INFORMÁTICA FORENSE

1. EVIDENCIA DIGITAL.

Las evidencias digitales son todas aquellas pruebas, evidencias y hechos

recogidos, producidos o almacenados a través de los medios informáticos y
las nuevas tecnologías. Cualquier dato que pueda ser relacionado con un
delito, la víctima o el autor.

Es necesario que contemos con el apoyo de profesionales si necesitamos

utilizar las evidencias digitales para un procedimiento judicial. Los peritos
informáticos forenses son los responsables de la obtención de estas para
que se considere que poseen un valor real.[ CITATION Inf20 \l 16394 ]

2. PROCESAMIENTO DE DATOS.

El procesamiento de datos se produce cuando se recaban datos y se

traducen a información utilizable. Suelen ocuparse los científicos de datos,
solos o en equipo, y es importante que el procesamiento se realice
correctamente para no afectar negativamente al producto final o los
resultados obtenidos a partir de los datos.

El procesamiento empieza con datos en su forma en bruto y los convierte a

un formato más legible (gráficos, documentos, etc.), dándoles la forma y el
contexto necesarios para que los ordenadores los interpreten y los
empleados los utilicen en toda una organización. [ CITATION Tal211 \l 16394 ]

3. VOLATILIDAD DE DATOS.

Los datos volátiles son aquellos que se almacenan en la memoria del

sistema (por ejemplo, registros de sistema, caché, memoria RAM) y se
pierden si el equipo se apaga o reinicia.[ CITATION Jua19 \l 16394 ]
4. IDENTIFICACIÓN DE EVIDENCIA DIGITAL.

Es importante clarificar los conceptos y describir la terminología adecuada

que nos señale el rol que tiene un sistema informático dentro del iter criminis
o camino del delito. Esto a fin de encaminar correctamente el tipo de
investigación, la obtención de indicios y posteriormente los elementos
probatorios necesarios para sostener nuestro caso. Es así que por ejemplo,
el procedimiento de una investigación por homicidio que tenga relación con
evidencia digital será totalmente distinto al que, se utilice en un fraude
informático, por tanto el rol que cumpla el sistema informático determinara
DONDE DEBE SER UBICADA Y COMO DEBE SER USADA LA
EVIDENCIA.[ CITATION San18 \l 16394 ]
5. VALORES HASH.

Las funciones criptográficas hash juegan un papel fundamental en la

criptografía moderna. Hay muchas funciones hash, comúnmente usadas en
aplicaciones no criptográficas. Nosotros nos referiremos siempre a las que
admiten el adjetivo de criptográficas, y las llamaremos habitualmente
simplemente funciones hash. Una función hash, o función resumen, toma un
mensaje como entrada y produce una salida que llamamos código hash, o
resultado hash, o valor hash, o simplemente hash.

La idea básica de las funciones criptográficas hash es que los valores hash
obtenidos con ellas sirven como una imagen representativa y compactada de
una cadena de entrada, y pueden usarse como un posible identificador único
de esa cadena de entrada: ese valor hash obtenido del mensaje de entrada
suele llamarse resumen del mensaje o huella digital del mensaje.

Las funciones hash se emplean en criptografía junto con los criptosistemas

de firma digital para otorgar integridad a los datos. A la hora de firmar
digitalmente un documento o mensaje, es práctica habitual hacer la firma
sobre la huella digital del mensaje y no sobre la totalidad del mensaje a
firmar. [ CITATION Oce21 \l 16394 ]}

6. LABORATORIO FORENSE.

Permite realizar labores de adquisición, investigación y análisis de

evidencias digitales con equipos de última tecnología y con software
especializado. Se cuenta con duplicadores forenses de alta velocidad,
dispositivos de toma de imágenes forenses, bloqueadores de dispositivos, kit
para recuperación de datos, estaciones forenses portátiles y de escritorio,
sistema de almacenamiento centralizado de evidencias digitales y una
infraestructura virtual que soporta todas las labores del laboratorio. [ CITATION
Lab21 \l 16394 ]

7. HARDWARE Y SOFTWARE.

Hasta ahora se han desarrollado las fases del análisis forense de sistemas
centrándonos en la utilización bien herramientas del sistema operativo o las
propias del ToolKit que creamos como parte de nuestro plan de respuestas
ante incidentes, por lo que hemos realizado la investigación de forma
manual.

Pero habrá podido comprobar que una de las dificultades que se encontrará
el investigador a la hora de analizar determinadas evidencias digitales es
que los atacantes emplean cada vez herramientas más sigilosas y
perfeccionadas para realizar sus asaltos. Por lo tanto no estará de más
disponer de un conjunto de herramientas específicas para el análisis de
evidencias que nos ayudaran a completar de forma más eficiente nuestra
investigación.
Dejando a parte el software comercial, en el que podrá encontrar
herramientas específicas como EnCase de la empresa Guidance Software,
considerado un estándar en el análisis forense de sistemas, nos
centraremos en herramientas de código abierto (Open Source) que podrá
descargar libremente desde la página sus correspondientes autores o
miembros del proyecto.

Software de Libre Distribución y Open Source

Vamos a comenzar con una recopilación de herramientas que necesitan ser
ejecutadas bajo un sistema operativo anfitrión, bien sea MS Windows o
UNIX/Linux. The Forensic ToolKit Se trata de una colección de herramientas
forenses para plataformas Windows, creado por el equipo de Foundstone.
Puede descargarlo desde www.foundstone.com, donde además encontrará
gran cantidad de herramientas de seguridad. Este ToolKit le permitirá
recopilar información sobre el ataque, y se compone de una serie
aplicaciones en línea de comandos que permiten generar diversos informes
y estadísticas del sistema de archivos a estudiar. Para poder utilizarlos
deberá disponer de un intérprete de comandos como cmd.exe.

The Sleuth Kit y Autopsy. Este conjunto, cuyo autor es Brian Carrier,
consiste en una colección de herramientas forenses para entornos
UNIX/Linux, que incluye algunas partes del conocido The Coroners ToolKit
(TCT) de Dan Farmer. Puede analizar archivos de datos de evidencias
generadas con utilidades de disco como por ejemplo dd. Pese a ser de libre
distribución (puede descargarlo del sitio Web www.sleuthkit.org) ofrece más
detalle que algunos programas de pago. Incluye funciones como registro de
casos separados e investigaciones múltiples, acceso a estructuras de
archivos y directorios de bajo nivel y eliminados, genera la línea temporal de
actividad de los archivos (timestamp), permite buscar datos dentro de las
imágenes por palabras clave, permite crear notas del investigador e incluso
genera informes... y mucho más. Este ToolKit puede funcionar
conjuntamente con el Autopsy Forensic Browser, consistente en una interfaz
gráfica que le facilitará notablemente su labor a la par que le permitirá
generar vistosos salidas gráficas para sus informes.

HELIX CD. Se trata de un liveCD de respuesta ante incidentes, basado en la

distribución Linux Denominado Knoppix (que a la vez esta denominado en
Debian). Posee la mayoría de las herramientas necesarias para realizar
análisis forense tanto de equipos como de imágenes de discos. Puede
descargarlo http://www.e-fense.com/helix/. de herramientas y ToolKits,
alguno de ellos comentados anteriormente como el leuth Kit y Autopsy. Se
trata de un Live CD de respuesta ante incidentes, basado en una distribución
Linux denominada Knoppix (que a su vez está basada en Debian). Posee la
mayoría de las herramientas necesarias para realizar un análisis
gratuitamente de: http://www.e-fense.com/helix/

Este CD ofrece dos modos de funcionamiento, tras ejecutarlo nos permitirá

elegir entre arrancar un entorno MS Windows o uno tipo Linux. En el primero
de ellos disponemos de un entorno con un conjunto de herramientas, casi 90
Mb, que nos permitirá principalmente interactuar con sistemas “vivos”,
pudiendo recuperar la información volátil del sistema. En el arranque Linux,
disponemos de un Sistema Operativo completo, con un núcleo modificado
para conseguir una excelente detección de hardware, no realiza el montaje
de particiones swap, ni ninguna otra operación sobre el disco duro del
equipo sobre el que se arranque. Es ideal para el análisis de equipos
“muertos”, sin que se modifiquen las evidencias pues montará los discos que
encuentre en el sistema en modo sólo lectura. Además de los comandos de
análisis propios de los entornos UNIX/Linux, se han incorporado una lista
realmente

F.I.R.E. Linux. Se trata de otro CD de arranque que ofrece un entorno para

respuestas a incidentes y análisis forense, compuesto por una distribución
Linux a la que se le han añadido una serie de utilidades de seguridad, junto
con un interfaz gráfico que hace realmente fácil su uso. Al igual que el kit
anterior, por su forma de montar los discos no realiza ninguna modificación
sobre los equipos en los que se ejecute, por lo que puede ser utilizado con
seguridad. Este live CD está creado y mantenido por William Salusky y
puede descargarse gratuitamente desde la dirección http:
//biatchux.dmzs.com. En esta interesantísima distribución podrá disponer de
una serie de funcionalidades que le aportará muchas ventajas en su análisis.
[ CITATION Mig07 \l 16394 ]