los procedimientos realizados para contar con la evidencia de una buena práctica en su investigación, aplicando el ciclo de la calidad PHVA – planear, hacer, verificar y actuar, y de esta manera incrementar la confiabilidad de las técnicas aplicadas en la práctica de esta disciplina.

Fases aplicadas en el desarrollo del análisis forense informático

Herramientas utilizadas en el presente informe

Tool Kit (FTK): Es una herramienta que nos permite realizar replicas y visualizar los datos que se encuentran en el ordenador, permitiendo una evaluación rápida de la evidencia electrónica, para garantizar un análisis posterior con la herramienta forense Access Data Forensic Toolkit. Por otra parte, FTK permite crear copias perfectas llamadas (Imágenes Forenses) que son datos Cambie la definición de la herramienta y características encontrados en el ordenador sin realizar ningún cambio en la evidencia original. De acuerdo a FTK todos los filtros son personalizables y permite buscar en miles de archivos rápidamente las pruebas necesarias, se dice que FTK es la herramienta más reconocida en forense por el análisis que realiza en los correos electrónicos, y sus principales funciones son:

Fácil de usar.

Opciones de búsqueda avanzadas.

Registry viewer.

Análisis de correo electrónico y de archivos Zip.

Diseño de capa de base de datos.

Montaje seguro de dispositivos remotos.

Autopsy: Es una herramienta de análisis forense digital que permite ampliar la investigación de lo ocurrido en el equipo. Por lo que es rápida y ejecuta varias tareas en un segundo plano, generando un aprovechamiento de los núcleos del procesador del equipo, y así tener resultados lo más antes posible. Estos análisis requieren de horas para analizar el disco duro, pero en minutos se sabrá si la información no se encuentra, lo que permite que la palabra clave en la carpeta sea del usuario.

Recent Activity: extrae la actividad del usuario como lo último guardado por los navegadores web y el sistema operativo incluso en el registro de Windows.

Hash Lookup: utiliza bases de datos hash para ignorar archivos conocidos del NIST NSRL, se puede utilizar la opción Avanzada para agregar y configurar las bases de datos de hash para usar durante este proceso.

Keyword Search: La búsqueda por palabras clave utiliza listas de palabras clave para identificar archivos con palabras específicas. Puede seleccionar las listas de palabras clave para buscar de forma automática y además podremos crear nuevas listas utilizando el botón "Opciones avanzadas".

Archive Extractor: abre ZIP, RAR, y otros formatos de archivo y envía los archivos para su análisis.

Exif Image Parser: extrae la información EXIF de archivos JPEG y expone los resultados en la interfaz de usuario principal.

Thunderbird Parser: Identifica Thunderbird MBOX y extrae los correos electrónicos de ellos.

El programa autopsy corre en diversos sistemas operativos como Linux, Unix y hasta en el sistema operativo Microsoft.

OsForensics: es una pieza clave en investigaciones forenses digitales (digital forensics, como se conoce en inglés), un todo en uno que permite localizar pistas, mirar en el interior de archivos y sus cabeceras y, finalmente, organizar e indexar todos los datos hallados para un tratamiento posterior y su presentación.

Funcionamiento

OsForensics trabaja la información en 3 fases.

1. Descubrimiento

La herramienta realiza búsquedas de gran rapidez en toda la superficie del disco o dispositivo elegido, creando además un índice de información. Es capaz de extraer contraseñas, descifrar archivos y recuperar elementos borrados de diferentes sistemas de archivos: Windows, Mac y Linux.

2. Identificación

Las evidencias y actividades halladas son comparadas mediante su valor hash contra una base de datos. Además, se analizan todos los archivos y permite crear una línea de tiempo (timeline) de toda la actividad del usuario, para presentarla en orden cronológico.

3. Administración

Finalmente, la suite nos permite organizar todas nuestras evidencias en un guion ordenado, incorporando los datos del examinador forense, presentando los hechos acontecidos y adjuntando datos de otras herramientas forenses si es necesario.

SO Kali Linux: es una distribución basada en Debian GNU/Linux diseñada principalmente para la auditoría y seguridad informática en general. Fue fundada y es mantenida por Offensive Security Ltd. Mati Aharoni y Devon Kearns, ambos pertenecientes al equipo de Offensive Security, desarrollaron la distribución a partir de la reescritura de BackTrack, que se podría denominar como la antecesora de Kali Linux.

Kali Linux trae preinstalados más de 600 programas incluyendo Nmap (un escáner de puertos), Wireshark (un sniffer), John the Ripper (un crackeador de passwords) y la suite Aircrack-ng (software para pruebas de seguridad en redes inalámbricas). Kali puede ser usado desde un Live CD, live-usb y también puede ser instalada como sistema operativo principal.

Los programas que se utilizaron de esta distribución fueron John the Ripper para obtener la contraseña del equipo cuando este se encontraba encendido y Foremost para recuperar archivos eliminados de algún dispositivo como memorias USB o discos duros.

VÍDEO TUTORIAL

CONCLUSION

La informática forense se ha venido fortaleciendo a nivel global continuamente debido a que existen deviseros métodos que son implementados por los cibercrimales para lograr sus cometidos, en el caso de las personas que no utilizan los equipos informáticos para este tipo de fin, pero si para llevar un control de sus actividades delictivas, se han ido percatando de toda la información que estos equipos emitían u ofrecen a las autoridades policiales generando de que estos eliminen información como archivos descargados, historial de navegación entre otros, sin embargo gracias al continuo mejoramiento u avance de las distintas herramientas informáticas se puede llegar a recuperar hasta el 100% de la información que fue eliminado por el delincuente como el registro de eventos de Windows entre otros, datos que serán de alta importancia para la sociedad en especial para la institución que logro obtener las evidencias anteriores y de esta manera poder determinar el juicio del o los delincuentes.

REFERENCIAS

1. Disponible en: https://repository.unimilitar.edu.co/bitstream/handle/10654/14395/SuarezUrrutiaJenniferCatherine2016.pdf;jsessionid=14DC7F95C2F83C3C249DCF71A55A3ADC?sequence=1 tomado el 28/11/18.
2. Disponible en https://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/17370/1/86078250.pdf tomado el 26/11/18
3. Disponible en https://www.osforensics.com/ tomado el 26/11/18
4. Disponle en https://aprendizdesysadmin.com/analisis-forense-de-los-registros-de-eventos-en-windows/ tomado el 26/11/18