Suscríbete a DeepL Pro para poder traducir archivos de mayor tamaño.

Más información disponible en

Universidad Edith Cowan

Investigación en línea

Conferencia australiana sobre ciencia forense digital Conferencias, simposios y eventos

del campus 3-12-2007

Anti-Forensics y el Investigador Digital

Gary C. Kessler
Colegio de Champlain

Siga este y otros trabajos en: https:/ /ro.ecu.edu.au/adf

Parte del Information Security Commons

DOI: 10.4225/75/57ad39ee7ff25
5th Australian Digital Forensics Conference, Edith Cowan University, Perth Western Australia, 3 de diciembre Esta2007.
acta de la conferencia está publicada en Research Online.
https://ro.ecu.edu.au/adf/1
 Anti-Forensics y el Investigador Digital
Gary C. Kessler
Champlain College
Burlington, VT, USA
gary.kessler@champlain.edu

Universidad Edith Cowan

Mount Lawley, WA, Australia

Resumen
Visto de forma genérica, el antiforense (AF) es el conjunto de tácticas y medidas adoptadas por alguien que
quiere frustrar el proceso de investigación digital. Este documento describe algunas de las numerosas
herramientas y métodos de AF, bajo las amplias clasificaciones de ocultación de datos, borrado de artefactos,
ofuscación de rastros y ataques a las propias herramientas forenses. El concepto de AF no es nuevo ni está
destinado únicamente a ser utilizado por la clase criminal; también tiene un uso legítimo por parte de quienes
desean proteger su privacidad. Este documento también introduce el concepto de anticiencia sensible al tiempo,
señalando que los procedimientos de AF podrían emplearse con el único propósito de retrasar, en lugar de
impedir totalmente, el descubrimiento de información digital.

Palabras clave
Antiforense, ocultación de datos, borrado de artefactos, ofuscación de rastros, ataques a herramientas informáticas
forenses, privacidad

INTRODUCCIÓN A LOS ANTIFORENSES

El término antiforense (AF) ha entrado recientemente en la jerga de los investigadores digitales. Aunque
conceptualmente no es nuevo, es instructivo observar que no existe una definición clara en la industria (Harris,
2006). Rogers (2006), educador e investigador forense digital en activo, define la AF como "los intentos de
afectar negativamente a la existencia, cantidad y/o calidad de las pruebas de una escena del crimen, o de
dificultar o imposibilitar el examen de las pruebas". Liu y Brown (2006), creadores en activo de métodos y
herramientas de AF, ofrecen una definición algo más oscura "la aplicación del método científico a los medios
digitales con el fin de invalidar la información de los hechos para su revisión judicial".
El término forense es significativo y bastante específico: todo lo que es AF pertenece al análisis científico de las
pruebas para los tribunales. Por lo tanto, el antiforense es el conjunto de herramientas, métodos y procesos que
dificultan dicho análisis.
Es difícil pensar en algún uso legítimo de los procesos y herramientas de AF. De hecho, la mayoría de los
investigadores digitales -si no todos- consideran que el AF es la perdición de su existencia y que sólo lo utiliza
alguien que tiene algo que ocultar.
Pero el AF también puede ser empleado por la persona que sólo quiere que la dejen en paz. Uno de los primeros
textos sobre informática forense dedicó mucho tiempo al proceso de examen, así como a las formas de frustrar
ese proceso, todo ello en nombre de la privacidad (Caloyannides, 2001). Se puede argumentar que es una línea
muy fina la que separa la protección de la intimidad de la prevención de un registro sancionado por un tribunal,
pero esa línea ha existido durante siglos: sólo con los dispositivos digitales una carta que el escritor quemó bien
en el pasado sigue dando vueltas en un disco duro o en una cinta de copia de seguridad. Y hay quienes
argumentarán que las técnicas de AF pueden proteger a una buena persona de un mal gobierno. Por supuesto,
esas mismas herramientas pueden impedir que un Buen Gobierno investigue a una Mala Persona y ese, por
supuesto, es el problema.
Las leyes, las tradiciones, las costumbres y la cultura afectan a la visión de la sociedad sobre la privacidad.
Muchos países pretenden valorar la intimidad de las personas, pero también reconocen que el "derecho a la
intimidad" -si es que existe ese derecho en una jurisdicción concreta- no es absoluto.

CATEGORÍAS DE MÉTODOS ANTIFORENSES

Gran parte del debate reciente en artículos, conferencias y blogs parece sugerir que las herramientas y los
métodos de AF han aparecido repentinamente (Harris, 2006; Liu y Brown, 2006; Rogers, 2006). Si bien esto es
cierto en algunos casos, también es importante señalar que muchas formas de AF -aunque no hayan sido creadas
para dificultar la detección de pruebas, per se- han existido durante bastante tiempo.
Rogers (2006) sugiere que existen cuatro categorías básicas de AF: ocultación de datos, borrado de artefactos,
ofuscación de pistas y ataques contra el proceso o las herramientas de la informática forense. En esta sección se
ofrecen ejemplos de herramientas y procesos que encajan en estas categorías.
Ocultación de datos
La ocultación de datos puede llevarse a cabo de diversas maneras. La escritura oculta (es decir, la
esteganografía) existe desde hace más de dos mil años. Las herramientas de esteganografía digital han estado
disponibles desde al menos mediados de los años 90 y el software de estego está disponible para casi todos los
sistemas operativos de los ordenadores. Cualquier forma de información digital puede almacenarse dentro de
muchos tipos de archivos portadores, como archivos de imagen, audio, vídeo y ejecutables (StegoArchive.com,
2005).
También se pueden emplear métodos stego de baja tecnología para dificultar la investigación forense
informática. Por ejemplo, una persona puede ocultar una imagen, una tabla o un bloque de texto bajo una imagen
en una presentación gráfica de PowerPoint o Impress. Alternativamente, un bloque de texto blanco sobre un
fondo blanco puede almacenar un mensaje oculto. Los mensajes en código morse pueden incrustarse en una
imagen. Los cifrados nulos forman mensajes seleccionando un patrón predeterminado de letras de una secuencia
de palabras. Se pueden emplear muchas otras formas de estego de baja tecnología que ninguna herramienta
automatizada puede detectar (Kessler, 2004).
Los canales encubiertos en los protocolos de comunicación de datos permiten la comunicación oculta en redes
públicas y privadas. El conjunto de protocolos de control de transmisión/protocolo de Internet (TCP/IP), por
ejemplo, tiene varios puntos débiles que pueden ser explotados para permitir comunicaciones encubiertas. El
concepto de canales encubiertos en los protocolos de red se remonta al menos a 30 años atrás (Ahsan, 2002;
Rowland, 1996).
Existen numerosas formas de ocultar datos, al menos a partir de búsquedas superficiales. Los datos pueden
ocultarse en los espacios libres y no asignados de los discos duros de los ordenadores, así como en los metadatos
de muchos tipos de archivos. El Master Boot Record (MBR), los registros y tablas de controladores de
dispositivos asignados pero no utilizados, las áreas protegidas del sistema y las particiones ocultas (y
posiblemente cifradas) de los discos duros son otros lugares donde se puede ocultar información, así como el
propio chip del Sistema Básico de Entrada/Salida (BIOS) (Budimir y Slay, 2007). Los nombres de archivo
homográficos (en los que se utilizan caracteres no latinos que parecen similares a los latinos en el nombre), el
uso de nombres de ruta muy largos (de más de 256 caracteres) y el uso de caracteres ocultos (por ejemplo, 0xFF)
en los nombres de archivo pueden utilizarse para ocultar datos al sistema operativo. Los datos también se pueden
ocultar en sesiones cerradas en discos compactos, en el espacio de disco de otro usuario en un servidor poco
seguro, o al aire libre utilizando recursos compartidos públicos. Todos estos datos pueden ser encontrados por las
herramientas forenses y por el examinador astuto, pero son más difíciles de encontrar y de explicar al público no
técnico.

Limpieza de artefactos
Las herramientas de borrado de artefactos han estado disponibles durante muchos años. Los programas de
borrado, como BC Wipe, Eraser y PGP Wipe, destruyen los archivos de datos mediante múltiples sobreescrituras
que hacen que cualquier recuperación sea impracticable, si no imposible.
Existe un software de limpieza automática de artefactos que, aparentemente, permite al usuario recuperar espacio
de almacenamiento -y proteger su privacidad- eliminando los archivos temporales innecesarios que abarrotan el
disco duro. Pero programas como Evidence Eliminator, Secure Clean y Window Washer eliminan el historial del
navegador y los archivos de caché, borran ciertos archivos del sistema operativo y limpian el espacio libre y no
asignado. Muchos de estos programas vienen preconfigurados para eliminar los detritus de varios sistemas
operativos y utilidades comunes (por ejemplo, Windows, MS Office, Internet Explorer, AOL Instant Messenger
y Firefox), y tienen complementos adicionales para un gran número de otras aplicaciones comunes (por ejemplo,
Eudora, Picasa, RealAudio y WinZip). Hay muchas guías disponibles que abordan directamente qué archivos
deben limpiarse para dificultar el análisis o hacer que los análisis forenses sean en gran medida inútiles
(Caloyannides, 2001; Geiger y Cranor, 2006).

Por supuesto, las mejores herramientas no se limitan a eliminar los archivos ofensivos, que sería el enfoque
benigno, sino que los borran. Borrar los archivos innecesarios es suficiente para recuperar espacio en el disco;
borrar los archivos ciertamente sugiere que alguien está interesado en algo más que la simple recuperación de
espacio.
Las herramientas de borrado de artefactos dificultan el análisis a los forenses, pero lo cierto es que no son
perfectas. La mayoría de los programas dejan rastros identificables del borrado y muchos no son tan completos
como anuncian, dejando a menudo restos de las mismas cosas que se supone que deben borrar (Geiger y Cranor,
2006).

Ofuscación del camino

La ofuscación de rastros ha sido un problema desde la década de 1970 con la suplantación del inicio de sesión,
seguida en la década de 1980 con la suplantación de direcciones IP y de control de acceso medio (MAC). Los
ataques de denegación de servicio (DoS) y los ataques distribuidos de DoS, muy extendidos desde 1996,
dependen de la suplantación de direcciones IP y han hecho que las intrusiones en la red sean más difíciles de
investigar. De hecho, las defensas contra los ataques DoS/DDoS se han centrado más en la prevención, la
respuesta y la recuperación que en la detección del atacante, aunque se han ideado algunos métodos de rastreo de
IP para seguir los paquetes en la red hasta su origen (Levine y Kessler, 2002). Sin embargo, el llamado
enrutamiento cebolla puede hacer casi imposible el análisis del tráfico de la red (Forte, 2002).
Hay una gran variedad de formas de confundir las investigaciones sobre el correo electrónico. Los
anonimizadores de correo electrónico proporcionan aparentemente servicios de privacidad, impidiendo que un
investigador determine el origen de un mensaje de correo enviado. Colocación de cabeceras falsas,
Los proxies abiertos del Protocolo Simple de Transferencia de Correo (SMTP) y los servidores anónimos de
túneles Secure Shell (SSH) son otros de los mecanismos que pueden añadir complejidad al rastreo de los
orígenes del correo electrónico. Los anonimizadores web ocultan la identidad del usuario de un sitio web y los
conjuntos de herramientas de anonimato, como Tor, pueden paralizar eficazmente una investigación basada en
Internet (Akin, 2003; EFF, 2007).
La ofuscación de rastros también puede lograrse borrando y/o alterando los archivos de registro del servidor y/o
los archivos de eventos del sistema, o alterando las fechas de varios archivos (por ejemplo, usando el toque).
Un hacker de tipo malo que puede entrar en un servidor muy probablemente tiene el conocimiento para ocultar
sus huellas y/o dejar pistas falsas modificando estos archivos.

Ataques contra las herramientas informáticas forenses

Los ataques directos al proceso de la informática forense son el tipo más reciente de AF y potencialmente el más
amenazante. Palmer (2001) describe seis fases en el proceso de la informática forense; todas ellas están abiertas
a los ataques:
1. La identificación se refiere al método por el que un investigador se entera de que hay algún incidente
que investigar. Esta fase puede verse perjudicada por la ocultación del incidente, o por la ocultación del
nexo entre el dispositivo digital y el suceso investigado.
2. La preservación describe los pasos por los que se mantiene la integridad de las pruebas. Esta fase puede
verse socavada si se interrumpe la cadena probatoria o se pone en duda la integridad de las propias
pruebas.
3. La recogida es el proceso por el que se adquieren los datos del medio de prueba. Este paso puede verse
perjudicado si se limita la exhaustividad de los datos que se recogen o si se cuestiona el hardware, el
software, las políticas y los procedimientos mediante los que se recogen las pruebas.
4. El examen aborda la forma de ver los datos de las pruebas. Esta parte del proceso puede verse socavada
si se demuestra que las propias herramientas son inadecuadas, incompletas o no tienen validez
científica.
5. El análisis es el medio por el que el investigador extrae conclusiones de las pruebas. Esta fase se basa
en las herramientas, la destreza investigadora del examinador y el resto de las pruebas encontradas. Si
un caso depende únicamente de las pruebas digitales, la interpretación de las mismas es la parte más
susceptible de ser atacada.
6. La presentación se refiere a los métodos por los que se presentan los resultados de la investigación
digital al tribunal, al jurado o a otros investigadores. Si las pruebas son sólidas, se utilizarán
herramientas y métodos antiforenses para atacar la fiabilidad y el rigor de los informes, o del
examinador.
Los tribunales de todo el mundo han tenido que lidiar durante mucho tiempo con las pruebas científicas y han
tenido que establecer normas sobre lo que es aceptable e inaceptable en este ámbito. En los Estados Unidos, el
principio rector en los tribunales federales y en muchos tribunales estatales se basa en el caso seminal de Daubert
contra Merrell Dow Pharmaceuticals (Tribunal Supremo de los Estados Unidos, 1993). Según Daubert, un juez
puede determinar la admisibilidad de las pruebas científicas basándose en cuatro factores:
 Pruebas: ¿Se puede probar, y se ha probado, el procedimiento?
 Tasa de error: ¿Existe una tasa de error conocida del procedimiento?
 Publicación: ¿Se ha publicado el procedimiento y se ha sometido a una revisión por pares?
 Aceptación: ¿Está el procedimiento generalmente aceptado en la comunidad científica pertinente?
Los procedimientos antiforenses, por tanto, pueden atacar la fiabilidad de las pruebas digitales; si la fiabilidad de
las pruebas puede ponerse en duda con éxito, pierden su valor en un tribunal. De hecho, Van Buskirk y Liu
(2006) afirman que los tribunales parecen haber concedido a los programas informáticos forenses una presunción
de fiabilidad que puede ser inmerecida, y que de hecho entra en conflicto con Daubert.
Ya se han producido ataques con éxito a muchas de las principales herramientas informáticas forenses, como
EnCase, FTK, iLook, SleuthKit y WinHex. Hace años que existen programas que manipulan los directorios
FAT, las tablas de archivos maestros NTFS y los inodos externos, así como programas que escriben en la
holgura de los archivos, alteran las firmas de los archivos y cambian los bits para evadir la detección del hashset
(Rogers, 2006).
Un ejemplo de la tensión entre la comunidad de AF y los proveedores de software queda ejemplificado en un
informe de la conferencia estadounidense2007 Black Hat. En este caso, un grupo presentó los resultados de la
aplicación de varias técnicas de explotación a una serie de aplicaciones informáticas forenses comerciales y de
código abierto (Guidance Software, 2007; Palmer, Newsham, Stamos y Ridder, 2007). Llegaron a la conclusión
de que:
 Los proveedores de software forense no diseñan sus productos para que funcionen en un entorno hostil;
es decir, no suelen crear software que pueda adquirir pruebas de máquinas que hayan sido configuradas
para resistir o falsificar las pruebas durante su adquisición por parte de herramientas forenses conocidas.
  Los desarrolladores de software forense no crean productos debidamente protegidos contra fallos como
desbordamientos de pila, gestión inadecuada de páginas de memoria y fugas de manejo de excepciones
inseguras.
 Los usuarios de software forense no aplican criterios suficientemente sólidos para la evaluación de los
productos que compran. De hecho, la mayoría de los laboratorios de informática forense compran el
software que "todo el mundo" utiliza y no realizan pruebas independientes de fiabilidad, exhaustividad
y veracidad, sobre todo cuando salen nuevas versiones del software.
Si el objetivo de los antiforenses es dejar sin efecto las pruebas digitales, poner en duda la eficacia de las propias
herramientas que utilizamos para encontrar, analizar, examinar e informar sobre estas pruebas tendrá un efecto
escalofriante en toda la comunidad de investigación digital. En última instancia, el examinador informático
puede encontrar todas las pruebas presentes e interpretarlas correctamente, pero si no se cree en el tribunal, todo
el ejercicio carece de sentido.

ASPECTOS ADICIONALES DE LOS ANTIFORENSES

El proyecto Metasploit
El Proyecto Metasploit es una colaboración de código abierto con el objetivo declarado de proporcionar
información a las comunidades de investigación de pruebas de penetración, desarrollo de firmas de sistemas de
detección de intrusiones (IDS) y explotación de sistemas de información (Metasploit LLC, 2007b). El proyecto
Metasploit Anti-Forensics (Metasploit LLC, 2007a), en particular, tiene el objetivo declarado de investigar las
deficiencias de las herramientas forenses informáticas, mejorar el proceso forense digital y validar las
herramientas y procesos forenses. Uno de los resultados de este proyecto ha sido el Metasploit Anti-Forensic
Investigation Arsenal (MAFIA), un conjunto de programas que incluye:
 Sam Juicer -- Un programa que adquiere los hashes del archivo Security Access Manager (SAM) de NT
sin tocar el disco duro
 Slacker -- Un programa para ocultar archivos dentro del espacio de holgura de los archivos NTFS
 Transmogrify -- "Derrota" las capacidades de detección de firmas de archivos de EnCase permitiendo al
usuario enmascarar y desenmascarar archivos como cualquier tipo de archivo
 Timestomp -- Un programa que altera los cuatro tiempos de los archivos del Sistema de Archivos NT
(NTFS): modificación, acceso, creación y actualización de la entrada del archivo (los llamados tiempos
MACE)
Estas herramientas representan una combinación de una demostración de capacidad tanto como de formas
prácticas en las que un usuario puede confundir los exámenes forenses digitales; los autores del software
reconocen que el software no lleva necesariamente el proceso de AF a la n-ésima potencia. Timestomp, por
ejemplo, modifica sólo los tiempos MACE almacenados en el atributo $STANDARD_INFORMATION de un
archivo y los que no están en el atributo $FILE_NAME, dejando así algún indicador de actividad sospechosa.
Sin embargo, es sólo una pequeña modificación del programa para hacerlos más exhaustivos (Liu & Brown,
2006).
Aunque las herramientas de la MAFIA están demostrando su eficacia, también pueden utilizarse para otros fines,
como ocultar las pruebas incriminatorias de un culpable o colocar pruebas incriminatorias en el disco de un
inocente.

Criptografía
La criptografía, en cierto modo, es la herramienta antiforense definitiva. Y, por supuesto, no es nueva: las
herramientas criptográficas han dificultado, y seguirán haciéndolo, las investigaciones digitales. La criptografía
es quizás la herramienta antiforense más problemática porque es fácil de emplear para el usuario general y, una
vez activada, requiere un mantenimiento o atención mínimos por parte del usuario. Dicho esto, muchas
aplicaciones utilizan un cifrado débil que puede ser fácilmente derrotado (por ejemplo, Wired Equivalent
Privacy [WEP]) o los usuarios pueden no gestionar bien sus claves.
La criptoprotección tiene varias variantes. Muchas aplicaciones, como Adobe Acrobat, MS Office y WinZIP,
ofrecen mecanismos para que los usuarios puedan proteger con contraseña y/o cifrar archivos individuales.
Pretty Good Privacy (PGP) encripta los correos electrónicos desde principios de los años 90. Los sistemas de
archivos cifrados y el cifrado de todo el disco (por ejemplo, PGP Desktop, SafeBoot, Vista con BitLocker y
Windows EFS) seguirán frustrando -o, al menos, resistiendo- los exámenes forenses informáticos. La
comunicación cifrada basada en Internet (por ejemplo, Secure Sockets Layer, Transaction Layer Security, redes
privadas virtuales y redes inalámbricas seguras IEEE 802.11) puede hacer casi imposible el análisis del
contenido del tráfico de red (Casey, 2004).
El usuario
Es de suponer que existe un grupo de usuarios que emplean todas las herramientas del arsenal para dificultar los
exámenes informáticos. En general, existe una relación lineal entre la dificultad para utilizar una herramienta de
AF y lo mucho que el usuario tiene que ocultar. Tal y como es hoy en día,
 No todos los usuarios van a instalar herramientas de AF
 No todos los usuarios que instalan las herramientas de AF las utilizan de forma sistemática, por lo que
dejan información utilizable
 No todos los usuarios que utilicen la herramienta de AF las usarán correctamente, lo que dejará
información utilizable
 No todas las herramientas de AF funcionan tan perfectamente como se anuncia, por lo que dejan restos y
huellas

ANTIFORENSE CON TIEMPO DE ESPERA

Otro propósito de los antiforenses puede ser el de "proteger" ciertos datos hasta que sean discutibles. En lugar de
impedir el análisis forense, puede bastar con atascar el proceso de examen hasta que los datos pierdan su valor
probatorio -o de inteligencia-.
Esto es conceptualmente similar al concepto de seguridad de la información basado en el tiempo (Schwartau,
1999). Este modelo sugiere que un sistema de seguridad de la información no necesita mantener alejado a un
atacante para siempre, sino sólo el tiempo suficiente para que se detecte el ataque y se pueda montar una
respuesta. Expresado en forma de fórmula:
PSt > Dt + Rt
donde PSt = el tiempo que el sistema de seguridad puede proteger contra un ataque; Dt = el tiempo para detectar
un ataque; y Rt = el tiempo para responder a un ataque.
El usuario de los métodos antiforenses quiere mantener a raya al investigador digital durante algún tiempo
(posiblemente para siempre). Como fórmula, esto podría expresarse:
PAFt > It + AQt + Et+ ANt

donde PAFt = el tiempo que el método antiforense puede proteger los datos contra el descubrimiento; It = el
tiempo para identificar los datos potencialmente útiles; AQt = el tiempo para adquirir los datos; Et = el tiempo
para examinar los datos; y ANt = el tiempo para analizar los datos.
En el modelo de seguridad, la detección y la respuesta a un ataque suelen estar automatizadas y requieren un
periodo de tiempo relativamente corto (es decir, segundos, minutos u horas). Por el contrario, la identificación, la
adquisición, el examen y el análisis de las pruebas digitales requieren inteligencia humana y, por lo general, un
periodo de tiempo relativamente largo (es decir, días o semanas) incluso en las mejores circunstancias. En
algunos casos, el uso de métodos de AF sólo añade un poco de tiempo a una demora que, de otro modo, sería
muy larga, pero en otros casos puede frustrar una investigación activa y sensible al tiempo.
Merece la pena considerar la idea de que alguna clase de usuarios quiere realmente que se realicen los exámenes
digitales, pero que se ralenticen, desperdiciando el tiempo, el dinero y los recursos de personal de la agencia de
investigación. Esta clase de usuarios no quiere impedir el examen, en sí mismo; si así fuera, podrían utilizar un
cifrado de disco completo de 256 bits y acabar con él. En cambio, quieren que los exámenes se realicen, pero
quieren que duren mucho tiempo. En cierto sentido, están tratando de confundir a su adversario inundándolo con
información pero manteniéndolo a distancia.

CONCLUSIÓN
Este documento ha intentado ampliar el alcance de los métodos y procesos que podrían describirse con justicia
como antiforenses. Se han identificado muchos procesos antiforenses, aunque no todos, y es necesario seguir
trabajando para clasificar estos métodos en función de su facilidad de uso (y, por tanto, de su probabilidad), su
eficacia, su grado de dificultad para detectarlos o superarlos, y otras características.
Cada intento de dificultar el proceso forense digital ha sido respondido con cambios en el proceso para hacer
frente a los nuevos desafíos. El cifrado enseñó a los investigadores a pensárselo dos veces antes de desconectar
un ordenador; la obtención de imágenes en vivo de los discos duros y de la memoria RAM se está convirtiendo
en algo mucho más común en este campo. La esteganografía enseñó a los investigadores a no tomarse todo al pie
de la letra. El malware enseñó a los investigadores que el escenario del examen informático podría ser hostil. El
software de AF que ataca nuestras herramientas puede o no dar lugar a mejores herramientas, pero sin duda nos
hará cambiar el proceso para depender menos de los exámenes totalmente automatizados; se necesitará más
inteligencia humana -y tiempo- para las investigaciones y esto también exigirá un conocimiento más detallado de
los sistemas de archivos.
Es importante señalar que aunque muchos de los métodos de AF pueden hacer que la información derivada de
una investigación sea inútil como prueba en un tribunal, no pueden disminuir el valor de inteligencia de la
información; la duda razonable
en la mente de un jurado no se traduce en información no procesable para un recopilador de inteligencia. Otros
métodos de AF, por supuesto, aseguran los datos del proceso de investigación digital, aunque no está claro dónde
se produce el cruce del valor de la información recuperada y el "coste" de los recursos gastados para recuperar
los datos.
Las herramientas y métodos antiforenses seguirán planteando dificultades y retos a las comunidades de
investigación digital y de e-discovery. Sin embargo, a medida que los desarrolladores de AF continúan
produciendo herramientas, corresponde a la academia y a la industria coordinar y financiar la investigación y el
desarrollo de anti-AF. Esta puede ser la próxima novedad en las investigaciones digitales.

AGRADECIMIENTOS
El autor cuenta con el apoyo parcial de la subvención nº 2006-DD-BX-0282 concedida por la Oficina de
Asistencia Judicial. La Oficina de Asistencia a la Justicia es un componente de la Oficina de Programas de
Justicia, que también incluye la Oficina de Estadísticas de Justicia, el Instituto Nacional de Justicia, la Oficina de
Justicia Juvenil y Prevención de la Delincuencia y la Oficina para las Víctimas del Crimen. Los puntos de vista u
opiniones que aparecen en este documento son los del autor y no representan la posición o política oficial del
Departamento de Justicia de los Estados Unidos.

SOBRE EL AUTOR
Gary C. Kessler, Ed.S., CCE, CISSP es director del Centro de Investigación Digital del Champlain College
(C3DI) y profesor asociado y director del programa de Informática y Ciencias Forenses Digitales del Champlain
College en Burlington, Vermont, y profesor asociado adjunto de la Universidad Edith Cowan en Mount Lawley,
Australia Occidental. Es miembro de la High Technology Crime Investigation Association (HTCIA) y de la
International Society of Forensic Computer Examiners (ISFCE). Kessler es también asesor técnico de los grupos
de trabajo sobre delitos contra la infancia en Internet de Vermont (ICAC) y sobre delitos en Internet, miembro
del consejo editorial del Journal of Digital Forensics, Security and Law (JDFSL), editor asociado del Journal of
Digital Forensic Practice (JDFP) y director de GKS Digital Services, LLC.

REFERENCIAS
Ahsan, K. (2002). Covert Channel Analysis and Data Hiding in TCP/IP. Tesis presentada al Departamento de
Postgrado de Ingeniería Eléctrica e Informática Edwards S. Rogers Sr., Universidad de Toronto,
Toronto, Ontario. Obtenido el 11 de septiembre, de 2007,http://gray-world.net/papers/ahsan02.pdf
Akin, T. (2003). WebMail Forensics. BlackHat Briefings. Extraído el 11 de septiembre de
2007, de http://www.blackhat.com/presentations/bh-usa-03/bh-us-03-akin.pdf
Budimir, N., & Slay, J. (2007). Identificación de áreas de almacenamiento de datos no volátiles: Unique
Notebook Identification Information as Digital Evidence. Journal of Digital Forensics, Security and
Law,2 (1), 75-91.
Caloyannides, M.A. (2001). Computer Forensics and Privacy. Boston: Artech House.
Casey, E. (2004). Digital Evidence and Computer Crime: Forensic Science, Computers and the Internet (2ª ed.).
Londres: Elsevier Academic Press.
Electronic Frontier Foundation (EFF). (2007, 18 de septiembre). Página web de Tor. Recuperado el 18 de
septiembre de 2007, de http://tor.eff.org/index.html.en
Forte, D. (2002, agosto). Análisis de las dificultades de rastreo del tráfico del enrutador de la cebolla. Actas del
Taller de Investigación Forense Digital 2002. Extraído el 11 de septiembre de 2007, de
https://www.dfrws.org/2002/papers/Papers/Dario_Forte.pdf
Geiger, M., y Cranor, L.F. (2006, septiembre/octubre). Scrubbing Stubborn Data: An Evaluation of Counter-
Forensic Privacy Tools. IEEE Security & Privacy, 4(5), 16-25.
Software de orientación. (2007, 26 de julio). Respuesta de Guidance Software al informe de iSEC. Recuperado
el 11 de septiembre de 2007, de http://www.securityfocus.com/archive/1/474727
Harris, R. (2006). Llegando a un consenso antiforense: Examinar cómo definir y controlar el problema antiforense.
Actas del taller de investigación forense digital de 2006. Digital Investigation,3 (S), S44-S49. Obtenido el
11 de septiembre, de 2007,http://dfrws.org/2006/proceedings/6-Harris.pdf
Kessler, G.C. (2004, julio). An Overview of Steganography for the Computer Forensics Examiner. Forensics
Science Communication,6 (3). Extraído el 11 de septiembre de 2007, de http://www.fbi.gov/hq/lab/fsc
/revista/julio2004/investigación/2004_03_investigación01.htm
Levine, D.E., y Kessler, G.C. (2002). Denial of Service Attacks. En M. Kabay & S. Bosworth (Eds.), Computer
Security Handbook, 4th ed., Nueva York. Nueva York: John Wiley & Sons.
Liu, V., & Brown, F. (2006, 3 de abril). Bleeding-Edge Anti-Forensics. Presentación en InfoSec World 2006.
Recuperado el 11 de septiembre de 2007, de stachliu.com/files/InfoSecWorld_2006-K2-Bleeding_Edge_
AntiForensics.ppt
Metasploit LLC. (2007a). Página de inicio de Metasploit Anti-forensics. Recuperado el 11 de septiembre de
2007, de http://www.metasploit.com/projects/antiforensics/)
Metasploit LLC. (2007b). Página de inicio del proyecto Metasploit. Recuperado el 11 de
septiembre de 2007, de http://www.metasploit.com/
Palmer, C., Newsham, T., Stamos, A., & Ridder, C. (2007, 1 de agosto). Rompiendo el software forense:
Weaknesses in Critical Evidence Collection. Resumen de la presentación en Black Hat USA 2007.
Recuperado el 11 de septiembre de 2007, de http://www.blackhat.com/html/bh-usa-07/bh-usa-07-
speakers.html#Palmer
Palmer, G. (2001, 6 de noviembre). A Road Map for Digital Forensics Research. Digital Forensic
Research Workshop (DFRWS) Technical Report (DTR) T001-01 Final. Recuperado el 11 de
septiembre de 2007, de http://www.dfrws.org/2001/dfrws-rm-final.pdf
Rogers, M. (2006, 22 de marzo). Sesión de panel en el Simposio de Seguridad de la Información CERIAS 2006.
Recuperado el 11 de septiembre de 2007, de
http://www.cerias.purdue.edu/symposium/2006/materials/pdfs/antiforensics.pdf
Rowland, C.H. (1997, 5 de mayo). Canales encubiertos en el conjunto de protocolos TCP/IP. First Monday,2
(5). Recuperado el 11 de septiembre de 2007, de http://www.firstmonday.org/issues/issue2_5/rowland/
Schwartau, W. (1999). Time Based Security. Seminole, FL: Interpact Press.
StegoArchive.com. (2005). Sitio web de Stego Archive. Recuperado el 11 de septiembre de
2007, de http://www.stegoarchive.com
Tribunal Supremo de los Estados Unidos. (1993). Daubert v. Merrell Dow Pharmaceuticals (92-102), 509 U.S.
579.
Obtenido el 11 de septiembre de 2007, de http://supct.law.cornell.edu/supct/html/92-102.ZS.html
Van Buskirk, E., y Liu, V.T. (2006, marzo). Pruebas digitales: Challenging the Presumption of Reliability.
Journal of Digital Forensic Practice,1 (1), 19-26.

COPYRIGHT
Gary C. Kessler ©2007. El autor cede a SCISSEC & Edith Cowan University una licencia no exclusiva para
utilizar este documento para uso personal siempre que se utilice el artículo en su totalidad y se reproduzca esta
declaración de derechos de autor. Los autores también conceden una licencia no exclusiva a SCISSEC & ECU
para publicar este documento en su totalidad en las Actas de la Conferencia. Dichos documentos podrán
publicarse en la World Wide Web, en CD-ROM, en forma impresa y en sitios espejo de la World Wide Web.
Queda prohibido cualquier otro uso sin la autorización expresa de los autores.