Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Dos PDF
Dos PDF
Introducción a la
informática forense
Jeimy J. Cano, Ph.D, CFE
E
l constante reporte de vul- donde se llevaron a cabo las acciones
nerabilidades en sistemas catalogadas como criminales. En
de información, el aprove- este momento, es preciso establecer
chamiento de fallas bien un nuevo conjunto de herramientas,
sea humanas, procedimentales o tec- estrategias y acciones para descubrir
nológicas sobre infraestructuras de en los medios informáticos, la evi-
computación en el mundo, ofrecen dencia digital que sustente y verifi-
un escenario perfecto para que se que las afirmaciones que sobre los
cultiven tendencias relacionadas con hechos delictivos se han materializa-
intrusos informáticos. [KSHETRI do en el caso bajo estudio.
2006, SUNDT 2006] Estos intrusos
poseen diferentes motivaciones, La informática forense hace enton-
alcances y estrategias que descon- ces su aparición como una disciplina
ciertan a analistas, consultores y auxiliar de la justicia moderna, para
cuerpos de especiales de investiga- enfrentar los desafíos y técnicas de
ciones, pues sus modalidades de ata- los intrusos informáticos, así como
que y penetración de sistemas varían garante de la verdad alrededor de la
de un caso a otro. evidencia digital que se pudiese
aportar en un proceso.
A pesar del escenario anterior, la cri-
minalística nos ofrece un espacio de En consecuencia, este breve docu-
análisis y estudio hacia una reflexión mento busca ofrecer un panorama
profunda sobre los hechos y las evi- general de esta especialidad técnico-
dencias que se identifican en el lugar legal, para ilustrar a los lectores
64 Sistemas
sobre los fundamentos generales y sentación de las pruebas en el con-
bases de actuación de aquellos que texto de la situación bajo inspección.
se han dedicado a procurar el escla-
recimiento de los hechos en medios Iniciemos con computer forensics,
informáticos, unos nuevos científi- cuya traducción por lo general se
cos que a través de la formalidad de hace como computación forense.
los procesos y la precisión de la téc- Esta expresión podría interpretarse
nica buscan decirle a los intrusos de dos maneras: 1. Disciplina de las
informáticos que están preparados ciencias forenses, que considerando
para confrontarlos y procesarlos. las tareas propias asociadas con la
evidencia, procura descubrir e inter-
Definiciones pretar la información en los medios
informáticos para establecer los
Existen múltiples definiciones a la hechos y formular las hipótesis rela-
fecha sobre el tema forense en infor- cionadas con el caso; o 2. Como la
mática [MCKEMMISH 1999]. Una disciplina científica y especializada
primera revisión nos sugiere diferen- que entendiendo los elementos pro-
tes términos para aproximarnos a pios de las tecnologías de los equi-
este tema, dentro de los cuales se tie- pos de computación ofrece un
nen: computación forense, digital análisis de la información residente
forensics (forensia digital), network en dichos equipos.
forensics (forensia en redes), entre
otros. Este conjunto de términos Estas dos definiciones no son exclu-
puede generar confusión en los dife- yentes, sino complementarias. Una
rentes ambientes o escenarios donde de ellas hace énfasis en las conside-
se utilice, pues cada uno de ellos raciones forenses y la otra en la espe-
trata de manera particular o general cialidad técnica, pero en últimas
temas que son de interés para las ambas procuran el esclarecimiento e
ciencias forenses aplicadas en interpretación de la información en
medios informáticos. los medios informáticos como valor
fundamental, uno para la justicia y
Es importante anotar, que al ser esta otro para la informática.
especialidad técnica un recurso
importante para las ciencias forenses Cuando se habla de network foren-
modernas, asumen dentro de sus pro- sics, forensia en redes, estamos en un
cedimientos las tareas propias aso- escenario aún más complejo, pues es
ciadas con la evidencia en la escena necesario comprender la manera
del crimen como son: identificación, como los protocolos, configuracio-
preservación, extracción, análisis, nes e infraestructuras de comunica-
interpretación, documentación y pre- ciones se conjugan para dar como
Sistemas 65
resultado un momento específico en Como hemos revisado, las definicio-
el tiempo y un comportamiento par- nes abordan aspectos generales y
ticular. Esta conjunción de palabras específicos que convergen en todos
establece un profesional que enten- los casos hacia la identificación, pre-
diendo las operaciones de las redes servación, extracción, análisis, inter-
de computadores, es capaz, siguien- pretación, documentación y
do los protocolos y formación crimi- presentación de evidencia digital
nalística, de establecer los rastros, para detallar, validar y sustentar las
los movimientos y acciones que un hipótesis que sobre un evento se
intruso ha desarrollado para concluir hayan formulado. No obstante lo
su acción. A diferencia de la defini- anterior, es pertinente anotar que
ción de computación forense, este aquellos dedicados a esta disciplina
contexto exige capacidad de correla- emergente como la informática
ción de evento, muchas veces dis- forense, deben ser profesionales no
yuntos y aleatorios, que en equipos con altos niveles de ética y respeto
particulares, es poco frecuente. por las instituciones, sino con los
más altos niveles, pues en ellos esta
Finalmente, digital forensics, foren- el soporte de las decisiones que
sia digital, trata de conjugar de sobre los hechos analizados se
manera amplia la nueva especiali- tomen.
dad. Podríamos hacer semejanza con
informática forense, al ser una forma Evidencia digital
de aplicar los conceptos, estrategias
y procedimientos de la criminalística De acuerdo con el HB:171 2003
tradicional a los medios informáticos Guidelines for the Management of
especializados, con el fin de apoyar a IT Evidence, la evidencia digital es:
la administración de justicia en su "cualquier información, que sujeta a
lucha contra los posibles delincuen- una intervención humana u otra
tes o como una disciplina especiali- semejante, ha sido extraída de un
zada que procura el esclarecimiento medio informático". En este sentido,
de los hechos (¿quién?, ¿cómo?, la evidencia digital, es un término
¿dónde?, ¿cuándo?, ¿porqué?) de utilizado de manera amplia para des-
eventos que podrían catalogarse cribir "cualquier registro generado
como incidentes, fraudes o usos por o almacenado en un sistema
indebidos bien sea en el contexto de computacional que puede ser utiliza-
la justicia especializada o como do como evidencia en un proceso
apoyo a las acciones internas de las legal".
organizaciones en el contexto de la
administración de la inseguridad En este sentido el documento men-
informática. cionado establece que la evidencia
66 Sistemas
digital puede ser dividida en tres 3.Es duplicable
categorías a saber: 4.Es alterable y modificable
68 Sistemas
mentos allegados al caso y en poder
del investigador, debe responder a
una diligencia y formalidad especia-
les para documentar cada uno de los
eventos que se han realizado con la
evidencia en su poder. Quién la
entregó, cuándo, en qué estado,
cómo se ha transportado, quién ha
tenido acceso a ella, cómo se ha
efectuado su custodia, entre otras,
son las preguntas que deben estar
claramente resueltas para poder dar
cuenta de la adecuada administra-
ción de las pruebas a su cargo.
Sistemas 69
investigador mantenga un ejercicio los medios informáticos. Sin embar-
de autoevaluación de sus pro- go, es preciso comentar que éstas
cedimientos, para contar con la requieren de una formalidad adicio-
evidencia de una buena práctica de nal que permita validar tanto la con-
investigaciones forenses, de tal fiabilidad de los resultados de la
manera que el ciclo de calidad: aplicación de las mismas, como la
PHVA - Planear, Hacer, Verificar y formación y conocimiento del inves-
Actuar, sea una constante que per- tigador que las utiliza. Estos dos ele-
mita incrementar la actual con- mentos hacen del uso de las herra-
fiabilidad de sus procedimientos y mientas, una constante reflexión y
cuestionar sus prácticas y técnicas cuestionamiento por parte de la
actuales para el mejoramiento de su comunidad científica y práctica de la
ejercicio profesional y la práctica de informática forense en el mundo.
la disciplina.
Dentro de las herramientas frecuen-
Herramientas temente utilizadas en procedimien-
tos forenses en informática detalla-
Hablar de informática forense sin mos algunas para conocimiento
revisar algunas ideas sobre herra- general de los lectores, que son apli-
mientas es hablar en un contexto teó- caciones que tratan de cubrir todo el
rico de procedimientos y formalida- proceso en la investigación forense
des legales. Las herramientas infor- en informática:
máticas, son la base esencial de los ENCASE - http://www.encase.com/
análisis de las evidencias digitales en products/ef_index.asp
7 0 Sistemas
abierto (entre otras, Sleuth Kit - cias forenses aplicadas a los medios
http://www.sleuthkit.org/, Coroner informáticos. Dentro de los temas
Toolkit seleccionados están:
Retos
7 2 Sistemas
La informática forense es la respues- mento.shtml?x=728
ta natural del entorno digital y de la TAYLOR, R., CAETI, T., KALL LOPER,
D., FRITSCH, E y LIEDERBACH, J.
sociedad de la información para res- (2006) Digital crime and digital terro-
ponder a la creciente ola de inciden- rism. Pearson Prentice Hall. Cap. 11 y
tes, fraudes y ofensas (en medios 12.
informáticos y a través de medios WILSON, A. (2003) Investigation by
informáticos) con el fin de enviar un computer. Digital evidence - data in the
box!. Association of Certified Fraud
mensaje claro a los intrusos: estamos Examiners. Proceedings of 14th Annual
preparados para responder a sus Fraud Conference. Chicago, IL.
acciones y continuamos aprendiendo August.
para dar con la verdad de sus accio- BRUNGS, A y JAMIESON, R. (2003)
nes. Legal issues for computer forensics.
Proceedings for 14th Australasian
Conference on Information Systems.
Referencias Perth, Western Australia. November.
WHITE, D., REA, A., MCKENZIE, B y
KSHETRI, N. (2006) The simple econo- GLORFLED, L. (2004) A model and
mics of cybercrime. IEEE Security & guide for an introductory computer
Privacy. January/February. security forensic course. Proceedings
SUNDT, C. (2006) Information security of the Tenth Americas Conference on
and the law. Information Security Tech- Information Systems, New York, New
nical Report. Vol.2 No.9 York, August.
CANO, J. (2006) Estado del arte del MCKEMMISH, R. (1999) What is
peritaje informático en Latinoamérica. forensic computing?. Australian Insti-
Alfa- REDI. Disponible en: tute of Criminology. Issues and Trends
http://www.alfa-redi.org/ar-dnt-docu- in crime and criminal justice. No. 118.
Jeimy J. Cano, Ph.D, CFE. Es egresado del Programa de Ingeniería y Maestría en Sis-
temas y Computación de la Universidad de Los Andes. Cuenta con un doctorado en Filo-
sofía de la Administración de Negocios, título otorgado por Newport University en
California, Estados Unidos. Además de una certificación como Examinador Certificado de
Fraude - en inglés CFE. Es profesor e investigador a nivel nacional y latinoamericano en
temas de seguridad informática, computación forense y sistemas de información. Actual-
mente, es Presidente de la Asociación Colombiana de Ingenieros de Sistemas (ACIS).
Sistemas 7 3