Curso de informtica forense
Qu es y como funciona?
El propsito de las tcnicas informticas forenses, es buscar, preservar y analizar
informacin en sistemas de ordenadores para buscar evidencias potenciales de un delito.
Muchos de las tcnicas usadas por detectives en escenarios de crimen, tiene su
contrapartida digital en la informtica forense, aunque hay algunos aspectos nicos en la
investigacin basada en ordenadores.
Por ejemplo, simplemente abrir un archivo, cambia ese archivo el ordenador recuerda la
hora y fecha en el que fue accedido. Si un detective coge un ordenador y comienza a abrir
archivos y ficheros, no habr manera de poder decir si cambiaron algo. Si un caso de
piratera informtica llegara a juicio, no tendra validez como prueba al haber alterado y
modificado el estado del sistema informtico.
Algunas personas creen que usar informacin digital como una evidencia, es un mala idea.
Si es tan fcil cambiar datos en un ordenador, Cmo puede usarse como una prueba fiable?
Muchos pases permites pruebas informticas en juicio y procesos, pero esto podra cambiar
si se demuestra en futuros casos que no son de confianza. Los ordenadores cada vez son
ms potentes, por lo que los campos dentro de la informtica forense tienen que
evolucionar constantemente.
En lo tempranos das de la informtica, era posible para un solo detective, navegar a travs
de los ficheros de un equipo ya que la capacidad de almacenamiento era mucho ms baja.
Hoy en da, los discos duros de un ordenador pueden contener gigabytes o incluso terabytes
de informacin, por lo que la tarea de investigacin puede ser compleja. Los expertos en
informtica forense deben encontrar nuevas maneras de buscar evidencias, sin tener que
dedicar demasiados recursos en el proceso.
Daniel Ricardo Torres Torres-3112678160-seqrityinfforense@[Link]
�SEQRITYINFFORENSE-CURSO VIRTUAL-NIVEL BSICO
Conceptos bsicos de la informtica forense
El campo de la informtica forense es relativamente joven. Hace muchos aos, las cortes
consideraban las evidencias encontradas en los ordenadores, no muy diferentes a las
evidencias convencionales. Segn los ordenadores fueron avanzando, mejorando y siendo
ms sofisticados, se dieron cuenta que estas evidencias podan ser fciles de corromper,
destruir o cambiar.
Los investigadores pensaron que haba una necesidad de desarrollar herramientas
especficas y procesos para buscar evidencias de delito en un ordenador, sin afectar a la
propia informacin que hubiera almacenada. Los expertos en esta tecnologa, se aliaron con
cientficos especializados en computadoras para discutir los procedimientos y herramientas
apropiadas que se podran utilizar para esta tarea. Poco a poco, se fueron asentando las
bases para crear la nueva informtica forense.
Normalmente, los detectives informticos usan una orden para hacer bsquedas en
ordenadores de gente sospechosa. Esta orden debe incluir donde pueden buscar los
detectives, y que clase de pruebas estn buscando. En otras palabras, no pueden
simplemente dar pedir una orden y buscar todo lo que quieran para cualquier cosa. Esta
orden no puede ser demasiado general. Muchos jueces requieren que se sea lo ms
especfico posible cuando se pide una de estas garantas.
Por esta razn, es importante para los detectives informticos saber todo lo posible sobre el
sospechoso antes de pedir una orden. Considera este ejemplo: Un investigador informtico
pide una orden par investigar un ordenador porttil de un sospechoso. Llega a la casa del
sospechoso y le entrega la orden. Mientras est en la casa, se da cuenta que hay un
ordenador de sobremesa. El investigador no puede legalmente hacer una bsqueda en ese
PC porque no estaba en la orden original.
Cada lnea de investigacin en un ordenador es de algn modo nica. Algunas puede llevar
solo una semana, pero otras puede llevar meses. Aqu hay algunos factores que pueden
impactar lo extenso de la investigacin:
La experiencia de los investigares informticos. El nmero de ordenadores que se estn
investigando. La cantidad de informacin que se debe clasificar a travs de los discos duros,
DVDs, CDs, u otros mtodos de almacenamiento. Si los sospechosos han intentado o no
ocultar o borrar la informacin. La presencia de archivos encriptados o ficheros protegidos
por contraseas.
Daniel Ricardo Torres Torres-3112678160-seqrityinfforense@[Link]
�SEQRITYINFFORENSE-CURSO VIRTUAL-NIVEL BSICO
Fases en una investigacin de informtica forense
El cientfico en computadoras y experto reconocido en informtica forense, Judd
Robbins, nos da una lista de los pasos que deberan seguir los investigadores para recuperar
evidencias en un ordenador sospechoso de tener pruebas delictivas. Por supuesto, cada
grupo de investigadores, dependiendo del cuerpo y el pas, tendrn variaciones sobre los
mtodos a utilizar, pero el mtodo de Robbins est mundialmente reconocido:
Asegurar el sistema informtico para mantener el equipo y los datos a salvo. Esto significa
que los investigadores deben asegurarse de que individuos no autorizados puedan acceder
al ordenador, o a los dispositivos de almacenamiento dentro de la investigacin. Si el
sistema informtico se conecta a Internet, dicha conexin debe ser cancelada. Se debe
encontrar todos los ficheros y archivos del sistema, incluyendo aquellos que estn
encriptados, protegidos con contrasea, escondidos o borrados, pero que no estn todava
sobrescritos. Los investigadores deben hacer una copia de todos los archivos del sistema.
Con esto queremos decir, tanto del disco duro como todos los dems dispositivos que
puedan almacenar informacin. Al poder alterar un archivo cuando accedemos a el, es
importante para los investigadores trabajar solamente con copias mientras se busca
evidencias. El sistema original debe permanecer intacto. Hay que recuperar toda la
informacin borrada que se pueda, usando aplicaciones que pueden detectar dicha
informacin y hacerla disponible de nuevo para su visionado. Se debe revelar el contenido
de ficheros y archivos ocultos, con programas
espacialmente diseados para esta funcin. Desencriptar y acceder a informacin
protegida. Analizar reas especiales de los discos del ordenador, incluyendo las partes que
normalmente no estn accesibles. En trminos de informtica, el espacio no usado en los
discos de un ordenador, se llama espacio no localizado. Dicho espacio podra contener
archivos o partes de ficheros que son relevantes al caso. Hay que documentar cada paso del
procedimiento. Es importante para los investigadores mostrar pruebas de que sus
investigaciones han preservado toda la informacin del sistema informtico sin cambiar o
daar nada. Puede pasar aos entre una investigacin y el juicio, y sin la documentacin
apropiada, puede que las pruebas no sean admisibles. Robbins dice que la documentacin
no solo debera incluir los archivos y los datos recuperados del sistema, sino tambin un
informe de la condicin fsica del sistema, y si algn dato estaba encriptado u oculto.
Todos estos pasos son importantes, pero el primero es crtico. Si los investigadores no
pueden probar que han asegurado su sistema informtico, las evidencias encontradas
podran no valer de nada. Es un trabajo complejo. En los primeros aos en la historia
Daniel Ricardo Torres Torres-3112678160-seqrityinfforense@[Link]
�SEQRITYINFFORENSE-CURSO VIRTUAL-NIVEL BSICO
del ordenador, el sistema poda incluir solo un PC y unos cuantos disquetes. Hoy en da,
puede incluir varios ordenadores, discos, dispositivos externos de almacenamiento,
perifricos, y servidores Web.
Los que comenten delitos informticos, han encontrado maneras de hacer ms difcil el
seguimiento de los investigadores para que puedan encontrar informacin. Usan programas
y aplicaciones conocidas como anti-forenses. Los investigadores deben conocer estas
herramientas de software, y saber como deshabilitarlas sin quieren tener xito accediendo a
la informacin. En la siguiente seccin de este curso rpido sobre informtica forense,
veremos en qu consisten estos programas anti-forenses.
Herramientas anti forensics
Este tipo de herramientas puede ser la pesadilla de un investigador
de delitos informticos. Los programadores disean las herramientas anti forenses para
hacer difcil o casi imposible recuperar informacin durante una investigacin.
Esencialmente, las tcnicas anti forensics se refieren a cualquier mtodo, artilugio o
software designado para frustrar una investigacin informtica.
Hay docenas de maneras para que la gente oculte la informacin. Algunos programas
pueden engaar a los ordenadores cambiando la informacin en las cabeceras de los
archivos. Una cabecera de archivo es normalmente invisible a las personas, pero es
extremadamente importante - le dice al ordenador a qu tipo de fichero est asociado el
archivo. Para poner un ejemplo, si renombras un archivo avi con una extensin de fichero
.JPG, el ordenador todava sabr que el archivo es realmente un avi por la informacin en la
cabecera. Como se ha dicho, algunos programas permites cambiar datos en la cabecera
para que el ordenador crea que es otro tipo de fichero. Los investigadores buscando algn
tipo de archivo en particular, pueden saltarse evidencias importantes porque pareca que no
era relevante.
Otros programas pueden dividir archivos en pequeas secciones, y esconder cada seccin al
final de otros archivos. Los archivos suelen tener espacio no usado, y con el software
adecuado se pueden esconder archivos aprovechndose de este espacio libre. Es realmente
complicado recuperar y volver a unir toda esta informacin diseminada en partes.
Es tambin posible esconder un archivo en otro. Los ficheros ejecutables que son ficheros
que el ordenador reconoce como programas son particularmente problemticos.
Programas llamados empaquetadores pueden insertar estos ejecutables en otros tipos de
archivos, mientras que hay otras aplicaciones que pueden fundir mltiples ejecutables en
uno solo.
Daniel Ricardo Torres Torres-3112678160-seqrityinfforense@[Link]
�SEQRITYINFFORENSE-CURSO VIRTUAL-NIVEL BSICO
La encriptacin es otro modo de ocultar los datos. Cuando encriptas datos, se usa un
completo conjunto de reglas llamado algoritmo para hacer los datos incomprensibles. Por
ejemplo, un algoritmo de este tipo puede hacer que un fichero de texto se convierta en un
cmulo de nmeros y smbolos sin sentido. Una persona que quiera leer los datos,
necesitar una llave o clave para volver a convertir esos nmeros y smbolos en texto
leble de nuevo. Sin las claves de desencriptacin, los investigadores necesitarn programas
especiales designados para romper el algoritmo de encriptacin del archivo. Cuanto ms
sofisticado sea el algoritmo, mas tiempo se tardar en hacer la desencriptacin.
Otras herramientas anti forensics pueden cambiar las etiquetas anexionadas a los archivos.
Estas etiquetas o metadata, incluyen informacin como por ejemplo, cuando se creo un
fichero o fue alterado. Normalmente no puedes cambiar esta informacin, pero cierto
software si permite alterar estas etiquetas. Imagina que se descubre un fichero y descubrir
que no va a existir hasta los prximos dos aos, y que fue accedido por ltima vez en el
siglo pasado. Si estas etiquetas se ven comprometidas, hace ms difcil que se pueden
utilizar como pruebas.
Algunas aplicaciones de ordenador borrarn datos su un usuario no autorizado intenta
acceder al sistema. Algunos programadores han examinado como funcionan los programas
de informtica forense, y han intentado crear otras aplicaciones que bloquean o atacan a
esos mismos programas. Por este motivo, los investigadores de evidencias informticas
deben ir con cuidado para recuperar datos.
Hay gente que usa este tipo de herramientas para demostrar lo vulnerable y poco fiable que
los datos de un ordenador pueden ser. Si no puedes estar seguro de cuando se creo un
archivo, cuando se accedi a el por ltima vez, o incluso si a llegado a existir, como se
puede justificar en un juicio que es una evidencia o prueba? Mientras que esta pregunta es
complicada, muchos pases aceptan evidencias informticas en juicios, aunque los
estndares cambian de un pas a otro.
Herramientas en la informtica forense
Los programadores han creado muchas aplicaciones para la informtica forense. En
muchos casos, su uso dependo de los presupuestos que tenga el departamento que est
haciendo la investigacin y la experiencia que se tiene. A continuacin mostraremos unos
cuantos programas y dispositivos que hacen posible el anlisis de un sistema informtico en
caso de un supuesto delito:
El software de imagen de disco graba la estructura y contendido de un disco duro. Con este
software, no solo es posible copiar la informacin del disco,
Daniel Ricardo Torres Torres-3112678160-seqrityinfforense@[Link]
�SEQRITYINFFORENSE-CURSO VIRTUAL-NIVEL BSICO
sino preservar la manera en que los ficheros estn organizados y su relacin con los otros
archivos del sistema. El software o hardware de escritura, copian y reconstruyen los discos
duros bit a bit. Tanto las herramientas software como hardware eluden cambiar cualquier
informacin. Algunas herramientas requieren que los investigadores retiren los discos duros
del ordenador del sospechoso antes de hacer una copia. Las herramientas de hashing hacen
comparaciones de los discos duros originales a las copias. Analizan los datos y las asignan
un nmero nico. Si los nmeros encriptados del original y la copia coinciden, la copia es
una rplica perfecta del original.
Los investigadores utilizan programas de recuperacin de archivos para buscar y restaurar
datos borrados. Estos programas localizan los datos que el ordenador a marcado como
eliminados pero que aun no han sido sobrescritos. Algunas veces esto resulta en un archivo
incompleto, lo cual puede ser mucho ms difcil de analizar. Hay varios programas diseados
para preservar la informacin en la memoria RAM de un ordenador. De forma distinta a un
disco duro, los datos en la RAM dejan de existir cuando alguien apaga el ordenador. Si el
software adecuado, esta informacin puede perderse fcilmente. El software de anlisis
revisa toda la informacin en el disco duro buscado contenido especfico. Al poder los
ordenadores modernos, tener mucha capacidad de almacenamiento, es difcil y tedioso
buscar archivos manualmente. Por ejemplo, algunos programas de anlisis buscan y
evalan las cookies de Internet, lo cual pueden decir al investigador cosas sobre la actividad
del sospechoso en la red. Otros programas permiten a los investigadores buscar un tipo
determinado de contenido que los investigadores estn buscando. El software decodificador
de informacin encriptada y los famosos programas para craquear contraseas son muy
utilizados y tiles para acceder a los datos protegidos. Los investigadores utilizan varios
programas de este tipo, los cuales se actualizan cada poco tiempo.
Estas herramientas son tiles siempre y cuando los investigadores sigan los procedimientos
correctos. De otra manera, un abogado podra sugerir que cualquier evidencia encontrada
en un equipo informtico no es fiable. Por supuesto, hay gente que dice que ninguna de
estas pruebas son fiables al cien por cien.
Daniel Ricardo Torres Torres-3112678160-seqrityinfforense@[Link]
�This document was created with Win2PDF available at [Link] The unregistered version
of Win2PDF is for evaluation or non-commercial use only. This page will not be added after purchasing
Win2PDF.
