Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Información
almacenada o Binaria Prueba
transmitida
Evidencia
Proceso
• Ciencia Legal
• Arte
Forense
Digital
Una ciencia
Porque aplicamos procedimientos y técnicas científicas, realizamos
experimentos y validamos metodologías a aplicar.
Un arte
Porque en muchas ocasiones vamos a depender de nuestro “olfato”
para localizar las evidencias e incluso pensar cómo el “malo” ha
podido realizar la acción que estamos investigando.
¿Qué ha ocurrido?
Para responder a la primera de las preguntas, hay que ser capaz de
detectar los accesos o cambios no autorizados.
Estos cambios no tienen que consistir únicamente en la alteración
física de un archivo (modificándolo o eliminándolo), también debemos
ser capaces de saber qué archivos fueron accedidos, aunque solo se
trate de la lectura y/o copia de los mismos.
¿Cómo se ha producido?
Lo que buscamos al dar respuesta a esta pregunta es reconstruir los
pasos dados por el autor de los hechos para llegar a comprender
cómo hizo lo que hizo y ser capaces de evitar que ataques similares se
repitan en el futuro.
¿Quién es el responsable?
La última de las preguntas plantea el reto de saber quién fue el autor
material de los hechos. Quién ha realizado las modificaciones que
han sido detectadas.
En un Análisis Forense no vamos a poder determinar la persona
física que realizó los hechos, sino que vamos a poder determinar
únicamente el usuario (local o remoto) y/o la dirección IP o MAC de
la máquina desde la cual se realizaron las modificaciones detectadas.
* Aunque la guía es de 2006, estas etapas todavía son las globalmente aceptadas (en
ocasiones con alguna ligera variación) como etapas básicas de un Análisis Forense.
La guía se puede descargar de la página web del NIST:
https://csrc.nist.gov/publications/detail/sp/800-86/final
Recolectar
La recolección de las evidencias es el primer paso que se da a la hora
de realizar un Análisis Forense.
La norma internacional ISO/IEC 27037 divide a su vez esta etapa en
tres partes: identificar, adquirir (nos llevamos sólo la información) o
recolectar (nos llevamos el contenedor de la evidencia) y preservar.
Recolectar
Adquirir /
Identificar Recolectar
Preservar
Procesar
Procesar los datos recopilados y extraer de ellos los elementos de
información pertinentes.
Analizar
Esos elementos de información y obtener de ellos la información
verdaderamente útil para el caso.
En este punto es donde debemos ser capaces de responder a las
preguntas que nos planteábamos antes:
• ¿Qué se ha alterado?
• ¿Cómo se ha alterado?
• ¿Quién ha realizado dicha alteración?
Presentar
En un informe pericial los procedimientos realizados y los resultados
obtenidos. Y, en base a ello, plantear las conclusiones a las que los
peritos han llegado.
Funciones hash
Imaginad que una función hash es como una caja negra.
Por un lado, recibe información (toda la información contenida en un
disco duro o un pendrive, el contenido de un archivo, una cadena de
texto, cualquier tipo de información) y por el otro obtenemos un
resultado en forma de cadena hexadecimal de una longitud fija.
Entre las distintas características presentes en las funciones hash, las
que más nos interesan son:
• Inyectividad
• Un solo sentido
• Determinista
• Resistente a colisiones
* Esto veremos que no es así, ya que, si el rango de valores posibles para la entrada es
infinito pero la salida no lo es (es finita), en algún momento dos entradas distintas
generarán la misma salida.
Disco duro
Pendrive Función
Hash
Archivo hash
Cadena de texto
Función Hash
hash ecc7a952548cfa87de4df2e9a13211
df
Función Hash
hash ecc7a952548cfa87de4df2e9a13211
df
Falsedad en la pericia
Como peritos, tenemos responsabilidad penal:
• Por dolo: Hacer algo a sabiendas de que no es legal.
• Por imprudencia: No tratar la evidencia con el cuidado que se
espera de nosotros.
• Por falta de celo: No realizar nuestro análisis de manera
suficientemente profesional.
Las penas se fijan legalmente en los artículos 458, 459 y 460 del
Código Penal español y abarcan desde nuestra inhabilitación como
profesional hasta penas de cárcel.