Está en la página 1de 8

Curso de informtica forense Qu es y como funciona?

El propsito de las tcnicas informticas forenses, es buscar, preservar y analizar informacin en sistemas de ordenadores para buscar evidencias potenciales de un delito. Muchos de las tcnicas usadas por detectives en escenarios de crimen, tiene su contrapartida digital en la informtica forense, aunque hay algunos aspectos nicos en la investigacin basada en ordenadores. Por ejemplo, simplemente abrir un archivo, cambia ese archivo el ordenador recuerda la hora y fecha en el que fue accedido. Si un detective coge un ordenador y comienza a abrir archivos y ficheros, no habr manera de poder decir si cambiaron algo. Si un caso de piratera informtica llegara a juicio, no tendra validez como prueba al haber alterado y modificado el estado del sistema informtico. Algunas personas creen que usar informacin digital como una evidencia, es un mala idea. Si es tan fcil cambiar datos en un ordenador, Cmo puede usarse como una prueba fiable? Muchos pases permites pruebas informticas en juicio y procesos, pero esto podra cambiar si se demuestra en futuros casos que no son de confianza. Los ordenadores cada vez son ms potentes, por lo que los campos dentro de la informtica forense tienen que evolucionar constantemente. En lo tempranos das de la informtica, era posible para un solo detective, navegar a travs de los ficheros de un equipo ya que la capacidad de almacenamiento era mucho ms baja. Hoy en da, los discos duros de un ordenador pueden contener gigabytes o incluso terabytes de informacin, por lo que la tarea de investigacin puede ser compleja. Los expertos en informtica forense deben encontrar nuevas maneras de buscar evidencias, sin tener que dedicar demasiados recursos en el proceso.

Conceptos bsicos de la informtica forense El campo de la informtica forense es relativamente joven. Hace muchos aos, las cortes consideraban las evidencias encontradas en los ordenadores, no muy diferentes a las evidencias convencionales. Segn los ordenadores fueron avanzando, mejorando y siendo

ms sofisticados, se dieron cuenta que estas evidencias podan ser fciles de corromper, destruir o cambiar. Los investigadores pensaron que haba una necesidad de desarrollar herramientas especficas y procesos para buscar evidencias de delito en un ordenador, sin afectar a la propia informacin que hubiera almacenada. Los expertos en esta tecnologa, se aliaron con cientficos especializados en computadoras para discutir los procedimientos y herramientas apropiadas que se podran utilizar para esta tarea. Poco a poco, se fueron asentando las bases para crear la nueva informtica forense. Normalmente, los detectives informticos usan una orden para hacer bsquedas en ordenadores de gente sospechosa. Esta orden debe incluir donde pueden buscar los detectives, y que clase de pruebas estn buscando. En otras palabras, no pueden simplemente dar pedir una orden y buscar todo lo que quieran para cualquier cosa. Esta orden no puede ser demasiado general. Muchos jueces requieren que se sea lo ms especfico posible cuando se pide una de estas garantas. Por esta razn, es importante para los detectives informticos saber todo lo posible sobre el sospechoso antes de pedir una orden. Considera este ejemplo: Un investigador informtico pide una orden par investigar un ordenador porttil de un sospechoso. Llega a la casa del sospechoso y le entrega la orden. Mientras est en la casa, se da cuenta que hay un ordenador de sobremesa. El investigador no puede legalmente hacer una bsqueda en ese PC porque no estaba en la orden original. Cada lnea de investigacin en un ordenador es de algn modo nica. Algunas puede llevar solo una semana, pero otras puede llevar meses. Aqu hay algunos factores que pueden impactar lo extenso de la investigacin:

La experiencia de los investigares informticos. El nmero de ordenadores que se estn investigando. La cantidad de informacin que se debe clasificar a travs de los discos duros, DVDs, CDs, u otros mtodos de almacenamiento. Si los sospechosos han intentado o no ocultar o borrar la informacin. La presencia de archivos encriptados o ficheros protegidos por contraseas.

Fases en una investigacin de informtica forense


El cientfico en computadoras y experto reconocido en informtica forense, Judd Robbins, nos da una lista de los pasos que deberan seguir los investigadores para recuperar evidencias en un ordenador sospechoso de tener pruebas delictivas. Por supuesto, cada grupo de investigadores, dependiendo del cuerpo y el pas, tendrn variaciones sobre los mtodos a utilizar, pero el mtodo de Robbins est mundialmente reconocido:

Asegurar el sistema informtico para mantener el equipo y los datos a salvo. Esto significa que los investigadores deben asegurarse de que individuos no autorizados puedan acceder al ordenador, o a los dispositivos de almacenamiento dentro de la investigacin. Si el sistema informtico se conecta a Internet, dicha conexin debe ser cancelada. Se debe encontrar todos los ficheros y archivos del sistema, incluyendo aquellos que estn encriptados, protegidos con contrasea, escondidos o borrados, pero que no estn todava sobrescritos. Los investigadores deben hacer una copia de todos los archivos del sistema. Con esto queremos decir, tanto del disco duro como todos los dems dispositivos que puedan almacenar informacin. Al poder alterar un archivo cuando accedemos a el, es importante para los investigadores trabajar solamente con copias mientras se busca evidencias. El sistema original debe permanecer intacto.

Hay que recuperar toda la informacin borrada que se pueda, usando aplicaciones que pueden detectar dicha informacin y hacerla disponible de nuevo para su visionado. Se debe revelar el contenido de ficheros y archivos ocultos, con programas espacialmente diseados para esta funcin. Desencriptar y acceder a informacin protegida. Analizar reas especiales de los discos del ordenador, incluyendo las partes que normalmente no estn accesibles. En trminos de informtica, el espacio no usado en los discos de un ordenador, se llama espacio no localizado. Dicho espacio podra contener archivos o partes de ficheros que son relevantes al caso. Hay que documentar cada paso del procedimiento. Es importante para los investigadores mostrar pruebas de que sus investigaciones han preservado toda la informacin del sistema informtico sin cambiar o daar nada. Puede pasar aos entre una investigacin y el juicio, y sin la documentacin apropiada, puede que las pruebas no sean admisibles. Robbins dice que la documentacin no solo debera incluir los archivos y los datos recuperados del sistema, sino tambin un informe de la condicin fsica del sistema, y si algn dato estaba encriptado u oculto.

Todos estos pasos son importantes, pero el primero es crtico. Si los investigadores no pueden probar que han asegurado su sistema informtico, las evidencias encontradas podran no valer de nada. Es un trabajo complejo. En los primeros aos en la historia del ordenador, el sistema poda incluir solo un PC y unos cuantos disquetes. Hoy en da, puede

incluir varios ordenadores, discos, dispositivos externos de almacenamiento, perifricos, y servidores Web. Los que comenten delitos informticos, han encontrado maneras de hacer ms difcil el seguimiento de los investigadores para que puedan encontrar informacin. Usan programas y aplicaciones conocidas como anti-forenses. Los investigadores deben conocer estas herramientas de software, y saber como deshabilitarlas sin quieren tener xito accediendo a la informacin. En la siguiente seccin de este curso rpido sobre informtica forense, veremos en qu consisten estos programas anti-forenses.

Herramientas anti forensics


Este tipo de herramientas puede ser la pesadilla de un investigador de delitos informticos. Los programadores disean las herramientas anti forenses para hacer difcil o casi imposible recuperar informacin durante una investigacin. Esencialmente, las tcnicas anti forensics se refieren a cualquier mtodo, artilugio o software designado para frustrar una investigacin informtica. Hay docenas de maneras para que la gente oculte la informacin. Algunos programas pueden engaar a los ordenadores cambiando la informacin en las cabeceras de los archivos. Una cabecera de archivo es normalmente invisible a las personas, pero es extremadamente importante - le dice al ordenador a qu tipo de fichero est asociado el archivo. Para poner un ejemplo, si renombras un archivo avi con una extensin de fichero .JPG, el ordenador todava sabr que el archivo es realmente un avi por la informacin en la cabecera. Como se ha dicho, algunos programas permites cambiar datos en la cabecera para que el ordenador crea que es otro tipo de fichero. Los investigadores buscando algn tipo de archivo en particular, pueden saltarse evidencias importantes porque pareca que no era relevante. Otros programas pueden dividir archivos en pequeas secciones, y esconder cada seccin al final de otros archivos. Los archivos suelen tener espacio no usado, y con el software adecuado se pueden esconder archivos aprovechndose de este espacio libre. Es realmente complicado recuperar y volver a unir toda esta informacin diseminada en partes. Es tambin posible esconder un archivo en otro. Los ficheros ejecutables que son ficheros que el ordenador reconoce como programas son particularmente problemticos. Programas llamados empaquetadores pueden insertar estos ejecutables en otros tipos de archivos, mientras que hay otras aplicaciones que pueden fundir mltiples ejecutables en uno solo. La encriptacin es otro modo de ocultar los datos. Cuando encriptas datos, se usa un completo conjunto de reglas llamado algoritmo para hacer los datos incomprensibles. Por ejemplo, un algoritmo de este tipo puede hacer que un fichero de texto se convierta en un cmulo de nmeros y smbolos sin sentido. Una persona que quiera leer los datos, necesitar una llave o clave para volver a convertir esos nmeros y smbolos en texto leble de nuevo. Sin las claves de desencriptacin, los investigadores necesitarn programas especiales designados para romper el algoritmo de encriptacin del archivo. Cuanto ms sofisticado sea el algoritmo, mas tiempo se tardar en hacer la desencriptacin. Otras herramientas anti forensics pueden cambiar las etiquetas anexionadas a los archivos. Estas etiquetas o metadata, incluyen informacin como por ejemplo, cuando se creo un fichero o fue alterado. Normalmente no puedes cambiar esta informacin, pero cierto software si permite alterar estas etiquetas. Imagina que se descubre un fichero y descubrir que no va a existir hasta los prximos dos aos, y que fue accedido por ltima vez en el siglo pasado. Si estas etiquetas se ven comprometidas, hace ms difcil que se pueden utilizar como pruebas.

Algunas aplicaciones de ordenador borrarn datos su un usuario no autorizado intenta acceder al sistema. Algunos programadores han examinado como funcionan los programas de informtica forense, y han intentado crear otras aplicaciones que bloquean o atacan a esos mismos programas. Por este motivo, los investigadores de evidencias informticas deben ir con cuidado para recuperar datos. Hay gente que usa este tipo de herramientas para demostrar lo vulnerable y poco fiable que los datos de un ordenador pueden ser. Si no puedes estar seguro de cuando se creo un archivo, cuando se accedi a el por ltima vez, o incluso si a llegado a existir, como se puede justificar en un juicio que es una evidencia o prueba? Mientras que esta pregunta es complicada, muchos pases aceptan evidencias informticas en juicios, aunque los estndares cambian de un pas a otro.

Herramientas en la informtica forense


Los programadores han creado muchas aplicaciones para la informtica forense. En muchos casos, su uso dependo de los presupuestos que tenga el departamento que est haciendo la investigacin y la experiencia que se tiene. A continuacin mostraremos unos cuantos programas y dispositivos que hacen posible el anlisis de un sistema informtico en caso de un supuesto delito:

El software de imagen de disco graba la estructura y contendido de un disco duro. Con este software, no solo es posible copiar la informacin del disco, sino preservar la manera en que los ficheros estn organizados y su relacin con los otros archivos del sistema. El software o hardware de escritura, copian y reconstruyen los discos duros bit a bit. Tanto las herramientas software como hardware eluden cambiar cualquier informacin. Algunas herramientas requieren que los investigadores retiren los discos duros del ordenador del sospechoso antes de hacer una copia. Las herramientas de hashing hacen comparaciones de los discos duros originales a las copias. Analizan los datos y las asignan un nmero nico. Si los nmeros encriptados del original y la copia coinciden, la copia es una rplica perfecta del original.

Los investigadores utilizan programas de recuperacin de archivos para buscar y restaurar datos borrados. Estos programas localizan los datos que el ordenador a marcado como eliminados pero que aun no han sido sobrescritos. Algunas veces esto resulta en un archivo incompleto, lo cual puede ser mucho ms difcil de analizar.

Hay varios programas diseados para preservar la informacin en la memoria RAM de un ordenador. De forma distinta a un disco duro, los datos en la RAM dejan de existir cuando alguien apaga el ordenador. Si el software adecuado, esta informacin puede perderse fcilmente. El software de anlisis revisa toda la informacin en el disco duro buscado contenido especfico. Al poder los ordenadores modernos, tener mucha capacidad de almacenamiento, es difcil y tedioso buscar archivos manualmente. Por ejemplo, algunos programas de anlisis buscan y evalan las cookies de Internet, lo cual pueden decir al investigador cosas sobre la actividad del sospechoso en la red. Otros programas permiten a los investigadores buscar un tipo determinado de contenido que los investigadores estn buscando. El software decodificador de informacin encriptada y los famosos programas para craquear contraseas son muy utilizados y tiles para acceder a los datos protegidos. Los investigadores utilizan varios programas de este tipo, los cuales se actualizan cada poco tiempo.

Estas herramientas son tiles siempre y cuando los investigadores sigan los procedimientos correctos. De otra manera, un abogado podra sugerir que cualquier evidencia encontrada en un equipo informtico no es fiable. Por supuesto, hay gente que dice que ninguna de estas pruebas son fiables al cien por cien.