Digital Forensics vs. Anti-Digital Forensics - En.es

Traducido del inglés al español - www.onlinedoctranslator.
com
DIGITALFORENSICOS VS. ANTI-DIGITALFORENSICOS: T

TÉCNICAS, LIMITACIONES YRRECOMENDACIONES
punto de accesoREIMPRIMIR
Jean-Paul A. Yaacoub, Hassan N. Noura, Ola Salman y Ali Chehab

universidad americana de beirut,
Departamento de Ingeniería Eléctrica e Informática,
arXiv:2103.17028v1 [cs.CR] 31 de marzo de 2021
Beirut 1107 2020, Líbano
1 de abril de 2021
ARESUMEN
El número de ciberataques ha aumentado enormemente en los últimos años. Esto resultó en pérdidas tanto humanas como financieras a nivel individual y organizacional. Recientemente, los ciberdelincuentes
están aprovechando nuevas habilidades y capacidades mediante el empleo de actividades, técnicas y herramientas anti-forense para cubrir sus huellas y evadir cualquier posible detección. En consecuencia, los
ciberataques son cada vez más eficientes y sofisticados. Por lo tanto, las soluciones criptográficas y no criptográficas tradicionales y los sistemas de control de acceso ya no son suficientes para prevenir tales
ataques cibernéticos, especialmente en términos de adquisición de evidencia para la investigación de ataques. Por lo tanto, la necesidad de herramientas de investigación forense bien definidas, sofisticadas y
avanzadas es muy necesaria para rastrear a los delincuentes cibernéticos y reducir la cantidad de delitos cibernéticos. Este documento revisa los diferentes métodos, herramientas, técnicas, tipos y desafíos de la
ciencia forense y la anti-forense, al mismo tiempo que analiza el surgimiento de la anti-anti-forense como un nuevo mecanismo de protección forense contra las actividades anti-forense. Esto ayudaría a los
investigadores forenses a comprender mejor las diferentes herramientas, métodos y técnicas antiforenses que emplean los ciberdelincuentes al lanzar sus ataques. Además, se discuten las limitaciones de las
técnicas forenses actuales, especialmente en términos de problemas y desafíos. Finalmente, este documento presenta una visión holística desde el punto de vista de la literatura sobre el dominio forense y
también ayuda a otros colegas en su búsqueda para comprender mejor el dominio forense digital. al mismo tiempo que se discute el surgimiento de los anti-anti-forenses como un nuevo mecanismo de
protección forense contra las actividades anti-forenses. Esto ayudaría a los investigadores forenses a comprender mejor las diferentes herramientas, métodos y técnicas antiforenses que emplean los
ciberdelincuentes al lanzar sus ataques. Además, se discuten las limitaciones de las técnicas forenses actuales, especialmente en términos de problemas y desafíos. Finalmente, este documento presenta una
visión holística desde el punto de vista de la literatura sobre el dominio forense y también ayuda a otros colegas en su búsqueda para comprender mejor el dominio forense digital. al mismo tiempo que se discute
el surgimiento de los anti-anti-forenses como un nuevo mecanismo de protección forense contra las actividades anti-forenses. Esto ayudaría a los investigadores forenses a comprender mejor las diferentes
herramientas, métodos y técnicas antiforenses que emplean los ciberdelincuentes al lanzar sus ataques. Además, se discuten las limitaciones de las técnicas forenses actuales, especialmente en términos de
problemas y desafíos. Finalmente, este documento presenta una visión holística desde el punto de vista de la literatura sobre el dominio forense y también ayuda a otros colegas en su búsqueda para comprender
mejor el dominio forense digital. Esto ayudaría a los investigadores forenses a comprender mejor las diferentes herramientas, métodos y técnicas antiforenses que emplean los ciberdelincuentes al lanzar sus ataques. Además, se discuten las limitaciones de las técnicas
kpalabras clavemedicina forense; Forense digital; Anti-Forense; Anti-Anti-Forense; Contador Anti-Forense; Investigación Forense; Fuente de
Evidencias; integridad de la evidencia; Información digital; Preservación de la privacidad
1. Introducción
En el análisis forense cibernético, los investigadores tienen como objetivo recuperar evidencia digital de dispositivos digitales y cibernéticos/
físicos, incluidos dispositivos de red, computadoras, sensores y dispositivos inteligentes y móviles, así como drones y robots.
Desafortunadamente, las investigaciones forenses no son muy efectivas debido al creciente uso de técnicas anti-forenses. De hecho, los
enfoques forenses actuales adolecen de diferentes fallas técnicas debido a las herramientas antiforenses para evitar la detección. Las técnicas
antiforenses se utilizan para deshabilitar y distorsionar la investigación forense atacando las herramientas forenses o eliminando, ocultando o
cifrando la evidencia misma. Más específicamente, algunas herramientas antiforenses se utilizan para comprometer la integridad de las
pruebas. En este documento, se revisan las técnicas forenses existentes que incluyen computadora, móvil, red, nubes, digital, malware, y el
análisis forense del correo electrónico, y las técnicas y actividades anti-forense también se describen y clasifican. Recientemente, las técnicas
anti-anti-forenses aparecieron para defender las herramientas y técnicas forenses contra las actividades anti-forenses. Por lo tanto, se
resaltará la importancia de la medicina forense y la anti-anti-forense para identificar los intentos de anti-forense que apuntan a la evidencia.
Últimamente, no se ha prestado suficiente atención al dominio forense, especialmente en algunos campos como Internet de las cosas (IoT) y
Cyber-Physical Systems (CPS). Por lo tanto, este documento tiene como objetivo desarrollar un conocimiento sólido sobre los enfoques,
métodos, técnicas y herramientas recientes de la ciencia forense y anti-forense, para reducir y prevenir las causas y
APREIMPRESIÓN- AABRIL1, 2021
Consecuencias de los ciberataques. Por lo tanto, uno de los objetivos del artículo es proporcionar una mejor comprensión de los
dominios forenses y antiforenses digitales.
1.1 Contribuciones
Las contribuciones de este trabajo se pueden resumir en los siguientes puntos:
• Identificar y clasificar:dominios, técnicas y herramientas de análisis forense digital, al mismo tiempo que presenta sus diferentes
enfoques junto con sus limitaciones.
• Identificar y clasificar:actividades, técnicas y herramientas anti-forenses, junto con sus resultados y

consecuencias.
• Incluido:las limitaciones y desafíos que encuentran los investigadores forenses digitales durante su investigación.
• Que se discute:Counter Anti-Forensics (CAF) o Anti-Anti-Forensics (AAF) en términos de detección utilizando métodos de aprendizaje
automático y en términos de prevención utilizando técnicas de preservación de la privacidad para proteger las evidencias digitales.
• Destacando:los desafíos forenses digitales más persistentes.

• Proponiendo:varias sugerencias y recomendaciones que se incluyen para superar los desafíos existentes y
permitir investigaciones forenses eficientes.
1.2 Trabajo relacionado
Se realizaron muchas encuestas y se centraron únicamente en los delitos cibernéticos desde un punto de vista forense [1], mientras que se
discutieron por separado las herramientas de análisis forense digital según el tipo de análisis forense (red, malware, memoria, etc.) [2, 3, 4].
Las técnicas antiforenses se presentaron en [5, 6, 7]. En [8], los desafíos de big data se presentaron como un problema forense serio. Este
documento presenta una comprensión analítica detallada de los dominios forense (cadena de custodia, fuente de evidencia, tipos de análisis
forense, herramientas y enfoques disponibles) y anti-forense (aspectos, técnicas, herramientas y enfoques), siendo uno de los primeros en
discutir los dominios anti- aspecto anti-forense. Además, se presenta una gama más amplia de desafíos forenses. Finalmente, El aspecto de
preservación de la privacidad de las evidencias digitales también se presentó en este trabajo desde un punto de vista forense con respecto a la
privacidad de los usuarios y la integridad de las evidencias. En otros términos, este documento cubre todos los temas que se presentan por
separado en otros trabajos, y también desarrolla su propia perspectiva sobre técnicas forenses/antiforenses. Esto ayudará a otros
investigadores y colegas a ampliar sus habilidades de búsqueda y comprensión.
1.3 Formulación del problema
Los delitos cibernéticos se expanden diariamente, y el uso de técnicas y actividades anti-forense también está aumentando. Como
resultado, esto dificultó la recuperación de rastros y la recopilación de evidencias con respecto al inicio de una investigación forense.
Este documento tiene como objetivo identificar los diferentes enfoques forenses y antiforenses para una mejor comprensión y más
mejoras y precauciones contra las actividades antiforenses.
1.4 Organización
Este documento se divide en x secciones además de la introducción y se presenta de la siguiente manera:
2 Antecedentes - Dominio forense
En esta sección, se destaca la clasificación de datos forenses, mientras que los aspectos de los delitos cibernéticos se discuten desde un punto
de vista forense, además de identificar y clasificar las amenazas cibernéticas.
2.1 Clasificación de datos forenses
Hasta ahora, no existe un estándar único y uniforme que clasifique los datos forenses. Sin embargo, algunas de las clasificaciones existentes
son algo similares. En [9], Halboob et al. identificó los datos forenses como datos directamente accesibles (DAD), datos accesibles con
privacidad preservada (PAD) o datos no accesibles (NAD). Sin embargo, de una manera más granular, los datos forenses se pueden clasificar en
cuatro categorías principales (consulte la Figura 1), como se indica a continuación:
2
Figura 1: Clasificación de datos forenses
• Datos públicos e irrelevantes:Este tipo de datos no presenta ninguna información útil. Su objetivo es garantizar que las
investigaciones consuman más tiempo y sean menos precisas.
• Datos públicos y relevantes:Estos datos pueden ser modificados y borrados sin posibilidad de recuperación por parte de los ciberdelincuentes para evadir
cualquier detección y eliminar cualquier dato que pueda servir como posible evidencia.
• Datos privados e irrelevantes:Estos datos se pueden cifrar u ocultar mediante el uso de técnicas de ocultación de datos (p. ej.,
esteganografía).
• Datos privados y relevantes:Este tipo de datos sirve como un tesoro escondido para los investigadores forenses. De hecho, estos datos
pueden revelar mucha información sobre los atacantes, incluida la fuente, las huellas dactilares del ataque, las habilidades, la experiencia y
las estrategias, que pueden ayudar a rastrearlos e identificarlos.
2.2 Investigadores Forenses:
Según la fuente de los datos recuperados, los investigadores forenses se pueden clasificar en cuatro categorías:
• Investigadores Forenses Lógicos:o Los investigadores forenses digitales (DFI) se preocupan por recuperar evidencias de dispositivos digitales,
incluidos software, sistemas operativos, computadoras portátiles (PC), computadoras portátiles o incluso teléfonos inteligentes que se
encuentran en la escena del crimen.
• Investigadores forenses cibernéticos:están involucrados en el mundo de IoT y sus diferentes campos/dominios, incluidos los
servicios en la nube.
• Investigadores Forenses Físicos:o los investigadores tradicionales confían en su pericia, conocimiento y experiencia para
recuperar evidencias forenses físicas, principalmente de equipos y dispositivos de hardware.
2.3 Delitos Cibernéticos
Es fundamental identificar el ciclo de vida de un ciberdelito cometido para lograr un objetivo delictivo. A continuación, se analizan en detalle
los delitos cibernéticos, las amenazas cibernéticas y los ataques cibernéticos.
2.3.1 Pasos para delitos cibernéticos
Los delitos cibernéticos se cometen utilizando pasos predefinidos para cometer diversos delitos, como piratería informática, phishing, correo
no deseado o cometer delitos cibernéticos de odio, chantajes, intimidación, pornografía infantil/adulta [10, 11, 12, 13, 14]. Este documento
presenta el ciclo de vida del ciberdelito de la siguiente manera (ver Figura 2), que es una versión modificada de las principales fases del
ciberdelito presentadas en [15].
• Reconocimiento:Esta fase consiste en la recopilación de información por parte del atacante sobre las víctimas objetivo
(individuos u organizaciones) de acuerdo con el objetivo del atacante, el presupuesto disponible y los recursos.
• Ataques encubiertos:Una vez recopilada la información, se elaboran planes y estrategias de ataque de acuerdo con las
herramientas y técnicas disponibles. La mayoría de estos ataques se llevan a cabo a través de canales encubiertos
utilizando redes privadas virtuales (VPN), The Onion Router (TOR) o proxies. Estos ataques pueden ser realizados por:
– Insiders:o denunciantes, por ser un empleado deshonesto o insatisfecho reclutado por una organización competidora
para apuntar a una organización rival.
– Forasteros:liderando un ataque remoto encubierto a través de correos electrónicos no deseados que atraen a un empleado para que haga clic en
enlaces maliciosos o visite sitios web maliciosos.
3
Figura 2: Ciclo de Delitos Cibernéticos
Finalmente, los tipos de ataques que puede realizar un atacante, en esta fase, se pueden dividir en dos tipos:
– Ataques de interacción humana directa:se realizan a través de ataques de tipo social y de ingeniería
inversa [16, 17].
– Ataques indirectos de interacción humana:se realizan a través de phishing, spear phishing, ballenero y vishing
[18].
• Divulgación de información:La divulgación de datos/información es posible mediante el uso de una aplicación/software malicioso
encubierto que se instala en el sistema de la víctima, ya sea a través de spam o ataques de vigilancia para revelar secretos
comerciales comerciales, atacar la reputación de una organización, robar propiedad intelectual o causar enormes pérdidas
financieras.
• Transferencia de información:Esta fase incluye copiar la información expuesta a un lugar, donde es más fácil para el
atacante manipularla sin ser detectado. La mayoría de las veces, los datos expuestos pueden cifrarse, mientras que
descifrarlos llevaría mucho tiempo.
• Recuperación de datos:Los datos se pueden recuperar de tres formas principales [15]:
– La primera forma:se basa en la recuperación de datos de forma instantánea, pero con mayor riesgo de ser detectado.
– La segunda forma:se basa en la recuperación de datos de forma pasiva, que es un proceso lento pero sin
riesgo de ser detectado.
– La tercera vía:se basa en crear un ataque de bandera falsa para desviar la atención del atacante hacia
otro incidente.
Esto da a los atacantes más tiempo para recuperar los datos necesarios y cubrir sus huellas, y las organizaciones tardan
meses e incluso años en recuperarse de sus pérdidas.
2.3.2 Clasificación de ciberdelincuentes
Los ciberdelincuentes se pueden clasificar en tres categorías principales:
• Grupos organizados en todo el mundo:son grupos separados geográficamente que operan (conjuntamente o por separado) a nivel
local, regional o incluso mundial para causar un daño mayor contra sus objetivos previstos.
• Grupos Organizados Regionales:operan local o regionalmente dentro de un área geográfica limitada y están limitados en términos
de experiencia, conocimiento, habilidades y herramientas disponibles (script kiddies).
• Individuos:son conocidos como lobos solitarios y operan principalmente localmente. Su capacidad es limitada, especialmente en términos de
mano de obra disponible y habilidades para realizar tareas coordinadas.
4
2.3.3 Estructura del delito cibernético
El tipo de delito cibernético se define según las habilidades, el conocimiento, la experiencia, las herramientas disponibles, los recursos y la
mano de obra del ciberdelincuente. Esto también incluye el nivel de estructura, comunicación, colaboración y cooperación entre diferentes
ciberdelincuentes. En este sentido, este documento clasifica los delitos cibernéticos en cuatro tipos principales.
• Coordinado y Organizado:Los ciberdelitos son coordinados si se realizan simultáneamente y de manera profesional, experimentada
y sincronizada. Estos delitos se basan principalmente en la desfiguración de la Web o ataques de denegación de servicio distribuido
(DDoS) en serie que comprometen la disponibilidad de una organización determinada e impiden que los usuarios legítimos
obtengan acceso durante un período de tiempo determinado. Esto provoca graves pérdidas financieras y económicas. Estos delitos
cibernéticos también se pueden utilizar para realizar un robo cibernético contra los bancos [19, 20]. Los delitos cibernéticos
organizados se llevan a cabo para explotar las vulnerabilidades y las brechas de seguridad de las organizaciones para garantizar un
alto beneficio con un riesgo menor [21] a través de la coordinación y la colaboración entre ciberdelincuentes bien capacitados y
capacitados. Esto se hace utilizando tipos de conexión encubierta anónima como The Onion Router (TOR) [22] y la deep dark web
[23,
• Descoordinado y desorganizado:Los delitos no coordinados pueden detectarse fácilmente debido a fallas en los ataques
realizados. Esto se debe a la falta de experiencia, conocimiento, comunicación y sincronización entre los ciberdelincuentes.
En cuanto a los ataques desorganizados, existe la posibilidad de perder el rastro del ataque y no eliminar ninguna posible
fuente de evidencia. Por lo tanto, incumpliendo el objetivo principal del atacante.
• Convencional:Estos delitos pueden ser predecibles, debido a que siguen un determinado ciclo de ataque o
piratería, lo que facilita su identificación. De hecho, pueden tener un impacto e implicaciones graves siempre que
se lleven a cabo, especialmente si se coordinan y organizan.
• Poco convencional:Esta clase de delitos cibernéticos es impredecible y se puede dividir en dos tipos principales. El primer tipo está relacionado
con la realización de ataques muy avanzados mediante la explotación de brechas de seguridad desconocidas. El segundo tipo se basa en el
uso de herramientas antiforenses avanzadas para borrar datos más allá del reconocimiento y la recuperación.
La Figura 3 incluye los tipos de atacantes según sus intenciones.
Figura 3: Clasificación de los ciberatacantes
5
2.4 Ciberamenazas
Las amenazas surgen del riesgo y potencial de que ocurra un accidente o un ataque dado. De hecho, los tipos de amenazas
existentes se pueden resumir en la Figura 4. Sin embargo, todavía no es suficiente para comprender realmente la fuente y la
naturaleza del ataque.
2.4.1 Origen de la amenaza
La fuente de una amenaza cibernética no siempre se puede rastrear fácilmente debido a que los delincuentes confían en formas anónimas para realizar
su ataque. Sin embargo, se puede clasificar en una de las siguientes categorías:
• Ciberdelincuentes:Por lo general, son grupos de piratas informáticos organizados o individuos que realizan robos cibernéticos, intimidación,
chantaje o filtración de información privada (financiera, militar, médica o gubernamental) a terceros malintencionados a través de la deep
dark web para obtener ganancias personales o monetarias.
• Hacktivistas:Por lo general, son piratas informáticos que tienen como objetivo lanzar (distribuir) ataques de denegación de servicio o desfiguración web
como parte de la creación de una protesta cibernética contra un partido político o un gobierno.
• Ciber-terroristas:tiene como objetivo realizar ataques de desfiguración web y fuga de información dirigidos a organizaciones,
industrias petroleras, instalaciones gubernamentales y militares.
• Ciber-Espías:por lo general, se dirigen a organizaciones, empresas, instalaciones gubernamentales y militares como parte de la
realización de operaciones de espionaje y/o sabotaje.
Figura 4: Identificación y clasificación de amenazas
2.4.2 Tipo de amenaza
Dependiendo de su naturaleza, las amenazas pueden identificarse de manera diferente. Por ejemplo, Stoneburner et al. definió una amenaza como una
posible brecha de seguridad que tiene como objetivo desencadenar o explotar accidentalmente una vulnerabilidad o brecha de seguridad específica [25].
Es de alguna manera similar a una exposición técnica. Por lo tanto, identificar amenazas no es una tarea sencilla. Sin embargo, este trabajo los presenta
de la siguiente manera:
• Violación de la seguridad:generalmente es causado por la presencia de medidas de seguridad débiles (brechas), o medidas de seguridad
limitadas que solo cubren partes del sistema explotado y no aplican el mecanismo de defensa en profundidad, a menos que sea un intento de
ataque de día cero.
• Ataque cibernetico:se origina principalmente a través de la explotación de un sistema, dispositivo y/o información determinados a través de
comunicaciones inalámbricas, incluidas redes e Internet, teniendo como objetivo su confidencialidad, integridad, disponibilidad y/o
autenticidad.
• Agresión física:es causado por delincuentes disfrazados de empleados que ingresan a una organización determinada y
dañan físicamente sus sistemas y dispositivos.
6
• Aplicación no probada:las aplicaciones que no se prueban son propensas a diversas infracciones de seguridad maliciosas y no
maliciosas, que incluyen mal funcionamiento, rendimiento anormal, puertas traseras, rootkits y malware, incluidos virus y troyanos.
• Sistemas de versiones anteriores:que no se actualizan constantemente/regularmente suelen ser el objetivo de exploits/ataques ya

conocidos, lo que lleva a varias infracciones de seguridad/privacidad.
• Vulnerabilidad explotable:es una brecha explotable que se encuentra en un programa de seguridad determinado que, tras su explotación, permite que
un atacante determinado obtenga acceso no autorizado a un sistema/dispositivo determinado.
2.5 Cadena de Custodia Forense
Para llevar a cabo una investigación forense, cualquier investigador forense debe seguir una Cadena de Custodia [26]. Esta
cadena consta de cuatro fases, y se describen a continuación:
• Identificación:incluye la identificación del evento y la identificación de la evidencia. Para investigar un incidente, se

necesitan dos tipos de habilidades de investigación:habilidades blandas de investigaciónyHabilidades de investigación
duras.Esto logrará una investigación exitosa para identificar qué sucedió, dónde sucedió, cómo sucedió, quién fue el
objetivo y quién fue el atacante. Estos dos tipos de habilidades se pueden definir de la siguiente manera:
– Habilidades de investigación forense digital suave (SDFIK):incluir una fuerte cooperación y colaboración entre los
investigadores forenses, el público y el equipo de investigación. Su tarea principal es evaluar una situación con
prontitud y ayudar, identificar y diferenciar entre eventos normales y sospechosos.
– Habilidades de investigación forense digital dura (HDFIK):requieren la recopilación de información de cualquier
dominio público, manteniendo el nivel de conciencia necesario, siguiendo la cadena de custodia.
• Recopilación de datos:se puede hacer, ya sea mediante el control de la comunicación o mediante la interceptación de la
comunicación. En esta fase, se recopilan todos los tipos de datos para identificar cualquier evidencia potencial. Primero se deben
copiar los datos originales y, luego, todo el trabajo forense se puede realizar en los datos copiados una vez que se comparan y
combinan los hashes.
– Monitoreo de Comunicaciones:generalmente se logra mediante la realización de una "vigilancia intrusiva" [27, 28] (es decir, un vehículo encubierto
[29], principalmente una furgoneta de espionaje encubierta), la realización de una "vigilancia dirigida" [30] (es decir, apoyándose en calles
inteligentes o cámaras de seguridad), o utilizando agentes humanos [31].
– Interceptar Comunicaciones:generalmente se logra identificando e interceptando direcciones IP/MAC de

ciberdelincuentes y sospechosos por igual [32, 33], además de rastrear sus correos electrónicos/actividades web e
identificar sus números de teléfono y monitorear sus mensajes telefónicos, llamadas y registros (es decir, líneas fijas
y teléfonos inteligentes [34]).
• Análisis y Evaluación:Una vez concluidas las fases iniciales de investigación, también es importante analizar
lo sucedido para evaluar el tipo de delitos cometidos. Esta fase consta de dos subfases que se explican a
continuación:
– Evaluación y análisis:Esta fase consiste en analizar los datos recuperados de equipos de software/hardware, incluidos discos
duros o de estado sólido (SSD), máquinas virtuales, redes y dispositivos de red, teléfonos inteligentes, tabletas y
computadoras portátiles [35]. Esto también incluye realizar un análisis de la tarjeta SIM basado en la identificación de listas de
contactos, registros de llamadas y servicios de mensajes cortos (SMS) (principalmente recientes o relacionados con un evento
delictivo determinado), antes de clasificarlo como robo de propiedad intelectual, acecho o comportamiento amenazante. ,
delitos ciber-sexuales, acceso no autorizado, sabotaje, espionaje y/o divulgación de información sensible, etc...
• Informes:es la última fase de una investigación forense. Por lo tanto, se divide en dos pasos principales:
– El primer paso consiste en la recolección de evidencias para seguir unproceso legal de enjuiciamientopara demostrar que el
presunto criminal es culpable.
– El segundo paso es elproceso legal para probar la legalidad de la evidencia.Una prueba jurídica se basa en identificar si un
hecho determinado puede ser probado y sustentado o no. Esto se hace verificando si la evidencia está respaldada por hechos
reales para enjuiciar a un sospechoso determinado. En algunos casos, las pruebas pueden ser devueltas [36].
En la siguiente sección, el documento profundiza en el dominio del análisis forense digital, revisando sus diferentes subdominios.
3 subdominios de análisis forense digital
El análisis forense digital se utiliza para descubrir e interpretar datos electrónicos relacionados con un delito cibernético. El objetivo es preservar la
evidencia para ser utilizada legalmente en los tribunales sin ninguna alteración/modificación. De hecho, las evidencias forenses digitales pueden ser
7
recuperado de varias fuentes forenses digitales, como se ilustra en la Figura 5. Además, hay varios tipos de análisis forense, como se
presenta en la Figura 6, que se analizarán en las siguientes secciones.
Figura 5: Clasificación de artefactos forenses digitales
Figura 6: Tipos de análisis forense
3.1 Informática forense
Los delitos cibernéticos generarán más de 2 billones de dólares en pérdidas comerciales para 2019 [37]. De hecho, más de 4.762.376.960
registros de datos se perdieron o fueron robados desde 2013. Como resultado, surgieron respectivamente las demandas de técnicas y
herramientas de informática forense (CF). A través de investigaciones, la informática forense recopila datos de dispositivos informáticos. Esto
les permite verificar los procesos en ejecución en la computadora del atacante/víctima a través de la verificación y extracción de archivos del
sistema, lo que hace posible rastrear y rastrear un ataque determinado. Por lo tanto, los CF leen la información del disco duro derivada de
fuentes digitales en un período de tiempo corto [38], antes de que ocurra cualquier eliminación/modificación.
8
3.1.1 Herramientas disponibles
Dado que la informática forense ayuda a identificar y rastrear a los atacantes [2], se empezaron a utilizar diferentes herramientas (consulte la
Tabla 1), que incluyen FTK imager, Encase, Helix, Winhex, SMART, X-Ways y Autopsy, junto con otras herramientas enumeradas en [ 39, 40, 41,
4]. Sin embargo, la informática forense aún presenta varios desafíos, limitaciones e inconvenientes que deben tenerse en cuenta [42, 43, 44].
Tabla 1:Herramientas de análisis de informática forense
Análisis informático forense Descripción

Herramientas (CFAT)
Autopsia Un programa forense digital de código abierto basado en GUI que analiza discos duros y teléfonos inteligentes
Detector de disco cifrado Sirve para comprobar unidades físicas cifradas
Captura de memoria RAM magnética Se utiliza para capturar la memoria física de una computadora y analiza los artefactos de la memoria.
capturador de RAM Se utiliza para volcar datos de la memoria volátil de una computadora que puede contener credenciales de inicio de sesión y volúmenes de contraseñas cifradas
splunk Combina muchas herramientas, incluida la búsqueda de WHOIS/GeoIP junto con el ping y el escaneo de puertos junto con otras herramientas
Adquisición forense de sitios web Captura la página completa o parcial, junto con el código fuente HTML y todo tipo de imágenes.
(FAW)
Bloqueador de escritura USB Extrae el contenido de las unidades USB sin dejar ninguna huella digital
Defrasador NFI Detecta archivos multimedia parciales o completos en flujos de datos
ExifTool Ayuda a los investigadores a leer, escribir y editar metainformación para varios tipos de archivos.
herramientasley Identificación de archivos y verificación de firmas, junto con URI de datos y generación de contraseñas, y otras herramientas de investigación útiles
SIN Investigador medicina forense Entre las plataformas de respuesta a incidentes de código abierto más populares
Caja de herramientas (SIFT)
Dumpzilla Extrae diferente información del navegador y la analiza.

Foxton Puede ser un capturador del historial del navegador o un visor del historial del navegador.
Información de usuario forense Extrae NT Hash, recuentos de inicio de sesión, rutas de perfil, fecha de caducidad de la cuenta, restablecimiento de contraseña y otra información.
pista negra Se utiliza como una prueba de penetración y una herramienta forense.
Paladín Tiene una variedad de herramientas forenses necesarias para investigar cualquier incidente.
Kit de detective Colección de herramientas de línea de comandos y consiste en analizar volúmenes y archivos
Entorno de investigación asistido por Se utiliza para analizar, investigar y crear un informe forense utilizando una variedad de herramientas.
computadora (CAINE)
Encerrar Puede acceder a un gran número de sistemas de archivos mientras crea marcas de tiempo
Kit de herramientas forenses (FTK) Analiza diferentes sistemas de archivos mientras revela sus diferentes marcas de tiempo.
Zeitline Es conocido como editor de línea de tiempo, recopila evidencias de archivos de registro para resolver casos de delitos digitales.
Laboratorio de tiempo de ciencia forense cibernética (CFT) Escanea y ve los discos duros mientras identifica la marca de tiempo ordenada del archivo encontrado
Respuesta de la multitud Recopila la información de un sistema para iniciar una respuesta a incidentes junto con compromisos de seguridad [45]
Registro de reconocimiento Extrae información de registros (anterior/actual) de la evidencia y reconstruye su representación
Llibforensics Es una librería para aplicaciones forenses digitales, desarrollada en Python, extrae información de diferentes tipos de evidencia
Caja de herramientas del forense Se utiliza para ayudar en el análisis de desastres informáticos y la recuperación de datos.
Extractor de pruebas forenses Reúne evidencia de los sistemas Windows y se puede instalar en una memoria USB o en un disco duro externo con 150 herramientas diferentes y una
informáticas en línea (COFEE) interfaz basada en GUI para comandos.
HELIX3 Se utiliza en respuesta a incidentes, compuesto por muchas herramientas forenses digitales de código abierto, incluidos editores hexadecimales y herramientas para descifrar contraseñas.
PlainSight Incluye la visualización de historiales de Internet, la comprobación del uso de dispositivos USB, la extracción de hash de contraseñas y la recopilación de información
junto con otras tareas, como el análisis de datos recopilados de memorias físicas.
3.1.2 Pasos de informática forense
Se deben considerar varios pasos de informática forense para garantizar una investigación exitosa. En [46], Kumari et al. discutió algunos
pasos de informática forense como desinfectar el área de almacenamiento para proteger los procesos forenses y el uso del valor calculado de
la imagen del algoritmo Message-Digest (hash MD5) para averiguar si la imagen utilizada es original o no. Como resultado, el análisis forense
informático se puede dividir en cinco pasos principales, también mencionados en [47], que incluyen:
• Desarrollo de políticas y procedimientos:las evidencias digitales pueden ser complejas y sensibles, donde los datos pueden verse
fácilmente comprometidos si no se manejan y protegen con cuidado. Por lo tanto, establecer políticas y procedimientos estándar
con pautas estrictas puede ayudar a respaldar y mejorar una investigación forense informática.
• Evaluación de evidencias:la evaluación de evidencia/evidencia potencial revela una comprensión clara de los detalles del delito
cibernético cometido. Por lo tanto, es necesario adoptar nuevos métodos para evaluar cualquier información potencial que sirva
como evidencia, incluido el tipo de evidencia digital y su formato.
• Adquisición de evidencias:requiere un plan muy detallado para adquirir datos legalmente. Sin embargo, se recomienda documentar
los datos antes, durante y después de cualquier proceso de adquisición. Esto permite que la información esencial (basada en
especificaciones de software y hardware) sea registrada y preservada manteniendo la integridad de los datos.
• Examinando Evidencias:incluye el examen de los datos que se copian, recuperan y almacenan en las bases de datos de un archivo
designado determinado, basándose en palabras clave específicas y/o tipos/nombres de archivo, incluso si estos archivos se
eliminaron recientemente. Esto ofrece la posibilidad de saber cuándo se crearon y/o modificaron los datos.
9
• Documentación e informes:Los investigadores forenses informáticos mantienen un registro preciso de las actividades. Esto
incluye métodos para recuperar, copiar y almacenar datos, además de adquirir, examinar y evaluar la evidencia. Por lo
tanto, preservar la integridad de los datos, hacer cumplir las políticas y procedimientos correctos y autenticar cualquier
hallazgo (cómo/cuándo/dónde) relacionado con la evidencia recuperada.
• Detección de línea de tiempo de actividad informática:La detección de línea de tiempo de actividad informática (CAT Detect) [48, 49] se basa en
el análisis de actividades informáticas para detectar inconsistencias en la línea de tiempo de un sistema informático. Sin embargo, el proceso
de investigación es propenso a la pérdida de datos, eventos o incluso archivos, ya sea por eliminación, manipulación o sobrescritura. "CAT
Detect" puede eliminar las inconsistencias en una línea de tiempo dada al analizar los registros de eventos del sistema de la ventana y puede
acceder a los metadatos del archivo MAC (Modified Accessed Created) y crear una tabla de base de datos relacionada con el archivo de
información al que se accede. De esta forma, se posibilita la construcción de la evidencia a través de la construcción de líneas de tiempo.
• Visualización de línea de tiempo de informática forense:Computer Forensics Timeline Visualization (CFT Visual) es una herramienta basada en
la línea de tiempo utilizada en Cyber-forensic Timelab [50]. Al aplicar este método, las evidencias obtenidas se basan en las variaciones de
tiempo, lo que daría como resultado la creación de un gráfico de eventos basado en una línea de tiempo que permite a los investigadores
saber e identificar qué sucedió justo después y antes de un evento determinado (causa/consecuencia).
3.2 Análisis forense de redes
Network-forensics es una rama que se deriva del árbol de análisis forense digital. Es responsable de monitorear y analizar los dispositivos y el
tráfico de la red como parte de la recopilación de información legal y la recuperación de evidencia legal.
3.2.1 Evidencia basada en la red
Las herramientas de análisis forense de redes se utilizan para recuperar evidencias basadas en redes, que se clasifican de la siguiente manera (consulte la Figura 7).
• Dispositivos de red:incluyen puntos de acceso inalámbricos (AP), conmutadores y enrutadores, con sus conjuntos de direcciones IP y MAC.
• Servidores:incluir servidores DHCP/DNS, así como servidores de autenticación y aplicaciones, con los nombres de usuario,
contraseñas, actividades y privilegios.
• Elementos de seguridad:incluyen proxies web, sistemas de prevención/detección de intrusos en la red (IDS/IPS), así como firewalls
con y sin estado para monitorear el tráfico de Internet entrante y saliente y los registros guardados.
• Redes Locales:incluyen diagramas y aplicaciones utilizadas, con sus registros que contienen detalles e información sobre
los usuarios conectados.
Figura 7: Evidencia basada en la red
3.2.2 Enfoques de análisis forense de redes
Debido al aumento en el comportamiento de uso indebido de la red, se necesitaban nuevos enfoques para garantizar una respuesta de
emergencia rápida y una investigación de incidentes, para mejorar la seguridad de la red y los aspectos forenses. Como resultado, Wei et al.
presentaron un gráfico de evidencia. en [51]. En [46], Kumari et al. revisó diferentes enfoques utilizados para las investigaciones forenses de
redes. En [52], Alzaabin et al. presentó un sistema de análisis forense utilizado para la investigación de delitos. Los autores se basaron en el
marco "Sistema de investigación de delitos que utiliza la importancia relativa de los difusores de información en redes que representan las
comunicaciones de los delincuentes" (CISRI) [52] para determinar el jefe del grupo ciberdelincuente a través de la investigación del delito y
para describir la relación entre un determinado grupo criminal a través de un gráfico que es
10
basado en llamadas telefónicas, registros de llamadas y mensajes. En [53], Hajdarevic et al. presentó un
enfoque diferente que permite la recolección, el análisis y el reporte de evidencias a través de una
investigación forense. Esto ayuda a que las pruebas digitales sean legales y aceptables para los tribunales. En
[54], se presentaron nuevas herramientas prototipo de análisis forense de redes para generar un análisis de
evidencia automatizado. Esto ayuda a reducir el tiempo de respuesta para superar los problemas del análisis
manual. De hecho, estos prototipos ayudarían a identificar a los atacantes y determinar el papel de cada uno
en un determinado grupo de ciberdelincuentes. En [55], Koroniotis et al. logró proporcionar una nueva
taxonomía forense de red que es aplicable a botnets en dominios relacionados y no relacionados con IoT para
evaluar sus fortalezas y debilidades. En [3], Pilli et al.
De hecho, el análisis forense de redes se puede categorizar de manera diferente, o principalmente como dos categorías explicadas en [58, 59]. En la
primera categoría, “Atrápalo como puedas (CIAYC)” [60], todos los paquetes se envían a través de un punto de tráfico antes de almacenarse en bases de
datos para su posterior análisis. En la segunda categoría, “Deja de Mirar y Escuchar (SLAL)” [61], los datos solo se almacenan en bases de datos para
futuros análisis.
3.2.3 Herramientas NFA y NSM
Las herramientas de análisis forense de red (NFAT) [62] y las herramientas de monitoreo y seguridad de red (NSMT) [58] se utilizan para
analizar los datos recopilados y agregados. Además, proporcionan seguridad IP, junto con la detección de ataques internos/externos, además
de garantizar un análisis de riesgos y recuperación de datos. Esto les permite ser utilizados para la detección de anomalías con la capacidad de
detectar y predecir futuros ataques a través de la confianza en los registros de IDS/IPS y Firewall [63]. Por lo tanto, las principales herramientas
de análisis forense de redes se resumen en la Tabla 2 de la siguiente manera:
En la Tabla 3 se resume una descripción más detallada de las herramientas de monitoreo y seguridad de la red.
3.3 Análisis forense en la nube
La evolución del mundo digital condujo a la cooperación y colaboración entre el análisis forense en la nube y el análisis forense digital. En este
contexto, el análisis forense en la nube [64, 65] juega un papel clave en la era de los grandes datos. Los teléfonos inteligentes, las
computadoras, las computadoras portátiles, las tabletas y los vehículos almacenan sus datos en la nube, lo que presenta varios beneficios.
Estos beneficios incluyen la escalabilidad, la gran capacidad y la accesibilidad bajo demanda. Sin embargo, la transferencia de datos a través de
la red los expone a varios ataques contra dominios relacionados con la nube. Como resultado, los usuarios de la nube se convertirían en
víctimas de delitos cibernéticos. Por lo tanto, esto exige que se aplique el análisis forense digital en los entornos de la nube (conocido como
análisis forense en la nube) [66]. Sin embargo, la investigación forense en la nube no es una tarea sencilla debido a la dificultad de localizar e
identificar la fuente de la evidencia.
3.3.1 Herramientas de análisis forense en la nube
A pesar de que hay pocas herramientas forenses en la nube disponibles, existe una creciente demanda de desarrollar herramientas más
sofisticadas y eficientes [67]. En [68, 69, 70], se analizan y comparan diferentes herramientas forenses en la nube. Por lo tanto, las principales
herramientas forenses en la nube se presentan en la Tabla 4.
3.4 Análisis forense de correo electrónico
El número de cuentas de correo electrónico y mensajes crece constantemente [71]. De hecho, el análisis forense del correo electrónico puede estar relacionado de
alguna manera con el análisis forense informático [72], dado que los correos electrónicos presentan la principal plataforma de comunicaciones que garantiza tanto la
confidencialidad como la integridad de los datos compartidos.
3.4.1 Enfoques forenses de correo electrónico
Muchos servicios de comunicación por correo electrónico (p. ej., Outlook, Yahoo, G-mail), plataformas y servicios de marketing (p. ej., Constant Contact,
SendinBlue, AWeber, GetResponse y Mailchimp) se utilizan ahora. Como resultado, el análisis forense del correo electrónico se está convirtiendo en
objetivos clave para que los piratas informáticos recuperen información confidencial y delicada de las empresas a través del phishing [73] y el phishing
selectivo [74], la caza de ballenas, la marcación de guerra y el vishing. Esto se debe a la focalización en empleados y personal, administradores y directores
ejecutivos (CEO). Por lo tanto, es fundamental encontrar la herramienta forense adecuada para garantizar la protección forense del correo electrónico. En
[75], Paglierani et al. logró descubrir las credenciales de la cuenta de G-mail. Este método consistía en el restablecimiento de las sesiones de G-mail ya
existentes, mediante el empleo de una representación [76] de encabezados de correo electrónico de lenguaje de marcado extensible de análisis forense
de correo electrónico/marco de descripción de recursos de análisis forense de correo electrónico (EFXML/EFRDF). En [46], Kumari et al. usó Digsby [77]
para la investigación forense de correo electrónico, donde se emitió Digsby Log Analyzer (DigLA) para ubicar y detectar archivos de registro de datos sin la
necesidad de conocer detalles sobre la ubicación del archivo [77]. Es más,
11
Tabla 2:Herramientas forenses utilizadas para investigaciones forenses de redes
Análisis forense de redes Descripción

Herramientas de análisis (NFAT)
intercepción de red Captura el tráfico de la red, lo almacena en formato pcap, detecta la suplantación de identidad y genera una variedad de
informes.
NetWitness Captura el tráfico de red y reconstruye las sesiones de red en la capa de aplicación para garantizar un
análisis automatizado y una detección de día cero.
Detector de red Captura intrusiones y realiza análisis de red de múltiples escalas de tiempo y detección de anomalías basadas en
firmas.
Iris Recoge el tráfico de la red y lo reensambla, además cuenta con un mecanismo avanzado de búsqueda y filtrado para una
rápida identificación de los datos.
Infinistream Utiliza tecnología inteligente de captura profunda de paquetes (iDPC), mientras realiza un análisis en tiempo real o
retroactivo, y grabación inteligente y extracción de datos para la optimización.
Solera DS 5150 Se utiliza para una captura de datos de alta velocidad y filtrado de tráfico de red.
DeepSee Incluye tres softwares que son informes, sonar y búsqueda, para indexar, buscar y reconstruir el
tráfico de la red.
OmniPeek/Etherpeek Proporciona una visibilidad de la red en tiempo real, junto con una alta capacidad de captura y análisis experto, también
garantiza un analizador de tráfico de red de bajo nivel.
Corredor silencioso Captura, analiza y visualiza la actividad de la red, mientras reconstruye los incidentes de seguridad en su
secuencia exacta.
Minero de red Captura el tráfico de la red a través de rastreo pasivo o en tiempo real, y evalúa la cantidad de datos que se filtraron.
Xplico Captura el tráfico de Internet y lo reconstruye para presentar los resultados en una forma visualizada.
PyBandera Analiza los paquetes capturados en la red, al tiempo que admite una serie de protocolos de red, junto con el análisis de
archivos pcap, para extraer y diseccionar paquetes en protocolos de bajo nivel.
volcado TCP I es un analizador de paquetes de red de línea de comando de windump que admite análisis forense de red.
Ngrep Es una herramienta que depura un tráfico de red de bajo nivel.
Tiburón alambre Forma una base para el monitoreo forense de la red y los estudios forenses.
Serie Airxxx-ng Se utiliza para garantizar herramientas de análisis de tráfico de bajo nivel para LAN inalámbricas.
Nueveprofundos Proporciona una defensa de red basada en identidad en tiempo real con análisis forense de red básico.
Argos Se utiliza con fines de no repudio, junto con la detección de escaneos lentos, mientras admite
ataques de día cero.
fenris Se utiliza para análisis de código/protocolo, depuración, investigación de vulnerabilidades, auditorías de seguridad, análisis
forense de redes e ingeniería inversa.
Análisis forense y de registros Se utiliza para garantizar un análisis de archivos de registro combinado con análisis forense de red e implementación de Python.
Bufido Se utiliza para la detección y prevención de intrusiones en la red y el análisis forense de la red.
Sabio Se utiliza para un análisis forense/de red en vivo, junto con informes de infraestructura crítica.
Identificación del dragón Ofrece detección de intrusiones en la red/host y análisis de red forense.
RSA EnVision Proporciona un análisis forense de red en vivo, protección contra fugas de datos y gestión de registros.
Solera DS Proporciona un análisis forense de red en vivo, utilizado como una herramienta de análisis junto con la capacidad de extraer
metadatos.
KIT DE DEFENSA Es una herramienta utilizada para examinar sistemas de archivos y detectar comportamientos informáticos
sospechosos sin interrumpir la red.
dicha herramienta garantiza una recopilación de evidencia digital más rápida para fines de análisis, al tiempo que proporciona el descifrado de contraseñas para
instalaciones Digsby portátiles y específicas de la máquina [77].
3.4.2 Herramientas forenses de correo electrónico
Se presentaron diferentes herramientas forenses de correo electrónico junto con muchos otros enfoques y explicaciones en [78, 79, 80]. En consecuencia,
las herramientas forenses de correo electrónico se resumen en la Tabla 5 de la siguiente manera.
3.5 Análisis forense de malware
También se conoce como análisis de malware que tiene como objetivo estudiar el proceso de determinación de la funcionalidad de un malware
determinado, junto con su impacto y el tipo de anuncio de origen (es decir, virus, gusano, caballo de Troya, rootkit o puerta trasera). Dado que la mayoría
de los análisis forenses móviles se centran en el proceso de adquisición de datos [81, 82], es muy esencial identificar aplicaciones sospechosas,
especialmente porque el malware puede ocultarse en aplicaciones maliciosas que parecen legítimas, especialmente en plataformas Android [83, 84 ].
12
Tabla 3:Descripción de herramientas de monitoreo y seguridad de red
Nombres de herramientas de NSM Descripción

volcado TCP Un rastreador y analizador de paquetes que se ejecuta en una línea de comandos e intercepta y muestra los paquetes transmitidos por la
red.
Tiburón alambre Una herramienta multiplataforma que realiza una captura en vivo en formato libpcap, junto con un análisis fuera de línea.
Flujo TCP Una herramienta que captura los datos transmitidos como parte de las conexiones TCP y los almacena para un análisis de protocolo.
Herramientas de flujo Una biblioteca que recopila, envía, procesa y genera informes de datos de NetFlow.
NfDump Funciona con formatos NetFlow al capturar lecturas de daemon, mostrarlas y crear estadísticas de flujos y almacenar los
datos filtrados.
ALMOHADILLAS Un sniffer de red ligero e inteligente, y un motor de detección basado en firmas que se utiliza para detectar pasivamente cualquier activo de
la red.
nessus Un escáner de vulnerabilidades que garantiza un descubrimiento de datos confidenciales y un análisis de vulnerabilidades de alta velocidad.
Sebek Diseñado para capturar toda la actividad de Honeypot
Rastreo TCP Produce diferentes tipos de salida que contienen información, como el tiempo transcurrido y el rendimiento.
Ntop Se utiliza para medir, monitorear, planificar y detectar cualquier violación de seguridad del tráfico de la red.
TCPStat Informa el ancho de banda de la red, junto con la cantidad de paquetes y el tamaño promedio de los paquetes.
Flujo de red IOS Recopila atributos de IP de cada paquete reenviado y detecta anomalías de red y vulnerabilidades de seguridad.
TCPDstat Produce un desglose del tráfico por protocolo, incluidos los paquetes de red y los patrones de tráfico.
Ngrep Depura las interacciones del protocolo de texto sin formato para analizar e identificar cualquier comunicación de red anómala.
TCPXtracción Extrae archivos a través de la intercepción de un tráfico de red basado en sus firmas.
Seda Admite una captura, un almacenamiento y un análisis eficientes del flujo de datos de la red, junto con el análisis forense de la red.
TCPRepetir Clasifica el tráfico capturado previamente, reescribe los encabezados de las capas y reproduce el tráfico de la red.
P0f Una herramienta de huellas digitales pasivas del sistema operativo que captura el tráfico entrante de los hosts a las redes y detecta la presencia de un
firewall.
Nmap Una herramienta que se utiliza para la toma de huellas dactilares del sistema operativo y el escaneo de puertos.
Hermano Un sistema de detección de intrusos en la red que supervisa pasivamente el tráfico de la red.
Bufido Un sistema de detección/prevención de intrusiones en la red que realiza el registro de paquetes, rastreo y análisis de tráfico en tiempo real.
Tabla 4:Herramientas de análisis forense en la nube
Herramientas forenses en la nube Descripción

(ClFT)
ESCARCHA Adquiere datos de registros de API, discos virtuales y registros de firewall para llevar a cabo investigaciones
forenses digitales, junto con el almacenamiento de registros de datos en árboles Hash mientras los devuelve en
forma criptográfica.
UFED Un analizador de nube que permite a los investigadores forenses tener evidencia potencial para sus
investigaciones de fuentes de información en la nube, lo que acelera las investigaciones, donde los
datos/metadatos de la nube se recopilan utilizando UFED PRO para empaquetarlos y usarlos para
exámenes forenses.
3.5.1 Enfoques forenses de malware
Para garantizar un mejor análisis de malware, se presentaron varios enfoques como parte de la resolución de problemas y desafíos de análisis forense de malware. En [85], Li et al. identificó los
primeros pasos del análisis forense móvil, que se basa en la identificación de aplicaciones maliciosas. Sin embargo, todavía existen muchos desafíos relacionados con las herramientas de detección de
malware [86]. En [87], Khurana et al. dividió el análisis de malware en dos áreas principales, incluido el análisis de comportamiento y el análisis de código. Más precisamente, el análisis de
comportamiento tiene como objetivo examinar cómo un malware interactúa con su entorno [88], mientras que el análisis de código examina el código malicioso del malware [89]. Además, en [90] se
presentaron varios métodos y taxonomías. Sin embargo, el análisis del comportamiento aún permanece como un tema abierto. En [91], Cook et al. se basó en seis métricas individuales principales para
medir el nivel de efectividad de la atribución en el contexto de los Sistemas de Control Industrial (ICS) aplicados a las Infraestructuras Críticas (CI). En [92], Rathnayaka et al. presentó un análisis de
malware que integra el análisis estático de malware con el análisis forense de volcados de memoria. Su enfoque puede analizar tipos de malware avanzados que ocultan sus comportamientos sin
mostrar ningún artefacto posible con un resultado de precisión del 90 %. Sin embargo, este enfoque no es compatible con diferentes entornos y sufre problemas de tamaño de volcado de memoria. Su
enfoque puede analizar tipos de malware avanzados que ocultan sus comportamientos sin mostrar ningún artefacto posible con un resultado de precisión del 90 %. Sin embargo, este enfoque no es
compatible con diferentes entornos y sufre problemas de tamaño de volcado de memoria. Su enfoque puede analizar tipos de malware avanzados que ocultan sus comportamientos sin mostrar
ningún artefacto posible con un resultado de precisión del 90 %. Sin embargo, este enfoque no es compatible con diferentes entornos y sufre problemas de tamaño de volcado de memoria.
13
Tabla 5:Herramientas de investigación forense de correo electrónico
Herramientas forenses de correo electrónico Descripción

(EFT)
MailXaminer forense Realiza colaboración y acceso a datos, y admite múltiples buzones, equipados con filtros de búsqueda para una búsqueda y recuperación
Software de análisis de correo electrónico de correo electrónico forense precisa, junto con almacenamiento y preservación de evidencia de correo electrónico.
Software Aid4Mail Fookes Un software de archivo de correo electrónico que se utiliza para buscar en el correo, producir resultados basados en filtros y
convertir el correo a formatos de producción estándar de la industria de una manera muy precisa capaz de preservar de
forma segura los metadatos ocultos.
Software de correo electrónico MXToolBox Analiza las direcciones IP y explora el ciberdelito.
Examinador de correo electrónico de parabenos Permite a los usuarios realizar exámenes de correo electrónico.
SOSoftware forense Realiza búsquedas forenses de correo electrónico.
Visor EDB gratuito Es fácil de usar, toda la información del buzón de correo relacionada con el usuario estará disponible aquí y permite la visualización sin conexión de los
correos electrónicos de EDB.
Visor de intercambio EDB Se puede asociar con el intercambio de servidores y contiene información crucial para permitir una investigación
forense.
Visor EML FreeViewer Utiliza formato EML para almacenar correos electrónicos localmente.
Visor OST de FreeViewer Ayuda a ver toda la información relacionada con el correo electrónico de un archivo OST adjunto con Outlook.
Visor de PST de FreeViewer Lee el contenido del archivo PST, como correos electrónicos, archivos adjuntos junto con la información del encabezado.
Visor de MSG FreeViewer Lee el contenido dentro del archivo MSG de Outlook junto con los encabezados. y datos adjuntos
Visor SQL MDF Visualiza bases de datos MDF sin entornos de SQL Server.
Visor SQL LDF Ayuda a analizar lo que sucedió con las bases de datos de SQL Server.
Visor de MBOX FreeViewer Lo utilizan muchos clientes de correo electrónico y MBOX Viewer puede verlo fácilmente.
Visor MBS de Opera Es un cliente de correo que almacena y envía correos electrónicos a los usuarios, también genera archivos MBS.
Visor DBX Los usuarios pueden usar esta herramienta para ver el correo electrónico, la información del encabezado y los archivos adjuntos.
Visor WAB Almacena detalles de contacto en formato WAB y permite la recuperación de información de contacto almacenada en formato
WAB.
Visor de ZDB Zimbra se puede conectar a Outlook para ver la información del encabezado del correo electrónico.
3.5.2 Herramientas de análisis forense de malware
Las herramientas de análisis forense de malware son esenciales para cualquier análisis e investigación de malware. Por esta razón, las diferentes
herramientas forenses de malware se resumen en la siguiente tabla, Tabla 6, y se explican y analizan con más detalle en [93, 94, 95, 96].
Tabla 6:Herramientas de análisis forense de malware
Herramientas forenses de malware (MFT) Descripción

PARA610 Explora las herramientas de análisis de malware y ayuda a los investigadores forenses y a los que responden a incidentes a adquirir las habilidades prácticas necesarias
para examinar los programas maliciosos que infectan los sistemas Windows.
Cuco [97] Caja de arena Una plataforma de código abierto que automatiza el análisis de archivos maliciosos con una retroalimentación detallada y significativa y garantiza la detección y
protección de malware.
Reglas de otro acrónimo recursivo Una herramienta de atribución de malware de código abierto que se utiliza para clasificar y analizar muestras de malware según patrones textuales o
más (YARA) binarios. El malware se describe según sus patrones.
Respuesta rápida de Google (GRR) Un marco de respuesta a incidentes que analiza estaciones de trabajo específicas en busca de huellas de malware, consta de un agente implementado
en el sistema de destino y una infraestructura de servidor interactivo para interactuar con el agente, se pueden realizar varias tareas forenses en la
máquina del cliente.
remanente Utiliza el enfoque de ventanilla única para aplicar ingeniería inversa a las muestras de malware, ayudar a investigar el malware basado en navegador, garantizar el
análisis forense de la memoria y analizar múltiples muestras de malware.
3.6 Análisis forense de la memoria
El análisis forense de la memoria revela la mayor parte de la información de credenciales del delito. Este tipo de análisis forense está destinado a evaluar
la memoria física, incluida la integridad, la corrección, la velocidad y la cantidad de interferencia. Como resultado, se enumeraron varias herramientas y
pasos útiles de análisis forense de memoria para una investigación forense de memoria mejorada en [98, 99].
3.6.1 Visualización de la memoria
Las memorias volátiles se caracterizan por su alta velocidad de operaciones de lectura/escritura. Por lo tanto, la visualización es crucial en el caso de la
memoria volátil, especialmente con discos de gran tamaño y cifrado de disco completo. En este contexto, los lectores de memoria MAC permiten la
visualización del mapeo de memoria física, de manera similar al mapa de memoria de arranque show utilizado en el kit de depuración del kernel de Apple
[100, 98].
Después de mapear la memoria, el proceso de investigación requiere un registro de la "memoria física correcta y completa" de un dispositivo
dado o Sistema Básico de Entrada/Salida (BIOS) [101, 102]. Por lo tanto, su función principal es registrar la memoria de la imagen para evitar la
alteración de la memoria, especialmente en la memoria RAM física [103].
14
3.6.2 Enfoques forenses de la memoria
En cuanto al análisis forense de la memoria, en [104] se presentaron varios enfoques para mitigar los problemas de memoria volátil (es decir, la memoria de acceso aleatorio [RAM] [105]) para permitir que las agencias
encargadas de hacer cumplir la ley emprendan acciones legales contra los ciberdelincuentes. En [106], Shosha et al. desarrolló un prototipo para detectar programas maliciosos utilizados por delincuentes. Este prototipo se
basa en la deducción de pruebas, que a su vez se basa en las huellas del sospechoso del programa. En [104], Olajide et al. utilizó volcados de RAM para extraer información sobre la entrada del usuario de las aplicaciones de
Windows. En [107], Ellick et al. presentó una herramienta forense de RAM conocida como ForenScope [108]. Esta herramienta asegura la investigación de una máquina determinada mediante el uso de bash-shell regular,
que permite desactivar las herramientas anti-forense mientras busca cualquier evidencia potencial. En [109], Johannes et al. presentó un enfoque diferente. Este enfoque investiga el firmware a lo largo de sus componentes
y mejora las imágenes forenses basadas en el mapeo de tablas de páginas y la introspección de PCI. En [110], Shashidhar et al. presentó un enfoque que tenía como objetivo apuntar al valor potencial de una carpeta de
recuperación previa, junto con la carpeta de recuperación previa en sí. Se utiliza para iniciar y acelerar un programa de máquina de ventana. En [111], Latzo et al. examinó el dominio de análisis forense de memoria y
presentó una taxonomía de adquisición de memoria forense que es independiente del sistema operativo (SO) y la arquitectura de hardware (HA), y también se puede implementar antes o después del incidente. presentó un
enfoque que tenía como objetivo apuntar al valor potencial de una carpeta de recuperación previa, junto con la carpeta de recuperación previa en sí. Se utiliza para iniciar y acelerar un programa de máquina de ventana. En
[111], Latzo et al. examinó el dominio de análisis forense de memoria y presentó una taxonomía de adquisición de memoria forense que es independiente del sistema operativo (SO) y la arquitectura de hardware (HA), y
también se puede implementar antes o después del incidente. presentó un enfoque que tenía como objetivo apuntar al valor potencial de una carpeta de recuperación previa, junto con la carpeta de recuperación previa en
sí. Se utiliza para iniciar y acelerar un programa de máquina de ventana. En [111], Latzo et al. examinó el dominio de análisis forense de memoria y presentó una taxonomía de adquisición de memoria forense que es
independiente del sistema operativo (SO) y la arquitectura de hardware (HA), y también se puede implementar antes o después del incidente.
3.6.3 Herramientas forenses de memoria
Este artículo resume las principales herramientas forenses de memoria que se presentan y explican en [112, 41]. Por ejemplo, se
utilizó PTFinder [113], que es un conjunto de herramientas forenses, para permitir la investigación del contenido de la memoria
principal. Para mayor claridad, estas herramientas se resumen en la siguiente Tabla 7.
Tabla 7:Herramientas de investigación forense de la memoria
Herramientas forenses de memoria Descripción

(MFT)
Kit de herramientas forenses de Incluye todas las herramientas necesarias para llevar a cabo una investigación forense o de respuesta a incidentes en profundidad.
investigación SANS (SIFT)
multitudhuelga Cuervo- Se utiliza como parte de un escenario de respuesta a incidentes para recopilar información contextual y también puede
dRespuesta escanear el host en busca de malware.
Volatilidad Es un marco forense de memoria para respuesta a incidentes y análisis de malware que permite la
extracción de artefactos digitales de volcados de memoria volátil (RAM).
Kit de detective Se puede utilizar para realizar un análisis en profundidad de varios sistemas de archivos.
generador de imágenes FTK Permite el examen de archivos y carpetas en discos duros locales, unidades de red, CD/DVD, mientras
revisa el contenido de imágenes forenses o volcados de memoria.
Linux 'dd' Se utiliza para un análisis forense que limpia un disco mientras también crea una imagen de disco sin procesar.
Entorno de investigación asistido Incluye una GUI fácil de usar, herramientas de informes semiautomáticas para análisis forense móvil y de red, junto con la
por computadora (CAINE) recuperación de datos.
ExifTool Rápido y admite una amplia gama de formatos de archivo, y se utiliza para leer, escribir o editar información de
metadatos de archivos.
Editor hexadecimal gratuito Neo Está diseñado para manejar y cargar archivos muy grandes, junto con la recopilación de información o la búsqueda de
datos ocultos.
Extractor a granel Escanea una imagen de disco, archivo o directorio de archivos y extrae información, incluidas direcciones de correo electrónico, URL
y archivos ZIP.
HÁBIL Su objetivo es ayudar con escenarios de respuesta a incidentes, inteligencia cibernética e informática forense.
Última vista de actividad Permite ver qué acciones realizó un usuario y qué eventos ocurrieron en la máquina, útil para
probar que un usuario determinado realizó una acción que negó.
Bloqueador de escritura USB DSi Garantiza un bloqueo de escritura en los dispositivos USB para mantener seguros los datos y los metadatos.
Línea Roja FireEye Realiza análisis de archivos y memoria del host, recopila información de la memoria y recopila sistemas de archivos para
crear un perfil general de evaluación de amenazas.
PlainSight Permite a los usuarios realizar tareas de análisis forense digital, además de examinar volcados de memoria
física y más.
altura x profundidad Realiza una edición y modificación de bajo nivel de un disco sin formato o memoria principal (RAM).
HELIX3 Gratis Está construido y utilizado en respuesta a incidentes, análisis forense informático y escenarios de descubrimiento electrónico.
Historiador USB Muestra información útil, incluidas las unidades USB y los números de serie, para comprender si los datos
fueron robados, movidos o accedidos.
3.7 Análisis forense móvil
El análisis forense móvil se clasifica como una nueva rama del análisis forense digital, que se trata de analizar dispositivos móviles
para recuperar y recuperar datos digitales que sirven como evidencia. Esto se hace preservando la integridad de la evidencia en un
15
estado no contaminado e inalterado [114, 115]. Las herramientas y técnicas forenses móviles se basan en enfoques de análisis cuantitativo
[116]. Más precisamente, esto se debe al hecho de que los dispositivos móviles contienen una gran cantidad de información y datos digitales
(es decir, contactos, registros de llamadas, SMS, información Wi-Fi, dirección IP/MAC, señales de sistemas de posicionamiento global (GPS),
Bluetooth, etc. ...) que pueden servir como prueba.
• Localización de evidencias:Localizar evidencias en forense móvil no es una tarea fácil, pero se puede lograr. En [117],
Chernyshev et al. describió las especificaciones de las fuentes de las evidencias del teléfono móvil. Esto incluye la unicidad y
persistencia de los identificadores de dispositivos, así como la información de la red y la configuración local personal (es
decir, contraseñas guardadas, cookies, documentos electrónicos, actividades de navegación web, etc.).
• Artefactos digitales:Antes de describir y clasificar las herramientas forenses móviles, es importante saber qué artefactos
digitales se pueden recuperar primero, incluidos sus tipos. Por esta razón, se presentó la Figura 8.
Figura 8: Artefactos digitales de análisis forense móvil
- Memoria interna:incluye la memoria flash NAND [118]. En un tipo de memoria de este tipo, se pueden encontrar muchas
evidencias, como datos digitales, SMS, registros de llamadas e historial del navegador.
- Memoria externa:incluye la tarjeta SIM, donde también se pueden encontrar y recuperar varias evidencias, como los datos del
suscriptor, la ubicación en tiempo real y el almacenamiento de memoria interna adicional.
– Registros del proveedor de servicios:incluye registros de llamadas, duración y uso que se pueden identificar y recuperar incluso después de la
eliminación.
• Herramientas forenses móvilesEn los últimos años, los dispositivos móviles han estado involucrados tanto en escenas de delitos como de
delitos cibernéticos como testigos digitales vitales para investigar los delitos relacionados con dispositivos móviles. Para mayor explicación
técnica, la Tabla 8 resume las principales herramientas forenses móviles.
Como resultado, estas herramientas forenses se resumen en la Figura 9.
3.8 Análisis forense de IoT
IoT es una red inteligente capaz de tomar decisiones y autogestionarse, al tiempo que está vinculada a varios dominios, incluido IoT médico
[121]. A diferencia del análisis forense tradicional que se basa en el dominio Triple-A (conocido como autenticación, autorización y
contabilidad) [122], el análisis forense de IoT se basa en etiquetas de identificadores de radiofrecuencia (RFID), así como en la red y los nodos
sensores. De hecho, la Tabla 9 contiene una comparación entre el análisis forense tradicional y el análisis forense de IoT.
A continuación, se detallan las características de IoT en base a los elementos de comparación incluidos en la Tabla 9.
• Fuente de evidencia:Identificar la fuente de la evidencia requiere tener conocimiento del tipo de dispositivos que se utilizan (es
decir, software, hardware y sistema operativo). Además, también requiere recopilar las evidencias forenses necesarias de las
escenas de delitos cibernéticos digitales y basadas en IoT.
• Información crucial:Debido al creciente crecimiento del número de dispositivos, con más de billones de dispositivos
interconectados operativos en redes IoT [123], el objetivo es localizar e identificar cualquier información disponible que
resulte crucial para una investigación forense dada, a pesar de las explosiones. en términos de tamaño de datos en
plataformas IoT [124], que puede alcanzar hasta 40 000 exabytes para 2020 [125].
dieciséis
Tabla 8:Descripción de Herramientas forenses móviles
Análisis forense móvil Descripción

Herramientas (MFT)
OXÍGENO forense Extrae datos de dispositivos móviles y los analiza, y asegura un uso y adquisición eficiente de la información
EQUIPO
Enlace piloto Es un software de código abierto diseñado para el cliente Linux y proporciona los medios para encontrar el contenido del dispositivo lógico
que puede ser examinado manualmente por los emuladores de Palm OS [119]
Encerrar Permite el dispositivo palm OS y almacena la imagen de flujo de bits físicos del archivo para uso futuro y se puede ver en cualquier
momento en el futuro, también ayuda a tomar una instantánea física y lógica del estado actual del dispositivo. [120]
Incautación de PDA Garantiza un acceso lógico a la información mediante el uso del protocolo API para permitir que las aplicaciones de
escritorio se comuniquen con los dispositivos móviles y permite investigar Pocket PC y Palm OS, junto con marcadores y
bibliotecas gráficas.
XRY Se utiliza para analizar y recuperar información crucial de dispositivos móviles, y se compone de dispositivos de hardware y
software y está diseñado para recuperar datos para su análisis.
PlainSight Recupera datos eliminados (llamadas, SMS, imágenes, etc.) de todo tipo de teléfonos inteligentes, incluidos Android, iPhone y
BlackBerry.
Cellebrite UFED Es un flujo de trabajo unificado que permite a los investigadores junto con los primeros en responder recopilar, proteger y actuar sobre datos móviles de una manera
rápida pero precisa sin correr el riesgo de que los datos se vean comprometidos.
Tabla 9: Análisis forense tradicional versus IoT
Comparación Medicina forense tradicional Análisis forense de IoT
Propiedad Particulares, empresas, gobiernos, etc. Individuos, empresas, gobiernos

protocolos Ethernet, inalámbrico, Bluetooth, IPv4, IPv6 Inalámbrico, Bluetooth, Zigbee, RFID
Tamaño de datos Terabytes exabytes
Número de dispositivos Miles de millones 40+ billones
Redes Naturaleza Alámbrico, Inalámbrico, Bluetooth, GSM Inalámbrico, Bluetooth, RFID, WSN, 4G/5G
Fuente de evidencia AAA, pasarelas, redes sociales Etiqueta/lector RFID, nodos/redes de sensores
Tipo de evidencia Documentos electrónicos, formatos de archivo estándar Cualquier formato disponible
3.9 Problemas persistentes de IoT
Uno de los principales problemas forenses de IoT es la falta de una aplicación forense de IoT confiable [126]. Además, no existe una guía
forense digital que permita recuperar datos de un dispositivo IoT, en caso de una investigación forense activa o un evento cibernético que
ocurra. Más precisamente, las tecnologías integradas son un desafío debido a su dependencia del sistema operativo de la computadora
tradicional o incluso de los datos magnéticos. Por lo tanto, en [126], Watson et al. introdujo la necesidad de una técnica avanzada de
recuperación de datos siempre que se requiera una adquisición de datos desde un dispositivo IoT remoto integrado. De hecho, parece que la
complejidad del análisis forense digital se debe a tres problemas principales:
• Almacenamiento de datos inaccesibles:No se puede acceder al almacenamiento de datos a bordo mediante el uso de métodos forenses
digitales tradicionales.
• Conjuntos de datos acumulativos dispersos:podría existir en varias pero diferentes ubicaciones geográficas.
• Datos ilegibles:en caso de que se hayan adquirido los datos, el problema es que no se pueden leer ni acceder a ellos con las herramientas
disponibles.
4 desafíos de la ciencia forense digital
Hasta el momento, hay muchos desafíos y problemas que rodean el dominio forense en su conjunto [42, 127]. Como resultado, los
desafíos del análisis forense digital se pueden dividir en desafíos técnicos, operativos, legales y de investigación. Esta taxonomía es
ligeramente similar a la presentada por Karie et al. en [128].
4.1 Desafíos técnicos
Durante una investigación forense, se encuentran diferentes tipos de desafíos técnicos que requieren tratar con datos criptográficos y no
criptográficos. Esto incluye el tamaño de los datos, la ubicación de los datos, la ocultación de datos, la eliminación de datos, las herramientas
antiforenses y la incompatibilidad, lo que puede dificultar una investigación o un consumo extremo de recursos y tiempo.
17
Figura 9: Clasificación de herramientas forenses
• Desafíos criptográficos:El nivel de cifrado juega un papel clave en una investigación forense, ya que puede variar entre
técnicas de cifrado simétricas y asimétricas. De hecho, los piratas informáticos y los ciberdelincuentes lo utilizan para
preservar la privacidad de sus datos para evitar su captura. Por lo tanto, esto explica su dependencia del anonimato, el
cifrado homomórfico, el intercambio de secretos y la privacidad diferencial, junto con otros mecanismos de cifrado para
que sea casi imposible que los investigadores forenses digitales los descifren.
• Tamaño de datos:Otro desafío técnico está relacionado con el tamaño de los datos (datos pequeños, datos medianos, datos
grandes [129, 130]) que se deben recuperar. Esto también incluye buscar qué datos se pueden usar como evidencia, identificando
qué datos son relevantes y qué datos no sirven para ningún propósito. Por lo tanto, los ciberdelincuentes confían en cubrir sus
huellas y dejar datos que no sirven para hacer perder el tiempo a los investigadores.
• Ubicación de datos:Localizar dónde se almacenan los datos es otro desafío, ya que no es fácil saber dónde se almacenan y
ubican los datos. Se debe al hecho de que los piratas informáticos utilizan VPN, proxies y TOR para realizar sus ataques de
forma anónima sin dejar ningún rastro o rastro, lo que limita la cantidad de datos que se recuperan y analizan en busca de
cualquier posible rastro o evidencia.
18
• Borrado de datos:Limpiar o eliminar datos también se convirtió en un serio desafío para los investigadores forenses, ya que los piratas
informáticos y los ciberdelincuentes seguían eliminando sus datos sin posibilidad de recuperación. Por lo tanto, deja a los investigadores
forenses con poca o ninguna evidencia para llevar a cabo su investigación digital.
• Ocultación de datos:Ocultar datos es una técnica popular utilizada tanto por ciberdelincuentes como por piratas informáticos. Tal técnica se
basa en la esteganografía para ocultar datos. En algunos casos, los piratas informáticos también confían en ocultar sus datos en RAM volátiles
(memoria de acceso aleatorio). Por lo tanto, una vez que se apaga, los datos se borran por completo y no hay nada que los investigadores
digitales puedan hacer para recuperarlos.
• Herramientas anti-forenses:Las herramientas antiforenses se utilizan debido a su popularidad y eficacia para contrarrestar las
investigaciones forenses y eliminar cualquier fuente de evidencia que pueda recuperarse o rastrearse. De hecho, estas
herramientas imponen un grave riesgo y amenaza para cualquier investigación digital, ya que es muy fácil usarlas para borrar datos
sin posibilidad de recuperación.
• Incompatibilidad:Debido a las diversas técnicas y tecnologías utilizadas por los dispositivos IoT, las herramientas forenses son casi
poco confiables cuando se trata de lidiar con los diferentes tipos de dispositivos, especialmente los dispositivos falsificados. Esto
hace que el proceso de recuperación de datos sea muy difícil y casi imposible.
• REDADA:El uso de matrices redundantes de discos independientes como una tecnología que combina diferentes unidades físicas en una sola
unidad lógica que da como resultado una virtualización del almacenamiento de datos [5] está aumentando. Esta técnica se basa
principalmente en el orden arbitrario de los discos, el orden de las bandas, el tamaño de las bandas y el tamaño de los bloques, junto con el
uso de controladores RAID poco comunes para eliminar cualquier evidencia, lo que está resultando muy difícil de recuperar.
• Almacenamiento de computación en la nube:Debido a la aparición de la computación en la nube [131], los datos se transfieren y
subcontratan a terceros. Por lo tanto, se lanzará un nuevo desafío contra un proceso de investigación forense, especialmente con
terceros no confiables y semi confiables. Una vez que los datos se almacenan o transfieren a través de servicios en la nube, se
pueden transferir entre diferentes países que imponen diferentes regulaciones. Esto complicaría y afectaría seriamente una
investigación dada.
4.2 Desafíos operativos
Aparte de los desafíos técnicos, los desafíos operativos también presentan una seria amenaza para el proceso de investigación forense. Esto se
debe a la falta de gestión de incidentes, la falta de procedimientos estandarizados y la falta de preparación forense.
• Falta de gestión de incidentes:La falta de gestión de incidentes, también se conoce como falta de detección, respuesta y
prevención de incidentes. En otros términos, los investigadores forenses digitales aún son incapaces de detectar cualquier
incidente. De hecho, incluso si lograron detectar un incidente, no pueden responder a tiempo o carecen de la capacidad
para responder. Además, faltan herramientas para evitar que ocurra un incidente, incluso con la dependencia de las
respuestas híbridas IDS/IPS [132, 133, 134].
• Falta de procedimientos estandarizados:Debido a la falta de estandarización tanto de los procedimientos como de las políticas, los
investigadores forenses digitales enfrentan desafíos reales para actuar y reaccionar de la manera correcta cuando ocurre un
incidente.
• Falta de preparación forense:Debido a la falta de gestión de incidentes y procedimientos estandarizados, los investigadores
forenses carecen gravemente de cualquier tipo de preparación para lidiar con la escena de un ciberdelito y recuperar evidencias
forenses. Esto hace que sea más difícil detectar y rastrear cualquier evidencia digital.
4.3 Desafíos legales
Después de enfrentar desafíos técnicos y operativos, otro tipo de desafíos requieren más atención para enfrentarlos y superarlos.
Este problema se basa en desafíos legales que incluyen falta de jurisdicción, falta de proceso legal, problemas de seguridad, soporte
insuficiente y preocupaciones de privacidad [135].
• Falta de Jurisdicción:La falta de jurisdicción se debe a la falta de poder oficial para tomar decisiones y juicios legales. Esto se
debe a las estrictas restricciones de los derechos humanos, lo que presenta un serio desafío para los investigadores
forenses a la hora de rastrear y arrestar a los piratas informáticos según el tipo de delitos cometidos.
• Falta de proceso legal:La falta de proceso legal incluye la falta de un proceso penal por parte del tribunal para tomar la
decisión legal y el juicio necesarios sobre un sospechoso cuya culpabilidad se demostró. Por lo tanto, sin el conocimiento
de los asuntos digitales, sin que los tribunales apliquen leyes firmes para enjuiciar a los ciberdelincuentes.
• Temas de seguridad:Los problemas de seguridad son parte de los desafíos legales, especialmente con las preocupaciones de las víctimas
hacia los problemas de confianza. Esto también incluye la precisión y puntualidad de la investigación forense. Más precisamente, se basa en
el nivel de confianza que las víctimas tienen en los servicios federales, al mismo tiempo que les proporciona detalles para rastrear y arrestar a
los ciberdelincuentes.
19
• Apoyo insuficiente:El apoyo insuficiente es otro desafío, que consiste en la falta de fondos y la falta de apoyo
público. De hecho, la falta de confianza y apoyo del público puede resultar en la falta de confianza en el trabajo
realizado por los investigadores forenses.
• Preservar la privacidad de los usuarios y las víctimas:El fuerte aumento de los ataques de ingeniería social basados en las redes sociales se
debe a los excesivos aspectos de compartir la vida en línea de los usuarios en las redes sociales. Sin embargo, debido a los temores de
privacidad de los usuarios y las preocupaciones de los investigadores forenses, violar su privacidad impone un desafío, ya que un evento y un
ataque no se pueden reconstruir fácilmente sin violar la privacidad de los usuarios [136].
• Legitimación:sigue siendo un desafío debido al cambio de la infraestructura moderna a la computación en la niebla y

terceros, como marcos de plataforma como servicio. Por lo tanto, esto ofrece una nueva problemática virtual y compleja.
Como resultado, las investigaciones forenses digitales modernas deben ejecutarse legalmente y sin violar las leyes en el
cibermundo virtual sin fronteras [136].
• Responsabilidad:Debido a que las plataformas de redes sociales (Twitter, Facebook, etc.) hicieron la vista gorda ante las noticias
falsas, esto aseguró su continua difusión, lo que condujo a diversos efectos negativos, como violencia, odio, terror y miedo. Además,
esto también condujo al aumento del phishing y los ataques a la privacidad mediante el robo de las credenciales de los usuarios con
el fin de chantajear, falsificar, falsificar la identidad o infringir la privacidad. Por lo tanto, las empresas de redes sociales deben
permitir y ayudar a los investigadores forenses a rastrear el origen de las noticias falsas y evitar su difusión conteniéndolas y
proporcionando la información útil adecuada para localizar a los perpetradores y mejorarlas [136].
4.4 Desafíos de investigación
Los desafíos de investigación generalmente son causados por la falta de personal forense calificado y la falta de conocimiento forense
cuando se trata de usar herramientas forenses.
• Interoperabilidad de herramientas forenses:dado que las herramientas forenses almacenan datos en varios tipos de formatos diferentes que
varían entre diferentes bases de datos, conjuntos de datos y tipos de estructuras de datos, esto sigue siendo un verdadero desafío y problema
[137]. La falta de estandarización y uniformidad hace que estos análisis forenses digitales sean heterogéneos por naturaleza. Por lo tanto,
existe una necesidad urgente y persistente de un formato de datos unificado para los datos digitales forenses adquiridos.
• Falta de Personal Forense Calificado:La falta de personal forense digital calificado es un desafío en sí mismo,
especialmente con la falta de capacitación y experiencia en el campo forense. De hecho, esto se debe a la falta de
educación, donde muchos investigadores forenses digitales operan sin obtener ningún certificado forense oficial.
• Falta de umbral estandarizado:La falta de un umbral estandarizado se debe a la falta de certificados emitidos para los
investigadores forenses que permitan clasificarlos como autorizados. Muchos investigadores afirman ser investigadores
forenses debido al hecho de que literalmente conocen los detalles o tienen experiencia en el dominio forense. Por lo tanto,
la falta de un umbral estandarizado para clasificar a los investigadores forenses sigue siendo un desafío constante.
• Falta de conocimiento forense:A pesar de la falta de experiencia, conocimiento y habilidades, otro desafío es la falta de
herramientas y equipos forenses. Además, en la mayoría de los casos, los investigadores forenses son incapaces de utilizar estas
herramientas o estos kits forenses debido a la falta de experiencia y habilidades. Esto podría resultar en la pérdida o daño de los
datos originales más allá de la recuperación.
• Falta de habilidades de investigación forense:Otro desafío es la falta de habilidades de investigación. De hecho, estas habilidades se pueden
clasificar en habilidades investigativas suaves y habilidades investigativas duras.
4.5 Desafíos de dispositivos móviles y dispositivos
Los dispositivos inteligentes y móviles junto con las computadoras, las computadoras portátiles y las tabletas son parte del mundo de IoT. Por
lo tanto, los investigadores forenses enfrentan muchos desafíos al extraer datos de estos dispositivos [138, 139]. Estos desafíos se enumeran a
continuación:
• Naturaleza heterogénea:La naturaleza heterogénea de los dispositivos móviles, digitales y de IoT, especialmente con diferentes
configuraciones y componentes de hardware y software [140], es un desafío para la investigación forense digital. Por lo tanto, se
necesitan diferentes técnicas y herramientas forenses para investigar y desmontar un dispositivo determinado para evitar el riesgo
de destrucción de datos.
• Funciones de seguridad integradas:Las funciones de seguridad integradas son capaces de limitar el acceso a cualquier dispositivo.
Estas características están relacionadas con la autenticación, identificación y verificación. Además, el uso de la biometría impone un
serio desafío al proceso de investigación forense.
20
• Falta de herramientas forenses:De hecho, hay una falta de herramientas, kits y equipos forenses que puedan usarse para la investigación
forense de dispositivos IoT. Por lo tanto, existe una posibilidad limitada de garantizar que los datos se puedan recuperar de forma segura y
cuidadosa sin riesgo de daño o destrucción. De hecho, las herramientas forenses existentes son incompatibles con los dispositivos IoT
emergentes.
• Aplicaciones maliciosas:Los ciberdelincuentes utilizan aplicaciones maliciosas para realizar ataques de vigilancia. Una vez que se
instalan estas aplicaciones, se activará un troyano o gusano en un dispositivo determinado, capaz de asegurar ataques de spyware,
ransomware, botnet o incluso DoS. Esto ofrece la posibilidad de eliminar, alterar, modificar e incluso manipular los datos del
dispositivo, mientras se obtiene un acceso privilegiado no autorizado.
• Desafíos de CTI:Debido a las vulnerabilidades explotables existentes y las brechas de seguridad en cualquier sistema dado, los
ciberdelincuentes pueden llevar a cabo su ciberataque a través de la infección y la explotación. De hecho, los atacantes comienzan a
utilizar métodos innovadores para atacar y apuntar a sus víctimas, basándose en técnicas de ingeniería inversa/social y de spear-
phishing [141] . Además, estos ataques pueden enmascarar un malware determinado en un archivo PDF, una imagen o incluso un
video, que se ejecutaría en la máquina de la víctima [142] sin su conocimiento. Por lo tanto, esto conduciría a otra forma de puerta
trasera [7, 143] al sistema de la víctima.
• Limitaciones legales:Dado que los dispositivos móviles son parte del mundo IoT, en caso de un delito internacional, diferentes leyes
y diferentes medidas de seguridad pueden causar conflictos entre diferentes países. De hecho, se debe a la ausencia de una
jurisdicción uniforme y sistemas de procesamiento legal que puedan aplicarse para garantizar una mejor cooperación y
colaboración entre diferentes pares.
• Componentes de dispositivos:Los componentes del dispositivo se pueden dividir en:
– Componentes de software:están relacionados con el uso de diferentes sistemas operativos y software (por ejemplo, Apple, Android, etc.
en teléfonos inteligentes, Windows, Linux, etc. en computadoras). Cada sistema operativo funciona de manera diferente, lo que
presenta un desafío para los investigadores forenses, ya que requiere diferentes enfoques de investigación.
- Componentes de hardware:incluido el almacenamiento de datos en memorias volátiles, incluidas RAM, o en almacenamiento magnético.
Por lo tanto, cuanto menor sea el tamaño físico de un área de almacenamiento determinada, más difícil será para los investigadores
forenses investigarla sin correr el riesgo de dañarla.
• Comunicaciones inalámbricas:También es importante tener en cuenta que las comunicaciones inalámbricas imponen un
serio desafío a los investigadores forenses, especialmente cuando se trata de piratas informáticos bien entrenados y
experimentados (espionaje cibernético (industrial), amenazas persistentes avanzadas) que cubren sus huellas aparte del
uso proxies, VPN y TOR [144, 145, 146] para ocultar sus movimientos comprometidos. Esto elimina y reduce posibles
evidencias para evitar ser detectado y rastreado por los investigadores forenses.
• Tipos de dispositivos:Surgió otro desafío, especialmente con la gran cantidad de dispositivos falsificados, incluidos computadoras
portátiles, PC, teléfonos inteligentes y tabletas, que se extendieron por todo el mercado. Esto se debe a sus precios económicos y a
la falta de medidas de seguridad. Esto facilitó enormemente que un atacante los usara para atraer a sus víctimas a fin de que
instalaran aplicaciones falsas o para ocultar datos e información. En muchos casos, estos dispositivos falsos pueden actuar como
bots (zombis) y realizar un ataque anónimo en nombre del atacante. Esto también incluye su uso para destruir de forma lógica y
sencilla los datos mediante el uso de herramientas antiforenses o mediante la destrucción física. A diferencia de los dispositivos
originales, es más difícil para los investigadores forenses rastrear un dispositivo genuino en comparación con uno falsificado.
4.6 Grandes desafíos de datos
Aunque el desafío de los grandes datos se mencionó brevemente antes, es importante explicarlo con más detalles para resaltar su
importancia (consulte la Figura 10). Lidiar con problemas y desafíos de big data [147, 8, 148] requiere esfuerzos adicionales para
lograr los resultados previstos y cazar a los ciberdelincuentes. En [149], Adebayo clasificó estos desafíos en función de la variabilidad,
la velocidad y el volumen de los datos. De hecho, a continuación se analizan otros desafíos relacionados con la precisión y la
heterogeneidad, la validez y la confiabilidad:
• Falta de precisión:Debido al gran tamaño de los datos, surgió un problema de precisión relacionado con la naturaleza, la fuente y el
valor de las pruebas recuperadas. En la mayoría de los casos, los grandes datos ofrecen evidencia nula o deficiente. Esta es la razón
por la que presenta un problema real para los investigadores forenses al perder el tiempo buscando información útil.
• Datos heterogéneos:los datos recopilados de diferentes fuentes pueden ser estructurados, semiestructurados o no estructurados.
Esto presenta un grave problema que puede atajar la investigación forense. En caso de que los datos no estuvieran estructurados,
no hay un formato que los admita adecuadamente, lo que resulta en una pérdida de tiempo y recursos.
• Inconsistencia de datos:está relacionado con el volumen, la velocidad y la variedad de big data [149]. Esto presenta una carga adicional, ya que
los ciberdelincuentes dependen de un gran volumen de grandes datos que, en la mayoría de los casos, son irrelevantes e inconsistentes.
21
Figura 10: Desafíos forenses
Además, la naturaleza de los datos recuperados depende de si están estructurados o no estructurados. Esto requiere
tiempo y recursos adicionales para reconstruir los datos y analizarlos.
• Validación de datos:Otro desafío está relacionado con la validez de los datos, especialmente si se trata de metadatos que sirven por
un corto período de tiempo. En este caso, el desafío es ver cuánto tiempo pueden sobrevivir los datos, especialmente en memorias
volátiles como la RAM.
• Confianza de datos:La ocultación, la manipulación y la alteración de datos dificultan que los investigadores forenses demuestren
que la evidencia recuperada es legítima. Esto se debe a la posibilidad de que los datos recopilados sean modificados o incluso
alterados. Por lo tanto, es un desafío probar la legitimidad de la evidencia recuperada para que sea justificable, legal y utilizable en
los tribunales.
• Velocidad de datos:La velocidad de los datos o la velocidad de los datos está relacionada con la velocidad a la que se procesan los
datos [149]. En otros términos, es la velocidad de generar o mover datos. De hecho, la velocidad de big data requiere la necesidad
de adquisición y análisis de datos a mayor escala para maximizar el valor de los datos.
• Volumen de datos:se puede definir como la cantidad de datos generados, especialmente cuando se trata de big data, donde se
genera una gran cantidad de datos. En consecuencia, esto requiere garantizar la escalabilidad del almacenamiento de datos, junto
con la necesidad de un enfoque de procesamiento de datos distribuido. Esto presenta un serio desafío para los investigadores
forenses digitales, especialmente si los datos estaban ocultos en redes, nubes y memorias, o incluso encriptados.
4.7 Desafíos educativos:
La educación también juega un papel clave como fuente inicial de la mayor parte del desafío que se presenta, debido a la falta de capacitación,
experiencia, financiamiento y personal disponible. Los investigadores forenses potenciales deben someterse a estudios, cursos y capacitación forenses
excesivos, al mismo tiempo que están familiarizados con varias herramientas forenses y son conscientes de las actividades anti-forenses más frecuentes.
Como resultado, los desafíos educativos se presentan de la siguiente manera:
• Fondos:la falta o la escasez de fondos por parte del gobierno, las organizaciones y las empresas hace que el
dominio forense sea muy limitado en términos de capacidad y desempeño. Por lo tanto, sigue siendo un desafío
[150]. Por lo tanto, se necesita más financiación para investigar y desarrollar campos forenses digitales para
mejorar la colaboración entre varios investigadores forenses y colegas.
22
• Mentalidades:la mentalidad de muchas personas, incluidas numerosas universidades, organizaciones y gobiernos, todavía cree que
el dominio del análisis forense digital aún no es efectivo. Está claro que hay una gran brecha de financiación, conocimiento y
experiencia en este campo, con muchos ataques que permanecen anónimos e imposibles de rastrear. Por lo tanto, la mentalidad de
la mayoría de los militares, las fuerzas del orden, la policía y los gobiernos ahora está cambiando hacia la mejora de sus habilidades
forenses, especialmente en el aumento del terrorismo cibernético [151], la guerra cibernética [152, 153], el espionaje cibernético
[154] y el ciberataque. política [155] era.
• Apoyo de enlace y comunicación:la falta de apoyo entre las comunidades se debe (aparte de la financiación) a la falta de
debate, comunicación y enlace adecuados. Esto da como resultado un conflicto causado por una falta total de información
o por compartir información errónea. Como resultado, se requiere más colaboración y estímulo entre las comunidades
(principalmente universidades e instituciones) para compartir y mejorar sus conjuntos de datos forenses para un mejor
resultado de investigación.
• Apoyo a Instituciones:la falta de apoyo de las instituciones, incluidas las universidades, está principalmente relacionada con el alto
costo de la educación disponible, las herramientas, la licencia y la falta de habilidades para usarlas. Por lo tanto, se debe invertir
más fondos, enfoque y educación en este campo forense que puede incluir competencias nacionales e internacionales,
colaboraciones, oportunidades e intercambio de estudiantes [150], como el programa "GenCyber" [156].
• Desarrollo de estándares:la falta de comunicación y colaboración entre diferentes universidades, instalaciones y

organizaciones forenses nacionales e internacionales condujo a la creación de varias herramientas forenses de software y
hardware que realizan la misma tarea de recolección, categorización y análisis de artefactos. Por lo tanto, resultando ser
una pérdida de tiempo y recursos por igual. Por lo tanto, las comunidades de investigación deben trabajar y acordar un
conjunto unificado de estándares, formatos y abstracciones [136] para evitar problemas de redundancia y colusión, con un
enfoque en la puntualidad de estos estándares, junto con su precisión y efectividad.
5 Anti-forense
Los ciberdelincuentes ahora utilizan en exceso nuevos métodos sofisticados para realizar sus ataques. Estos métodos se basan en
cubrir sus huellas para evitar ser detectados. Esto se logra mediante el uso de técnicas y herramientas antiforenses para modificar y
eliminar archivos de registro y auditoría [141]. Como resultado, el Sistema de puntuación de vulnerabilidad común (CVSS) [157], junto
con el Análisis de tráfico de malware estático (SMTA) [158] no son suficientes para mitigar este problema. Por lo tanto, la antiforense
presenta un desafío seriamente amenazante para el dominio de IoT que depende en gran medida de los servicios de computación en
la nube para almacenar y procesar grandes datos. Además, su uso dificultaría drásticamente el progreso de los investigadores
forenses al impedirles llevar a cabo sus investigaciones. Por eso, es esencial superar los desafíos y limitaciones existentes que sufren
los dominios de Cyber Threat Intelligence (CTI) [159]. Los antiforenses también se conocen como contraforenses [160]. Su tarea es
interrumpir una investigación forense dada. Por lo tanto, se están empleando diferentes técnicas, herramientas y enfoques
antiforenses para evadir la detección y evitar ser atrapado. Esta sección los presenta y analiza en detalle para ayudar a identificarlos y
proteger las pruebas digitales mediante la mitigación y la implementación de las medidas de seguridad adecuadas.
5.1 Aspectos Anti-Forenses
Los antiforenses se utilizan para eliminar, alterar, interrumpir o interferir ilegalmente con las evidencias que se encuentran en los dispositivos
digitales en una escena del crimen digital/física. Diferentes aspectos anti-forenses fueron discutidos en [161]. Esto incluyó la confianza en el
proyecto antiforense Metasploit [162], que es un proyecto de código abierto que se utiliza para proporcionar pruebas de penetración, sistemas
de detección de intrusos (IDS), explotación del sistema de información y otros servicios. Además, el Arsenal de investigación antiforense de
Metasploit (MAFIA) se ha utilizado para mejorar los procesos de análisis forense digital, al mismo tiempo que valida las herramientas forenses.
MAFIA incluía los siguientes componentes:
• Transfigurar:tiene como objetivo superar la detección de firmas de archivos de EnCase. Se realiza enmascarando un archivo en otro
tipo de archivo.
• Marca de tiempo:como programa, es capaz de alterar los valores de marca de tiempo del sistema de archivos de nueva tecnología (NTFS). Esto
se hace mediante la modificación de la entrada del archivo MAC y la actualización de la entrada. Estas herramientas ayudan a confundir a los
investigadores forenses y complican aún más su investigación forense [163].
• exprimidor Sam:es un programa que compromete los valores hash de un archivo del administrador de acceso de seguridad
determinado. De hecho, Sam Juicer se ejecuta en un canal de servicio de subsistema de autoridad de seguridad local (LSASS) de
memoria/imagen para almacenar hashes de contraseña en un sistema Windows sin dejar ningún rastro o firma en el disco.
Evitando así el riesgo de ser detectado.
23
• Vago:es un programa que permite a los ciberdelincuentes ocultar sus datos dentro de un espacio libre que se encuentra en la memoria. Este
espacio de holgura se crea cuando el sistema de archivos (por ejemplo, NTFS) asigna más espacio para un archivo, donde el espacio no
utilizado se denomina espacio de holgura. Por lo tanto, este espacio forma un lugar perfecto para ocultar datos [163].
5.2 Técnicas Anti-Forenses
Como resultado del uso cada vez mayor de técnicas antiforenses, se presentaron diferentes enfoques antiforenses para mostrar lo
fácil que es apuntar y derribar una investigación determinada. En [164], Perón et al. discutió los objetivos del atacante cuando usa
técnicas anti-forenses y se centró en cómo el atacante es capaz de ocultar, destruir, manipular y/o incluso prevenir la creación de
cualquier evidencia dada. En [165, 161] Wundram et al. y Kessler et al. presentó cuatro categorías principales de enfoques anti-
forense para proporcionar borrado de artefactos, ocultación de datos, ofuscación de rastros y otros ataques contra las herramientas
informáticas forenses y el proceso de investigación forense. En [166], Harris et al. presentó un nuevo método de transformación de
datos que oculta, destruye, elimina o falsifica la evidencia y su fuente. En [167], Garfinkel combina los objetivos y objetivos de ataque
para presentar las herramientas ya existentes. En [165], Wundram et al. presentó la integración y armonización de los esquemas de
clasificación existentes en una sola taxonomía con dos dimensiones respectivamente. La primera dimensión se refiere al objetivo del
atacante que pretende evitar o retrasar la investigación. La segunda dimensión se refiere al objetivo del atacante que puede ser uno
de los siguientes: la evidencia, la herramienta forense o el investigador. En [168], Stamm et al. presentó un enfoque forense temporal
para un video con compensación de movimiento conocido como "Marco teórico de juegos". El propósito era identificar el conjunto
óptimo de acciones tanto para los investigadores forenses como para los falsificadores. Los resultados de su simulación revelaron
que cualquier restricción de falsa alarma es menor o igual al 10%. Es más, los investigadores forenses tienen un 50 % de posibilidades
de detectar una falsificación de video, y en caso de que la restricción de falsa alarma fuera superior al 15 %, la tasa de detección de
falsificaciones de video fue igual o superior al 85 %. En [169], Baier et al. presentó un enfoque llamado Anti-Forensics de dispositivos
de almacenamiento por uso alternativo de canales de comunicación (AFAUC), que se basa en la ingeniería inversa de los comandos de
firmware para acceder a un medio de almacenamiento a través del canal de comunicación. De hecho, el enfoque se puede lograr sin
costosos juegos de herramientas, con un menor riesgo de detección. En [168], Stamm et al. presentó un enfoque basado en el uso de
un marco teórico de juegos para identificar el conjunto óptimo de acciones tanto para el investigador forense como para el modelo
falsificador. Esto les ayudó a diseñar una técnica anti-forense con la capacidad de eliminar cualquier huella dactilar de marco
mediante supresión o adición. Además, los autores demostraron que su técnica antiforense presentada puede engañar a las técnicas
forenses si se aplica con toda su fuerza.
En [170], Shirani et al. objetivo de ocultar el intento de intrusión. En [164], Perón et al. destinado a limitar la recopilación,
identificación y validación de datos electrónicos. Garfinkel [167] y Rogers [171] intentaron anular cualquier análisis forense limitando
la cantidad y la calidad de las pruebas forenses. En [172], Foster y Liu lograron evadir y evitar la detección liderando ataques
antiforenses. En [173], Dahbur et al. presentó el uso de métodos científicos para confundir la investigación forense en todas sus
etapas. En [174], Albano et al. presentó diferentes métodos para frustrar un determinado proceso de investigación digital. En [175],
Sremack y Antonov presentaron una taxonomía para frustrar una investigación forense. En [176], Stamm et al. logró disfrazar,
manipular y falsificar las huellas dactilares específicas de los dispositivos una vez que se forma un archivo digital.
Anti-Digital Forensics (ADF) consiste en identificar cualquier actividad que tenga como objetivo ocultar los rastros de un ataque [177]. ADF es
utilizado por investigadores forenses, investigadores forenses y socorristas. Sus principales técnicas antiforenses [161] se resumen en la
Figura 11, y se clasifican de la siguiente manera:
• Ocultar datos:El cifrado y la esteganografía [178, 179] se utilizan principalmente para ocultar cualquier evidencia y cubrir
las pistas de los delincuentes para complicar extremadamente una investigación forense. Esto incluye cifrar datos, cifrar
discos, ocultar datos en el tráfico de la red o incluso en la memoria, etc.
• Cifrado de datos:El cifrado de datos es la forma sencilla de ocultar los datos para que no se divulguen fácilmente. El cifrado
también evita cualquier acceso no autorizado a los datos almacenados. Los ciberdelincuentes utilizan el cifrado para
dificultar la investigación y la extracción de datos. Por lo tanto, conduce a una pérdida total de tiempo y recursos para
descifrar claves largas que cifran datos falsos.
• Eliminación segura:La eliminación segura consiste en eliminar los datos seleccionados de forma completa y permanente del sistema de
origen sobrescribiéndolos con datos aleatorios. Esto asegura que los datos ya no serán recuperables. Sin embargo, la mayoría de las
herramientas comerciales de eliminación segura no garantizan una eliminación completa de los datos, ya que es posible que aún se
recuperen algunas partes [180].
• hash:es utilizado por delincuentes para evadir la detección impidiendo la validación de la integridad de los datos. En este sentido, se
utilizaron varias técnicas, entre ellas, hashing difuso [181], colisión de hash, MD5 [182] y SHA-1 [183]. La salida generada por el hash
es única y se puede utilizar como una impresión biométrica para un archivo de entrada determinado. . Por lo tanto, en caso de un
cambio menor en el archivo original, el valor hash es completamente diferente. Como resultado, la recuperación del archivo de
entrada original se vuelve casi imposible.
• Cifrado de discos:Se desarrollaron diferentes herramientas para encriptar el volumen completo del disco duro. Así, los ciberdelincuentes
emplean el cifrado de disco para proteger cualquier dato que pueda servir como prueba en su contra. Esto puede ser
24
Figura 11: Técnicas Anti-Forenses
se hace convirtiéndolo en un formato no completo e ilegible, o en un formato no compatible. Lo que dificulta que los
investigadores forenses digitales lo descifren. Además, el cifrado de disco se basa en el software o el hardware de cifrado
para cifrar cada bit de datos que existe en el disco duro [184].
• Cifrado de bases de datos:Debido al aumento constante del uso de bases de datos [185], el cifrado de bases de datos se convirtió en otra
forma popular de ocultar datos. Este cifrado también se dirige a archivos/carpetas de usuarios individuales y de múltiples usuarios. El cifrado
de bases de datos [186] se basa en el proceso de convertir datos en un texto cifrado sin sentido, incluidas aplicaciones, correos electrónicos,
dispositivos móviles y servicios en la nube.
• Cifrado de memoria de hardware:el desarrollo hacia este tipo de cifrado de memoria ayuda a los delincuentes a evitar las
jerarquías de acceso de una memoria tradicional. Esto hará que cualquier forma conocida de adquisición de memoria sea
inviable [111].
• Esteganografía:Los ciberdelincuentes utilizan la esteganografía para ocultar datos en elementos multimedia digitales. Estos
elementos incluyen archivos de imagen, video, audio y texto [187, 188]. Esto también incluye los archivos del sistema, como lo
presentan Peron et al. en [164]. La esteganografía se puede superar confiando en los métodos y ataques de esteganálisis [189, 190,
191].
• Anticoncepción de datos:Este método fue introducido por Conlan et al. [192], como una nueva forma de ocultar datos. De hecho, se
clasifica como una actividad anti-forense que deja poca o ninguna evidencia digital rastreable para evitar su recuperación. De
hecho, la anticoncepción de datos puede deliberar sistemas de archivos y manipular discos duros en uso al ocultar cualquier
elemento en un sistema o red determinada.
• Huella cero:or disk cleaner es una nueva herramienta antiforense emergente [193] que se utiliza para limpiar áreas del disco o
destruir por completo los contenidos originales del disco. Por lo tanto, haciendo que el ataque sea completamente indetectable.
Zero-footprinting muestra su utilidad para fines legítimos o ilegítimos, debido a su capacidad para desvincular archivos y
sobrescribirlos con datos incomprensibles.
• Modificación de la marca de tiempo:o la extracción de marcas de tiempo es una tarea crítica que requiere el establecimiento de una investigación forense
de cadena de eventos. Sin embargo, los piratas informáticos y los ciberdelincuentes lograron modificar las marcas de tiempo de los archivos y registros
para engañar a los investigadores. Para detalles adicionales, las diferentes herramientas de modificación de marcas de tiempo ya se mencionan en [194].
• Manipulación de la firma del archivo:Existe una firma de archivo al comienzo de cada archivo para identificar un tipo de archivo determinado. Los piratas
informáticos suelen utilizar herramientas antiforenses para cambiar y manipular deliberadamente la firma de un archivo para engañar a los
investigadores forenses [131].
25
• Red oculta:Los atacantes también utilizaron las redes para ocultar datos. El objetivo de ocultar datos en las redes es
garantizar que no queden rastros de los atacantes. Por lo tanto, resulta en paralizar la investigación forense,
especialmente debido al uso de VPN, proxies o TOR.
• Limpieza de artefactos:Artefact Wiping [195] consiste en la destrucción de datos útiles que sirven como posible evidencia [166]. A través del
análisis de la eliminación de artefactos, existen muchas herramientas de software que se pueden usar para eliminar diferentes formas de
datos y metadatos. Esto incluye archivos, discos, registros, auditorías y registros. De hecho, se crearon varios tipos de herramientas
combinando diferentes formularios de borrado de datos.
• Ofuscación de rastro:es una actividad deliberada para desorientar y desviar deliberadamente una investigación forense. Se basa en
los mismos principios de la esteganografía o inyección de datos falsos [196]. La ofuscación de rastro emplea los protocolos Peer-to-
Peer (P2P) para realizar actividades delictivas cibernéticas. Esto ayuda a los ciberdelincuentes a mitigar sus "huellas dactilares"
biométricas cibernéticas para ocultar las evidencias y cubrir sus huellas.
• Ejecución del sistema virtual:La ejecución de un código o script malicioso puede llevarse a cabo desde un almacenamiento en disco
externo o incluso remoto sin dejar ningún rastro en el dispositivo. Además, en [196], Botas et al. presentó diferentes mecanismos
de virtualización, incluidos dispositivos de arranque USB y dispositivos de arranque de red.
• Compresión de contenido:La saturación o compresión de contenidos tiene como objetivo infectar sistemas con contenidos
inestables. Esto genera latencia y demoras adicionales, que tienen un alto impacto negativo en el proceso de investigación
forense. La compresión de contenido se puede dividir en dos tipos:Bombas de compresióno bombas zip [196], están
diseñadas para expandirse en gran medida una vez descomprimidas, yCompresión Normalutilizado para explotar
implementaciones de compresión regulares [197].
• Agrupación de datos:Al agrupar datos, los atacantes intentan mantener activos sus medios digitales, incluidas llaves USB, CD/DVD, teléfonos
inteligentes, computadoras portátiles, PC y discos duros. Al hacerlo, los investigadores se sienten atraídos a buscar todos los datos
recopilados. Como resultado, dicha búsqueda puede llevar de meses a años y puede violar la privacidad del sospechoso o de la víctima, lo que
daría lugar a conflictos legales [198]. Por lo tanto, conduce a un costo de investigación más alto y un tiempo de investigación más prolongado.
• Referencias de bucle:se identifican como longitudes de rutas de archivos predeterminadas, que están restringidas a 260 caracteres debido a la
interfaz de programación de aplicaciones (API) de Windows en el sistema de archivos de nueva tecnología (NTFS). Sin embargo, existen varias
formas de iniciar caminos más largos. La forma más popular se basa en el uso de Long Path Tool (LPT) [5]. También existen otras formas,
incluido el uso de referencias de bucle donde los enlaces simbólicos pueden apuntar a una carpeta principal. Por lo tanto, se crea una ruta
recursiva, donde los usuarios malintencionados pueden almacenar de forma segura sus datos en estos archivos anidados recursivos.
• Disco duro ficticio:Los piratas informáticos y los ciberdelincuentes utilizan este método manteniendo una PC inutilizable con un disco duro.
Esto permite que la PC se inicie desde un USB donde se almacena el sistema operativo, sin usar el disco duro en sí. Por lo tanto, los datos se
almacenarán en servicios en la nube. Los piratas informáticos también pueden intentar simular escrituras aleatorias en discos duros para
engañar a los investigadores haciéndoles creer que un disco duro determinado se ha utilizado recientemente [199]. Por lo tanto, esto
resultaría en una pérdida de tiempo y recursos.
• Malware antiforense:que también se utilizaron para realizar una actividad anti-forense borrando todos los datos
relevantes que sirven como evidencia vital para rastrear su fuente, estructura y características. Entre estos tipos de
malware, mencionamos los tipos de malware Stuxnet 1-2, Duqu, Duqu 2.0, Flame, Red October, Shamoon, Gauss y
Mahdi [200, 201, 202, 203, 204, 205], utilizados para la guerra cibernética [206 ], ciberterrorismo [207], ciberpolítica
(hacktivismo) [208, 209] y ciberespionaje (industrial) [210].
6 Anti-Anti-Forense
La categorización de la ciencia forense anti-anti-digital incluye la clasificación, identificación, caracterización y la diferenciación entre
técnicas y herramientas de ciencia forense digital y anti-forense [166]. En [164], se evaluó el nivel de efectividad de las herramientas
anti-antiforenses frente al uso de las herramientas anti-forenses tradicionales anticuadas. Como resultado, se presentaron diferentes
enfoques anti-anti-forenses.
6.1 Técnicas de Prevención Antiforense
Se presentaron técnicas de prevención anti-forense para contrarrestar las actividades anti-forense y al mismo tiempo preservar la
privacidad de las personas y las pruebas. Un desafío clave en el análisis forense digital es proteger la privacidad de las evidencias
digitales [211, 212] durante una investigación forense [213, 214]. Así, se han desarrollado varias soluciones forenses para preservar
la privacidad de las evidencias, incluidos archivos digitales, correos electrónicos o incluso documentos. En [215], Goh y
26
Alabama. presentó un esquema de indexación seguro utilizado para buscar datos cifrados y admitir búsquedas de consultas avanzadas [216]. Esto también incluyó las operaciones de
cifrado de flujo del Código de autenticación de mensajes hash (HMAC) y el Estándar de cifrado avanzado (AES) para garantizar un alto nivel de precisión y eficiencia, al tiempo que
garantiza la admisibilidad de la evidencia electrónica y la privacidad de cada individuo. En [217], P. Stahlberg et al. investigó las amenazas a la privacidad que posiblemente puedan
rodear la investigación de la base de datos y propuso un conjunto de criterios de transparencia del sistema. Este conjunto de sistemas se utiliza para controlar los resultados de
diferentes consultas, excepto para la búsqueda y recuperación de bases de datos. En [218], S. Bottcher et al. presentó un enfoque forense de base de datos de detectives para ser
capaz de detectar cualquier fuga de privacidad. Esto se hizo mediante la identificación de cada parte que accedió a la información filtrada. En [219], Reddy et al. presentó un marco
teórico de preparación forense, que se puede utilizar exclusivamente para empresas y organizaciones. Este marco sugirió una estructura organizativa específica utilizada para
minimizar el riesgo de una posible filtración de información privada en un caso de investigación digital determinado. En [220], Guo et al. políticas y procedimientos generales
definidos para investigaciones forenses de redes. En [221], Pangalos et al. proporcionar una descripción del rol de preparación forense cuando se trata de optimizar el nivel de
seguridad y privacidad de cada organización. En [222], NJ Croft et al. presentó un modelo secuencial de liberación de datos privados que se basa en el conocimiento previo y la prueba
de una hipótesis dada utilizada para investigaciones forenses. Esto resultó en colocar los datos menos importantes en capas menos sensibles, lo que permitió que los datos sensibles
e importantes estuvieran disponibles solo en caso de conocimiento de las capas de nivel inferior. Este proceso fue probado y demostrado por los investigadores forenses. En [214],
Law et al. presentó varios modelos criptográficos que se pueden emplear en los procesos forenses digitales ya existentes para garantizar un mayor nivel de protección de datos. En
[223], S. Pearson desarrolló un modelo de privacidad y un lenguaje que se puede incorporar dentro de una empresa determinada. Esto ayuda a asegurar la auditoría y el
aseguramiento de los mecanismos empleados. En [224], Pooe et al. estudió una especificación de política forense para garantizar una mayor preparación forense. En [225], S.Hou et
al. investigó los problemas legales y prácticos de privacidad en una investigación forense determinada y presentó con éxito una solución práctica basada en el uso de técnicas de
encriptación comunicativa y homomórfica para limitar la divulgación de datos durante una investigación forense determinada. Sin embargo, su solución carecía de la capacidad de
identificar datos maliciosos de datos no maliciosos [226]. En [227], Gupta presentó un marco denominado “Privacy Preserving Efficient Digital Forensics” (PPEDF) para garantizar una
investigación automatizada mediante la reducción de la cantidad de datos que se analizan. De hecho, PPEDF es compatible con Encase Versión 7.0, con un 100% de precisión al
extraer archivos de evidencia. En [228], Hou et al. presentó otra solución basada en el uso del esquema de compartición (t,n) como método de encriptación de datos, para garantizar
la integridad y la autenticidad mediante la aplicación de la propiedad homomórfica del esquema de compartición (t,n). En [229], Arrnknecht et al. presentó otro mecanismo de
preservación de la privacidad para los datos de correo electrónico. Este método se basa en la combinación de algoritmos de encriptación y uso compartido de secretos. De hecho, se
basa en dos esquemas principales que incluyen la protección y la extracción. Esto garantiza que los datos cifrados solo se descifrarán cuando sea necesario. En [230], Afifah et al.
Revelado e implementación alternativa de la protección de datos presentada por Armknecht y Dewald. Se centró en preservar la privacidad de la imagen del disco en lugar de los
datos del correo electrónico. En [231], Nieto et al. presentó una solución llamada Este método se basa en la combinación de algoritmos de encriptación y uso compartido de secretos.
De hecho, se basa en dos esquemas principales que incluyen la protección y la extracción. Esto garantiza que los datos cifrados solo se descifrarán cuando sea necesario. En [230],
Afifah et al. Revelado e implementación alternativa de la protección de datos presentada por Armknecht y Dewald. Se centró en preservar la privacidad de la imagen del disco en
lugar de los datos del correo electrónico. En [231], Nieto et al. presentó una solución llamada Este método se basa en la combinación de algoritmos de encriptación y uso compartido
de secretos. De hecho, se basa en dos esquemas principales que incluyen la protección y la extracción. Esto garantiza que los datos cifrados solo se descifrarán cuando sea necesario.
En [230], Afifah et al. Revelado e implementación alternativa de la protección de datos presentada por Armknecht y Dewald. Se centró en preservar la privacidad de la imagen del
disco en lugar de los datos del correo electrónico. En [231], Nieto et al. presentó una solución llamada Se centró en preservar la privacidad de la imagen del disco en lugar de los datos
del correo electrónico. En [231], Nieto et al. presentó una solución llamada Se centró en preservar la privacidad de la imagen del disco en lugar de los datos del correo electrónico. En
[231], Nieto et al. presentó una solución llamadatestigo digital,el cual es un dispositivo personal que identifica, recolecta, resguarda y comunica evidencias digitales [232] como
miembro de Cadenas de Custodia Digital en Internet de las Cosas (DCoC-IoT) [233]. Esto estaba destinado a respaldar once principios de privacidad incluidos en varios PRoFIT (Modelo
de IoT-Forense consciente de la privacidad) presentado en [234]. De este modo, se garantiza una mejor cooperación entre los ciudadanos y las investigaciones forenses digitales.
6.2 Técnicas de detección antiforense
Anti-Anti-Forensics es una tecnología de nueva evolución que protege el análisis forense contra cualquier intento anti-forense. Por lo tanto, es
esencial mantener las contramedidas anti-forense adecuadas para garantizar una alta tasa de detección de cualquier actividad o ataque anti-
forense.
La instalación del archivo para el software criptográfico indicó que los datos podrían estar posiblemente encriptados en un
sistema que podría conducir a la ocurrencia de una posible actividad forense anti-digital. Por lo tanto, en [192], Conlan et al.
comparó un conjunto de datos hash con hashes NIST, donde los hashes no coincidentes posiblemente eran un signo de la
existencia de archivos y/o herramientas anti-forenses. Esto indicó la posibilidad del empleo de herramientas forenses anti-
digitales para borrar cualquier evidencia más allá de la recuperación para cubrir todas las pistas. El uso de herramientas anti-
forenses para evitar discos fue abordado por Garfinkel en [167]. La solución presentada se basa en los métodos de detección
anti-forense existentes. En [235], Blunden examinó los enfoques ya existentes que podría utilizar un investigador forense
contra el uso malicioso pero persistente de rootkits,
Para mitigar el uso de actividades antiforenses, se necesita una versión forense protegida mejorada. Por lo tanto, el cambio se dirige
hacia una versión mejorada de Anti-Anti-Forensics [199]. En [192], Conlan et al. presentaron un enfoque teórico. para detectar el uso
de herramientas forenses anti-digitales y reportarlos a los investigadores digitales. Esto mejoró y perfeccionó la investigación forense
digital para superar un ataque antiforense [236]. En [237, 238], Geiger presentó un enfoque que consiste en el análisis de cinco
herramientas antiforenses que incluyen: "Secure-Clean", "Evidence Eliminator", "Window Washer", "Cyber-Scrub Professional" y
"Acronis Experto en Privacidad”. Esto se hizo mediante el uso de un kit de herramientas forenses (FTK). El enfoque reveló que una
limpieza incompleta del espacio no asignado permitió la recuperación
27
de los datos correctos que contengan las pruebas necesarias. En [239], Fairbanks et al. introdujo una herramienta forense, que
puede extraer y analizar los datos forenses para permitir la detección de intentos anti-forenses, al mismo tiempo que captura
información forense no disponible. Esto facilitó la recuperación de un sistema y mejoró la investigación forense digital.
A pesar de los desafíos y las limitaciones que sufren los dominios forenses, el aprendizaje automático se presentó como un nuevo método de
detección inteligente temprano para resolver las limitaciones de los métodos forenses y antiforenses anteriores. Como resultado, en [240, 241,
242, 243] se presentó una nueva rama basada en antiforense de contador de aprendizaje automático para detectar cualquier actividad
antiforense. En [141] Conti et al. reveló la importancia de implementar y aplicar técnicas de Inteligencia Artificial-Machine Learning (AI-ML) en el
dominio de la ciberseguridad. En [59]. Mukammala et al. presentó un estudio basado en el uso de técnicas de inteligencia artificial (Redes
Neuronales Artificiales (ANN) y Máquinas de Vectores de Soporte (SVM)) para el análisis de intrusiones fuera de línea para mantener la
integridad y confidencialidad de la infraestructura de información. Con base en su estudio, SVM superó a ANN en términos de escalabilidad y
precisión de predicción, mientras que ambos métodos producen resultados en gran medida consistentes. En [244], Yeow et al. diseñó y
desarrolló un Sistema de Informe de Autopsia Forense Inteligente (de víctimas de guerra) (I-AuReSys) basado en el método de Razonamiento
Basado en Casos (CBR), que se utiliza para analizar pruebas forenses. I-AuReSys se utiliza para extraer características utilizando una técnica de
extracción de información (IE) de los informes de autopsia ya existentes, antes de analizar cualquier similitud de casos mediante el
acoplamiento de la técnica CBR con un aprendiz Naïve Bayes para el aprendizaje de pesos de características. Clase de resultados
experimentales como método forense alternativo práctico y viable. En [245], Weber et al. presentó redes convolucionales de gráficos para
análisis forense financiero como prototipo y las experimentó para superar el lavado de dinero (AML) en la criptomoneda bitcoin. Los autores
contribuyeron al conjunto de datos elíptico utilizando gráficos de series de transacciones de Bitcoin (nodos), flujos de pago dirigidos (bordes) y
características de nodos, incluidas las basadas en datos no públicos. Los resultados revelaron la superioridad del algoritmo Random Forest
(RF). En [246], Wang et al. presentó un nuevo método TKRD llamado Trusted Kernel Rootkit Detection para la ciberseguridad de las máquinas
virtuales (VM). TKRD se basa en el aprendizaje automático y el análisis forense de memoria y se utiliza para detectar rootkits de kernel en
máquinas virtuales desde una nube privada. Los resultados experimentales revelaron que el clasificador de RF tiene el mejor rendimiento de
detección de rootkits de kernel desconocidos. En [247], Axenopoulos et al. presentó un nuevo marco que se implementa en el contexto del
proyecto LASIE, financiado por la Unión Europea. Este marco se aplica para la explotación a gran escala de datos forenses adquiridos de
diferentes fuentes y en múltiples formatos, mientras que varias herramientas de análisis de video que realizaron detección y seguimiento
automatizados de objetos (humanos, rostros, vehículos, logotipos), detección y resumen de eventos de video. Los eventos de detección y
seguimiento también son sólidos en baja resolución, baja calidad de color, desenfoque de movimiento y variaciones de iluminación. También
se presentó un motor de búsqueda de evidencia para ofrecer varias formas de recuperar evidencia relevante. Este marco se probó con
contenido real (imágenes de circuito cerrado de televisión) proporcionado por la Policía Metropolitana de Londres (MET) y mostró resultados
prometedores. En [248], Sun et al. presentó un nuevo método forense de mejora de contraste (CE) basado en redes neuronales
convolucionales (basado en CNN), utilizando la matriz de co-ocurrencia de nivel de gris (GLCM) que contiene características forenses CE
rastreables. Los resultados experimentales revelaron que este método supera a los métodos forenses convencionales en términos de
precisión, robustez y rendimiento en la detección de falsificaciones, especialmente cuando se trata de ataques contraforenses. En [249], Yang
et al. presentó dos algoritmos forenses CE efectivos y robustos basados en aprendizaje profundo. Su método logra una mejor clasificación de
extremo a extremo basada en el dominio de píxel e histograma. Los resultados experimentales revelaron que este método logra un mejor
rendimiento de detección que los otros algoritmos de última generación, además de ser robusto contra la compresión Pre-JPEG y los ataques
anti-forenses. En [250], Shan et al. presentó un método forense CE resistente a JPEG basado en una CNN modificada, agregar una capa GLCM y
una capa de recorte antes de una CNN hecha a medida. Los extensos resultados experimentales revelaron que este método logra mejoras
significativas en términos de detección de CE global y local. En [251], Yu et al. presentó un método polivalente basado en CNN para detectar
diversas actividades antiforenses, incluida la extracción automática de características y la identificación de los tipos falsificados. Este modelo
puede detectar de manera efectiva varias imágenes antiforenses en decisiones binarias y multiclase. Los resultados experimentales revelaron
que sus métodos logran un mejor rendimiento que otros métodos contra-anti-forenses en la detección anti-forense. En [252], Chen et al.
presentó un nuevo enfoque de CNN para la detección y manipulación de imágenes multipropósito bajo actividades anti-forenses, y utilizando
un patrón de conectividad denso para una mejor eficiencia de los parámetros. Los resultados experimentales revelaron un mejor rendimiento
en términos de precisión en la detección de ataques antiforenses, así como una mayor solidez frente a la compresión JPEG. En [253], Li et al.
presentó una arquitectura de red neuronal convolucional 3D diseñada para la entrada espacio-temporal para abordar el problema de
detección de suplantación de identidad facial. Los resultados experimentales revelaron que este método puede aprender información
discriminatoria y generalizada en comparación con otros métodos de detección de falsificación biométrica basados en aprendizaje profundo.
En la siguiente sección, se presentarán las principales recomendaciones para garantizar una solución forense mucho más adecuada
para adherirse y superar varios desafíos y problemas forenses, especialmente en términos de seguridad y privacidad.
7 Sugerencias y Recomendaciones
28
Debido al aumento del volumen, el tamaño, la estructura y la velocidad de los datos, este documento sugiere y recomienda las
siguientes soluciones:
• Contador Anti-Forense:se debe trabajar más para garantizar una mayor precisión y tasas de detección basadas en el empleo de más
enfoques basados en el aprendizaje automático, al mismo tiempo que se emplean diferentes soluciones de preservación de la
privacidad para evitar cualquier alteración de la evidencia causada por actividades anti-forenses.
• Mejorar las habilidades de los investigadores:los investigadores deben estar certificados legalmente y recibir capacitación adicional
para especializarse en los campos de ciberseguridad y análisis forense digital. Además de estar más familiarizados con el uso de
técnicas y herramientas forenses/anti-antiforenses, para mejorar sus habilidades de investigación e investigación. Esto lo hará
menos complejo y consumirá menos tiempo [254].
• Campo de pruebas/entrenamiento forense:Se requiere y se necesita más financiación, especialmente para las
herramientas forenses emergentes. Esto ayudaría a garantizar su precisión, ventajas, limitaciones y problemas a
través de pruebas forenses. Además, los exámenes forenses y forenses digitales y las bases educativas (cursos de
bajo/alto nivel) deben ser reconsiderados y reevaluados para adherirse al constante crecimiento moderno en este
dominio.
• Aumento de la conciencia forense:se puede mejorar a través de talleres constantes y eventos basados en análisis forense, así
como reuniones semanales, mensuales o anuales y conferencias internacionales.
• Alerta y conciencia constantes:se requiere para monitorear y seguir los temas nuevos o constantemente emergentes, donde el
análisis forense puede desempeñar un papel clave para localizar, identificar, recuperar y proteger evidencias. Esto se puede hacer
ampliando la gama de campos forenses para cubrir todos los aspectos digitales, de la vida real y de IoT.
8 Conclusión
La integración de la ciencia forense en el campo digital y el mundo de IoT condujo a su difusión global y su uso
en todo el mundo para clasificar los delitos digitales, cibernéticos y relacionados con IoT. Sin embargo, en los
últimos años, hubo un aumento muy notable en el número de actividades anti-forense para ocultar evidencias
y alterarlas/eliminarlas sin posibilidad de recuperación. En este artículo, se presenta una nueva visión analítica
forense moderna. Se presentó un antecedente forense inicial para incluir el proceso de investigación forense,
la cadena de custodia y la estructura de los delitos cibernéticos, además de clasificar los datos digitales y los
tipos de investigadores digitales. Luego, se discutieron los subdominios de análisis forense digital junto con sus
diferentes herramientas, técnicas y enfoques de análisis forense de investigación. También se mencionaron y
detallaron los desafíos de la ciencia forense cibernética. También se destacaron aspectos y técnicas
antiforenses,
Como parte del trabajo futuro, se realizarán más investigaciones sobre el tema antiforense o antiforense recientemente introducido,
especialmente en términos de mejora en los aspectos de detección, prevención y preservación de la privacidad.
Reconocimiento
Este documento fue financiado parcialmente con fondos de la Facultad de Ingeniería y Arquitectura Maroun Semaan de la
Universidad Americana de Beirut.
Referencias
[1] Yanping Zhang, Yang Xiao, Kaveh Ghaboosi, Jingyuan Zhang y Hongmei Deng. Una encuesta sobre delitos cibernéticos.
Redes de Seguridad y Comunicación, 5(4):422–437, 2012.
[2] Mohammad Wazid, Avita Katal, RH Goudar y Sreenivas Rao. Tendencias de hacktivismo, herramientas forenses digitales y
desafíos: una encuesta. EnTecnologías de la información y la comunicación (TIC), Conferencia IEEE de 2013 sobre, páginas
138–144. IEEE, 2013.
[3] Emmanuel S Pilli, Ramesh C Joshi y Rajdeep Niyogi. Marcos forenses de red: encuestas y desafíos de
investigación.investigación digital, 7(1-2):14–27, 2010.
[4] Marcus K. Rogers y Kate Seigfried. El futuro de la informática forense: una encuesta de análisis de necesidades.Informática y
Seguridad, 23(1):12–16, 2004.
29
[5] Murat Gül y Emin Kugu. Una encuesta sobre técnicas anti-forenses. EnSimposio de Inteligencia Artificial y
Procesamiento de Datos (IDAP), 2017 Internacional, páginas 1–6. IEEE, 2017.
[6] Lei Zhang, Shui Yu, Di Wu y Paul Watters. Una encuesta sobre los últimos ataques y defensas de botnets. EnConfianza,
seguridad y privacidad en informática y comunicaciones (TrustCom), 2011 IEEE 10th International Conference on,
páginas 53–60. IEEE, 2011.
[7] Adrienne Porter Felt, Matthew Finifter, Erika Chin, Steve Hanna y David Wagner. Una encuesta de malware móvil en la
naturaleza. EnActas del 1er taller ACM sobre Seguridad y privacidad en teléfonos inteligentes y dispositivos móviles,
páginas 3–14. ACM, 2011.
[8] Min Chen, Shiwen Mao y Yunhao Liu. Grandes datos: una encuesta.Aplicaciones y redes móviles, 19(2):171–209, 2014.
[9] Waleed Halboob, Ramlan Mahmod, Nur Izura Udzir y Mohd Taufik Abdullah. Niveles de privacidad para el análisis forense
informático: hacia una investigación más eficiente que preserve la privacidad.Procedia Informática, 56:370–375, 2015.
[10] Shaheen Shariff.Ciberacoso: problemas y soluciones para la escuela, el aula y el hogar. Routledge, 2008.
[11] David Finkelhor y Richard Ormrod. Pornografía infantil: Patrones de nibrs.boletín de justicia juvenil, 2004.
[12] Lakitta D Johnson, Alfonso Haralson, Sierra Batts, Ebonie Brown, Cedric Collins, Adrian Van Buren-Travis y Melissa
Spencer. Ciberacoso en las redes sociales entre estudiantes universitarios.Vistas en línea, páginas 1–8, 2016.
[13] Peter K. Smith, Jess Mahdavi, Manuel Carvalho, Sonja Fisher, Shanette Russell y Neil Tippett. Ciberacoso: su
naturaleza e impacto en el alumnado de secundaria.Revista de psicología y psiquiatría infantil., 49(4):376–385,
2008.
[14] Ricardo Donegan. Acoso y ciberacoso: Historia, estadísticas, legislación, prevención y análisis.La revista Elon de
investigación de pregrado en comunicaciones, 3(1):33–42, 2012.
[15] Rosemary Stockdale y Craig Standing. Beneficios y barreras de la participación en el mercado electrónico: una perspectiva de
las pymes.Revista de gestión de la información empresarial, 17(4):301–311, 2004.
[16] Katharina Krombholz, Heidelinde Hobel, Markus Huber y Edgar Weippl. Ataques avanzados de ingeniería social.
Revista de Seguridad de la Información y aplicaciones, 22:113–122, 2015.
[17] JongHyup Lee, Thanassis Avgerinos y David Brumley. Lazo: Principios de ingeniería inversa de tipos en programas
binarios. EnNDSS, 2011.
[18] Mohamad Badra, Samer El-Sawda e Ibrahim Hajjeh. Ataques de phishing y soluciones. EnActas de la 3ra conferencia
internacional sobre comunicaciones multimedia móviles, página 42. ICST (Instituto de Ciencias de la Computación,
Informática Social y . . . ), 2007.
[19] Sergei Shevchenko y Adrian Nish. Atribución de robo cibernético.BLOG DE INVESTIGACIÓN DE AMENAZAS DE BAE SYSTEMS, 2016.
[20] Ivica SIMONOVSKI. El sector financiero como un campo abierto para el delito cibernético y la recaudación de fondos de actividades terroristas.
Contrarrestar las actividades terroristas en el ciberespacio, 139:121, 2018.
[21] Fiscal General de Australia. Marco estratégico del crimen organizado de la Commonwealth, 2013.
[22] Mike Perry, Erinn Clark y Steven Murdoch. El diseño e implementación del navegador tor.Borrador https://www.
proyecto. org/proyectos/torbrowser/diseño/. El Proyecto Tor, 2013.
[23] Hsinchun Chen, Wingyan Chung, Jialun Qin, Edna Reid, Marc Sageman y Gabriel Weimann. Descubriendo la web
oscura: un estudio de caso de yihad en la web.Revista de la Sociedad Estadounidense de Ciencia y Tecnología de la
Información, 59(8):1347–1359, 2008.
[24]Andy Greenberg. Léxico hacker: ¿qué es la dark web?Alámbrico. Accedido en, 12(3):2016, 2014.
[25] Gary Stoneburner, Alice Y Goguen y Alexis Feringa. Sp 800-30. guía de gestión de riesgos para sistemas de tecnologías
de la información. 2002.
[26] Christopher Hargreaves y Jonathan Patterson. Un enfoque de reconstrucción de línea de tiempo automatizado para
investigaciones forenses digitales.Investigación digital, 9:S69–S79, 2012.
[27] Frank J. Donner.La era de la vigilancia: los objetivos y métodos del sistema de inteligencia política de Estados Unidos. Vendimia,
1980.
[28] Mike Maguire. Vigilancia por riesgos y objetivos: algunas dimensiones e implicaciones del control del crimen dirigido por
inteligencia. Vigilancia y sociedad: una revista internacional, 9(4):315–336, 2000.
30
[29] Jacqueline E Ross. El lugar de la vigilancia encubierta en las sociedades democráticas: un estudio comparativo de los Estados
Unidos y Alemania.El Diario Americano de Derecho Comparado, 55(3):493–579, 2007.
[30] Carles Fernández, Pau Baiget, F Xavier Roca y Jordi Gonzàlez. Determinación de los eventos semánticos más adecuados para la
vigilancia cognitiva.Sistemas Expertos con Aplicaciones, 38(4):4068–4079, 2011.
[31] Pablo Bernal. Recopilación de datos, vigilancia y derechos humanos: reformulación del debate.Revista de política cibernética,
1(2):243–264, 2016.
[32] Garganta de Mathieu. Interceptación legal: conceptos clave, actores, tendencias y consideraciones de mejores prácticas.Fraude
informático y seguridad, 2007(9):10–14, 2007.
[33] Gregorio Kipper.Crimen inalámbrico e investigación forense. Publicaciones de Auerbach, 2007.
[34]Robin Bryant. Vigilancia del crimen digital: el contexto internacional y organizacional. EnVigilancia del crimen digital,
páginas 129–140. Routledge, 2016.
[35] Giuliano Giova. Mejora de la cadena de custodia en la investigación forense de sistemas electrónicos digitales.Revista
internacional de informática y seguridad de redes, 11(1):1–9, 2011.
[36] Jason M Daniels. Técnicas forenses y antiforenses para documentos en formato ole2. 2008.
[37] Jorge Benítez Abad et al. Informática forense: automatización con autopsia. 2018.
[38] Marcus K. Rogers, James Goldman, Rick Mislan, Timothy Wedge y Steve Debrota. Modelo de proceso de triaje de campo de
informática forense.Revista de ciencia forense digital, seguridad y derecho, 1(2):2, 2006.
[39] Yashwanth Reddy Kambalapalli. Diferentes herramientas forenses en un solo ssd y hdd, sus diferencias e inconvenientes. 2018.
[40] Eoghan Casey.Pruebas digitales y delitos informáticos: ciencia forense, ordenadores e Internet. Prensa
académica, 2011.
[41] Andrés Zammit Tabona. Las 20 mejores herramientas gratuitas de investigación forense digital para administradores de sistemas.TeckTalk con la tecnología del
software GFI, 2017, 2002.
[42] David Bennet. Los desafíos que enfrentan los investigadores forenses informáticos para obtener información de dispositivos móviles
para su uso en investigaciones criminales.Revista de seguridad de la información: una perspectiva global, 21(3):159–168, 2012.
[43] Douglas Schweitzer.Respuesta a incidentes: kit de herramientas de informática forense. Wiley Nueva York, 2003.
[44] Alec Yasinsac, Robert F Erbacher, Donald G Marks, Mark M Pollitt y Peter M Sommer. Educación informática
forense.Seguridad y privacidad IEEE, 99(4):15–23, 2003.
[45] HA Boyes, P Norris, I Bryant y T Watson. Software confiable: lecciones de fallas y errores graves.
2014.
[46] Noble Kumari y AK Mohapatra. Una visión de las ramas y herramientas del análisis forense digital. EnTécnicas
Computacionales en Tecnologías de la Información y la Comunicación (ICCTICT), 2016 Conferencia Internacional sobre
, páginas 243–250. IEEE, 2016.
[47] Nicole Lang Beebe y Jan Guynes Clark. Un marco jerárquico basado en objetivos para el proceso de
investigaciones digitales.Investigación digital, 2(2):147–167, 2005.
[48] Andrew Marrington, Ibrahim Baggili, George Mohay y Andrew Clark. Cat detect (detección de la línea de tiempo de la actividad de la computadora):
una herramienta para detectar inconsistencias en las líneas de tiempo de la actividad de la computadora.investigación digital, 8:S52–S61, 2011.
[49] Shadi Al Awawdeh, Ibrahim Baggili, Andrew Marrington y Farkhund Iqbal. Cat record (registro de línea de tiempo de actividad
informática): un enfoque unificado basado en agentes para la recopilación de pruebas forenses informáticas en tiempo real.
En Enfoques Sistemáticos de la Ingeniería Forense Digital (SADFE), 2013 Octavo Taller Internacional sobre, páginas 1–8. IEEE,
2013.
[50] Jens Olsson y Martin Boldt. Herramienta de visualización de línea de tiempo forense informática.investigación digital, 6:S78–S87, 2009.
[51] Propuesta de demostración Wei. Análisis forense de redes con gráficos de evidencia. 2005.
[52] Mohammed Alzaabi, Kamal Taha y Thomas Anthony Martin. Cisri: un sistema de investigación de delitos que utiliza la importancia
relativa de los difusores de información en las redes que representan las comunicaciones de los delincuentes.Transacciones IEEE
sobre análisis forense y seguridad de la información, 10(10):2196–2211, 2015.
31
[53] Kemal Hajdarevic y Vahidin Dzaltur. Un enfoque para la recopilación de evidencia digital para una aplicación forense
exitosa: una investigación de un caso de chantaje. EnTecnologías de la Información y la Comunicación, Electrónica y
Microelectrónica (MIPRO), 2015 38 Convención Internacional sobre, páginas 1387–1392. IEEE, 2015.
[54] Anchit Bijalwan, Mohammad Wazid, Emmanuel S Pilli y Ramesh Chandra Joshi. análisis forense de ataques de
inundación UDP aleatorios.Revista de Redes, 10(5):287, 2015.
[55] Nickolaos Koroniotis, Nour Moustafa y Elena Sitnikova. Análisis forense y mecanismos de aprendizaje profundo para botnets en
Internet de las cosas: una encuesta de desafíos y soluciones.Acceso IEEE, 7:61764–61785, 2019.
[56] Ray Hunt y Sherali Zeadally. Análisis forense de redes: un análisis de técnicas, herramientas y tendencias.Computadora, páginas 1 y 1,
2012.
[57] Sherri Davidoff y Jonathan Jamón.Análisis forense de redes: seguimiento de piratas informáticos a través del ciberespacio, volumen 2014.
Prentice hall Upper Saddle River, 2012.
[58] William Yurcik, James Barlow, Kiran Lakkaraju y Mike Haberman. Dos herramientas visuales de monitoreo de seguridad de
redes informáticas que incorporan requisitos de interfaz de operador. EnEn ACM CHI Taller sobre Interacción Humano-
Computadora y Sistemas de Seguridad (HCISEC. Citaseer, 2003.
[59] Srinivas Mukkamala y Andrew H Sung. Identificar características significativas para el análisis forense de redes utilizando
técnicas de inteligencia artificial.Revista internacional de evidencia digital, 1(4):1–17, 2003.
[60] Simson Garfinkel. Análisis forense de redes: aprovechar Internet.Computación en Internet IEEE, 6:60–66, 2002.
[61] Simson Garfinkel y Gene Spafford.Seguridad web, privacidad y comercio. "O'Reilly Media, Inc.", 2002.
[62] Vicka Corey, Charles Peterman, Sybil Shearin, Michael S. Greenberg y James Van Bokkelen. Análisis forense de
redes.Computación en Internet IEEE, 6(6):60–66, 2002.
[63] Gulshan Shrivastava. Análisis forense de redes: revisión metódica de la literatura. EnComputación para el Desarrollo Global
Sostenible (INDIACom), 2016 3ra Conferencia Internacional sobre, páginas 2203–2208. IEEE, 2016.
[64] Keyun Ruan, Joe Carthy, Tahar Kechadi y Mark Crosbie. Análisis forense en la nube. EnConferencia Internacional IFIP sobre
Análisis Forense Digital, páginas 35–46. Springer, 2011.
[65] Xath Cruz. Los fundamentos del análisis forense en la nube.Tiempos de nubes, 2012.
[66] Konstantinos Vlachopoulos, Emmanouil Magkos y Vassileios Chrissikopoulos. Un modelo para la investigación de evidencia
híbrida.Revista internacional de criminalística digital y ciencia forense (IJDCF), 4(4):47–62, 2012.
[67] Monali P Mohite y SB Ardhapurkar. Diseño e implementación de una herramienta informática forense basada en la nube. En
Sistemas de Comunicación y Tecnologías de Redes (CSNT), 2015 Quinta Conferencia Internacional sobre, páginas 1005–1009.
IEEE, 2015.
[68] Ronald L. Krutz y Russell Dean Vines.Seguridad en la nube: una guía completa para proteger la computación en la nube.
Editorial Wiley, 2010.
[69] Josiah Dykstra y Alan T. Sherman. Diseño e implementación de frost: Herramientas forenses digitales para la plataforma de
computación en la nube openstack.Investigación digital, 10:S87–S95, 2013.
[70] Sameena Naaz y Faizan Ahmad Siddiqui. Estudio comparativo de herramientas forenses en la nube.Comunicaciones en
Electrónica Aplicada (CAE) ISSN, páginas 2394–4714.
[71] James B Wendt, Michael Bendersky, Lluis García-Pueyo, Vanja Josifovski, Balint Miklos, Ivo Krka, Amitabh Saikia, Jie
Yang, Marc-Allen Cartright y Sujith Ravi. Propagación y descubrimiento de etiquetas jerárquicas para correo
electrónico generado por máquina. EnActas de la Novena Conferencia Internacional ACM sobre Búsqueda Web y
Minería de Datos, páginas 317–326. ACM, 2016.
[72] Marie-Helen Maras et al.Informática forense. Aprendizaje de Jones y Bartlett, 2015.
[73] Markus Jakobson. Modelado y prevención de ataques de phishing. EnCriptografía financiera, volumen 5, 2005.
[74] Bimal Parmar. Protección contra el spear-phishing.Fraude informático y seguridad, 2012(1):8–11, 2012.
[75] Justin Paglierani, Mike Mabey y Gail-Joon Ahn. Hacia un análisis forense integral y colaborativo de las pruebas de correo
electrónico. EnInformática colaborativa: redes, aplicaciones y trabajo compartido (Collaboratecom), 2013 9ª
Conferencia internacional Conferencia sobre, páginas 11–20. IEEE, 2013.
[76] Justin W. Paglierani.Un marco para la adquisición ampliada y la representación uniforme de pruebas forenses de correo
electrónico. Universidad Estatal de Arizona, 2013.
[77] Muhammad Yasin y Muhammad Abulaish. Digla: una herramienta de análisis de registros de digsby para identificar artefactos forenses.
Investigación digital, 9(3-4):222–234, 2013.
32
[78] Brian Portador. Herramientas forenses digitales de código abierto: el argumento legal. Informe técnico, estaca, 2002.
[79] Salvatore J Stolfo, Shlomo Hershkop, Chia-Wei Hu, Wei-Jen Li, Olivier Nimeskern y Ke Wang. Modelado basado en el
comportamiento y su aplicación al análisis de correo electrónico.Transacciones ACM en Tecnología de Internet (TOIT),
6(2):187–221, 2006.
[80] Vamshee Krishna Devendran, Hossain Shahriar y Victor Clincy. Un estudio comparativo de herramientas forenses de correo electrónico.
Revista de Seguridad de la Información, 6(2):111, 2015.
[81] Jeff Lessard y Gary Kessler. Análisis forense de Android: Simplificando los exámenes de teléfonos celulares. 2010.
[82] Andrew Hoog.Android forensics: investigación, análisis y seguridad móvil para Google Android. Elsevier, 2011.
[83] Yajin Zhou, Zhi Wang, Wu Zhou y Xuxian Jiang. Oye, sal de mi mercado: detección de aplicaciones maliciosas en los mercados
oficiales y alternativos de Android. EnNDSS, volumen 25, páginas 50–52, 2012.
[84] Francesco Di Cerbo, Andrea Girardello, Florian Michahelles y Svetlana Voronkova. Detección de aplicaciones maliciosas
en el sistema operativo Android. EnTaller Internacional de Cómputo Forense, páginas 138–149. Springer, 2010.
[85] Juanru Li, Dawu Gu y Yuhao Luo. Análisis forense de malware de Android: reconstrucción de eventos maliciosos. En
Talleres de sistemas informáticos distribuidos (ICDCSW), 2012 32.ª Conferencia internacional sobre, páginas 552–558.
IEEE, 2012.
[86] Aubrey-Derrick Schmidt, Hans-Gunther Schmidt, Jan Clausen, Kamer A Yuksel, Osman Kiraz, Ahmet Camtepe y Sahin
Albayrak. Mejora de la seguridad de los dispositivos Android basados en Linux. Enen Actas del 15º Congreso
Internacional de Linux. Lehmann, 2008.
[87] Himanshu Khurana, Mark Hadley, Ning Lu y Deborah A Frincke. Problemas de seguridad de la red inteligente.Seguridad y
privacidad IEEE, 8(1), 2010.
[88] Jayant Shukla. Sandbox de aplicaciones para detectar, eliminar y prevenir malware, 17 de enero de 2008. Solicitud de patente de EE. UU.
11/769,297.
[89] Ulrich Bayer, Andreas Moser, Christopher Kruegel y Engin Kirda. Análisis dinámico de código malicioso. Revista
en Virología Informática, 2(1):67–77, 2006.
[90] Andrew Nicholson, Tim Watson, Peter Norris, Alistair Duffy y Roy Isbell. Una taxonomía de técnicas de atribución técnica para
ataques cibernéticos. EnConferencia Europea sobre Guerra y Seguridad de la Información, página 188, 2012.
[91] Allan Cook, Andrew Nicholson, Helge Janicke, Leandros Maglaras y Richard Smith. Atribución de ciberataques a
los sistemas de control industrial. 2016.
[92] Chathuranga Rathnayaka y Aruna Jamdagni. Un enfoque eficiente para el análisis avanzado de malware utilizando
técnicas forenses de memoria. EnTrustcom/BigDataSE/ICESS, 2017 IEEE, páginas 1145–1150. IEEE, 2017.
[93] Alisa Torres. Construyendo un centro de operaciones de seguridad de clase mundial: una hoja de ruta.Instituto SANS, mayo, 2015.
[94] Vaibhav Rastogi, Yan Chen y Xuxian Jiang. Droidchameleon: evaluación del antimalware de Android contra
ataques de transformación. EnActas del 8º Simposio ACM SIGSAC sobre Seguridad de la información,
informática y comunicaciones, páginas 329–334. ACM, 2013.
[95] Michael I Cohen, Darren Bilby y Germano Caronni. Análisis forense distribuido y respuesta a incidentes en la
empresa.investigación digital, 8:S101–S110, 2011.
[96] Michael Ligh, Steven Adair, Blake Hartstein y Matthew Richard.Libro de cocina y DVD del analista de malware:
herramientas y técnicas para combatir el código malicioso. Editorial Wiley, 2010.
[97] Rayan Mosli, Rui Li, Bo Yuan y Yin Pan. Un enfoque basado en el comportamiento para la detección de malware. EnConferencia
Internacional IFIP sobre Análisis Forense Digital, páginas 187–201. Springer, 2017.
[98] Hajime Inoue, Frank Adelstein y Robert A. Joyce. Visualización en la prueba de una herramienta forense de memoria volátil.
Investigación digital, 8:S42–S51, 2011.
[99] Stefan Vömel y Felix C Freiling. Un estudio de las principales técnicas de análisis y adquisición de memoria para el
sistema operativo Windows.Investigación digital, 8(1):3–22, 2011.
[100] Bryan Ford, Godmar Back, Greg Benson, Jay Lepreau, Albert Lin y Olin Shivers. The flux oskit: un sustrato para la investigación
del kernel y el lenguaje. EnRevisión de sistemas operativos ACM SIGOPS, volumen 31, páginas 38–51. ACM, 1997.
[101] William A. Arbaugh, David J. Farber y Jonathan M. Smith. Una arquitectura de arranque segura y confiable. En
Seguridad y privacidad, 1997. Actas. Simposio IEEE de 1997 sobre, páginas 65–71. IEEE, 1997.
33
[102] James T Mihm y William R Hannon. Sistema y método para automatizar la recuperación de imágenes de firmware de BIOS mediante un procesador que no es
anfitrión y una política de plataforma para seleccionar un sistema donante, 5 de octubre de 2010. Patente de EE. UU. 7.809.836.
[103] Michael Sikorski y Andrew Honig.Análisis práctico de malware: la guía práctica para diseccionar software malicioso.
prensa sin almidón, 2012.
[104] Ziad A Al-Sharif, Mohammad I Al-Saleh, Luay M Alawneh, Yaser I Jararweh y Brij Gupta. Análisis forense en vivo de ataques de
software en sistemas físicos cibernéticos.Sistemas informáticos de generación futura, 2018.
[105] Vikram S Harichandran, Daniel Walnycky, Ibrahim Baggili y Frank Breitinger. Cufa: Una definición más formal para
artefactos forenses digitales.Investigación digital, 18:S125–S137, 2016.
[106] Ahmed F. Shosha, Lee Tobin y Pavel Gladyshev. Reconstrucción forense digital de una acción programática. EnTalleres
de seguridad y privacidad IEEE 2013, páginas 119–122. IEEE, 2013.
[107] Ellick Chan, Winston Wan, Amey Chaugule y Roy Campbell. Un marco para el análisis forense de la memoria volátil. En
Actas de la 16ª conferencia ACM sobre seguridad informática y de las comunicaciones, 2009.
[108] Ellick Chan, Shivaram Venkataraman, Francis David, Amey Chaugule y Roy Campbell. Forenscope: un marco para el
análisis forense en vivo. EnActas de la 26.ª Conferencia Anual de Aplicaciones de Seguridad Informática, páginas 307–
316. ACM, 2010.
[109] Johannes Stüttgen, Stefan Vömel y Michael Denzel. Adquisición y análisis de firmware comprometido mediante análisis
forense de memoria.Investigación digital, 12:S50–S60, 2015.
[110] Narasimha Karpoor Shashidhar y Dylan Novak. Análisis forense digital en archivos de captación previa.Revista Internacional de
Ciencias de la Seguridad de la Información, 4(2):39–49, 2015.
[111] Tobias Latzo, Ralph Palutke y Félix Freiling. Una taxonomía universal y un estudio de las técnicas forenses de adquisición de
memoria.Investigación digital, 28:56–69, 2019.
[112] Cristina Amari. Técnicas y herramientas para recuperar y analizar datos de la memoria volátil.Sala de lectura de InfoSec
del Instituto SANS, 2009.
[113] Andreas Schuster. Ptfinder versión 0.3. 05. 2007.
[114] Eoghan Casey, Michael Bann y John Doyle. Introducción al análisis forense de Windows Mobile, 2010.
[115] Iósif I Androulidakis. Análisis forense de telefonía móvil. EnSeguridad y análisis forense de teléfonos móviles, páginas 75–99. Springer,
2012.
[116] Fabio Marturana, Gianluigi Me, Rosamaria Berté y Simone Tacconi. Un enfoque cuantitativo para el triaje en análisis
forense móvil. EnConfianza, seguridad y privacidad en informática y comunicaciones (TrustCom), 2011 IEEE 10th
International Conference on, páginas 582–588. IEEE, 2011.
[117] Maxim Chernyshev, Sherali Zeadally, Zubair Baig y Andrew Woodward. Análisis forense móvil: avances, desafíos
y oportunidades de investigación.Seguridad y privacidad IEEE, 15(6):42–51, 2017.
[118] Jae-Duk Lee, Sung-Hoi Hur y Jung-Dal Choi. Efectos de la interferencia de puerta flotante en el funcionamiento de las celdas de memoria
flash nand.Letras de dispositivos de electrones IEEE, 23(5):264–266, 2002.
[119] Wayne Jansen y Rick Ayers. Una descripción general y análisis de las herramientas forenses pda.Investigación digital, 2(2):120–
132, 2005.
[120] Justin Grover. Análisis forense de Android: recopilación de datos e informes automatizados desde un dispositivo móvil.
Investigación digital, 10:T12–T20, 2013.
[121] Jean-Paul A Yaacoub, Mohamad Noura, Hassan N Noura, Ola Salman, Elias Yaacoub, Raphaël Couturier y Ali Chehab.
Protección de los sistemas de Internet de cosas médicas: limitaciones, problemas y recomendaciones.Sistemas
informáticos de generación futura, 2019.
[122] Steven Glass, Tom Hiller, Stuart Jacobs y C Perkins. Requisitos de autenticación, autorización y contabilidad de ip
móvil. Informe técnico, 2000.
[123] Adam Dunkels. Rime: una pila de comunicación ligera en capas para redes de sensores. EnActas de la Conferencia
Europea sobre Redes de Sensores Inalámbricos (EWSN), póster/sesión de demostración, Delft, Países Bajos, 2007.
[124] Louis Coetzee y Guillaume Olivrin. Inclusión a través del internet de las cosas. EnTecnologías de asistencia. Intech, 2012.
[125] John Gantz y David Reinsel. El universo digital en 2020: Big data, sombras digitales más grandes y mayor crecimiento
en el Lejano Oriente.IDC iView: IDC analiza el futuro, 2007(2012):1–16, 2012.
[126] Steve Watson y Ali Dehghantanha. Análisis forense digital: la pieza que falta en la promesa de Internet de las cosas.
Fraude informático y seguridad, 2016(6):5–8, 2016.
34
[127] Vicky Miller Luoma. Informática forense y descubrimiento electrónico: el nuevo desafío de gestión.Informática y
Seguridad, 25(2):91–96, 2006.
[128] Nickson M Karie y Hein S Venter. Taxonomía de desafíos para el análisis forense digital.revista de ciencias forenses,
60(4):885–893, 2015.
[129] Álvaro A Cárdenas, Pratyusa K Manadhata y Sreeranga P Rajan. Análisis de big data para seguridad.Seguridad y
privacidad IEEE, 11(6):74–76, 2013.
[130] Andrii Shalaginov, Jan William Johnsen y Katrin Franke. Investigaciones de delitos cibernéticos en la era del big data. En
Big Data (Big Data), Conferencia Internacional IEEE 2017 sobre, páginas 3672–3676. IEEE, 2017.
[131] Kamal Dahbur y Bassil Mohammad. El desafío anti-forense. EnActas de la Conferencia internacional de 2011
sobre aplicaciones y servicios web semánticos inteligentes, página 14. ACM, 2011.
[132] M Ali Aydın, A Halim Zaim y K Gökhan Ceylan. Diseño de un sistema híbrido de detección de intrusos para la seguridad
de redes informáticas.Informática e ingeniería eléctrica, 35(3):517–526, 2009.
[133] Akash Garg y Prachi Maheshwari. Un sistema híbrido de detección de intrusos: una revisión. EnSistemas Inteligentes y
Control (ISCO), 2016 10th International Conference on, páginas 1–5. IEEE, 2016.
[134] Megha Gupta. Sistema híbrido de detección de intrusos: Tecnología y desarrollo.Revista internacional de
aplicaciones informáticas, 115(9), 2015.
[135] Suleman Khan, Ejaz Ahmad, Muhammad Shiraz, Abdullah Gani, Ainuddin Wahid Abdul Wahab y Mustapha Aminu
Bagiwa. Desafíos forenses en la computación en la nube móvil. EnTecnología informática, de comunicaciones y de
control (I4CT), Conferencia internacional de 2014 sobre, páginas 343–347. IEEE, 2014.
[136] Luca Caviglione, Steffen Wendzel y Wojciech Mazurczyk. El futuro del análisis forense digital: desafíos y el camino por
recorrer.Seguridad y privacidad IEEE, 15(6):12–17, 2017.
[137] Konstantia Barmpatsalou, Tiago Cruz, Edmundo Monteiro y Paulo Simoes. Tendencias actuales y futuras en análisis forense de
dispositivos móviles: una encuesta.Encuestas de computación ACM (CSUR), 51(3):46, 2018.
[138] Dasari Manendra Sai, NRGK Prasad y Satish Dekka. El proceso forense de análisis de dispositivos móviles. Revista
Internacional de Ciencias de la Computación y Tecnologías de la Información, 6(5):4847–4850, 2015.
[139] Mandar Jadhav y KK Joshi. Procedimiento de investigación forense para la adquisición y análisis de datos de dispositivos móviles
basados en firefox os. EnComputing, Analytics and Security Trends (CAST), Conferencia Internacional sobre, páginas 456–
461. IEEE, 2016.
[140] Tor-Morten Gronli, Jarle Hansen, Gheorghita Ghinea y Muhammad Younas. Heterogeneidad de la plataforma de
aplicaciones móviles: Android vs windows phone vs ios vs firefox os. EnAplicaciones y redes de información
avanzada (AINA), 2014 IEEE 28th International Conference on, páginas 635–641. IEEE, 2014.
[141] Mauro Conti, Tooska Dargahi y Ali Dehghantanha. Inteligencia de amenazas cibernéticas: desafíos y oportunidades. Inteligencia de
amenazas cibernéticas, páginas 1 a 6, 2018.
[142] Michele Elingiusti, Leonardo Aniello, Leonardo Querzoni y Roberto Baldoni. Detección de malware: una encuesta y taxonomía
de las técnicas actuales.Inteligencia de amenazas cibernéticas, páginas 169–191, 2018.
[143] Adam Young y Moti Yung. Ataques de puerta trasera a cifrados de caja negra que explotan textos sin formato de baja entropía. En
Conferencia de Australasia sobre Seguridad y Privacidad de la Información, páginas 297–311. Springer, 2003.
[144] Ting-Fang Yen, Yinglian Xie, Fang Yu, Roger Peng Yu y Martin Abadi. Huella digital y seguimiento de host en la web:
implicaciones de privacidad y seguridad. EnNDSS, volumen 62, página 66. Citeseer, 2012.
[145] Nguyen Phong Hoang y Davar Pishva. La comunicación anónima y su importancia en las redes sociales. En
Tecnología de Comunicación Avanzada (ICACT), 2014 16ª Conferencia Internacional sobre, páginas 34–39. IEEE,
2014.
[146] E Ramadhani. Anonimato comunicación vpn y tor: un estudio comparativo. EnJournal of Physics: Serie de conferencias,
tomo 983, página 012060. IOP Publishing, 2018.
[147] WoL Chang. Marco de interoperabilidad de big data de Nist: Volumen 1, definiciones. Informe técnico, 2015.
[148] Sam Madden. De las bases de datos al big data.Computación en Internet IEEE, (3):4–6, 2012.
[149] Oluwasola María Adedayo. Big data y análisis forense digital. EnCybercrime and Computer Forensic (ICCCF), Conferencia
internacional IEEE sobre, páginas 1–7. IEEE, 2016.
[150] Ge Jin, Manghui Tu, Tae-Hoon Kim, Justin Heffron y Jonathan White. Entrenamiento de ciberseguridad basado en juegos para
estudiantes de secundaria. EnActas del 49º Simposio Técnico de ACM sobre Educación en Ciencias de la Computación, páginas
68–73. ACM, 2018.
35
[151] Mitko Bogdanoski y Drage Petreski. Ciberterrorismo: amenaza a la seguridad global.Defensa macedonia
contemporánea: revista científica internacional de defensa, seguridad y paz, 13(24):59–73, 2013.
[152] Daniel Hughes y Andrew Colarik. La jerarquía de las definiciones de guerra cibernética. EnTaller de Asia Pacífico sobre
inteligencia e informática de seguridad, páginas 15–33. Springer, 2017.
[153] Alexander Kosenkov. Los ciberconflictos como nueva amenaza global.internet del futuro, 8(3):45, 2016.
[154] Ralph Langner. Stuxnet: diseccionando un arma de guerra cibernética.Seguridad y privacidad IEEE, 9(3):49–51, 2011.
[155] Manuel R Torres Soriano. Internet como motor del cambio político: ciberpesimistas y ciberoptimistas.Revista del
Instituto Español de Estudios Estratégicos, 1(1):332–352, 2013.
[156] Laoise Luciano, Ibrahim Baggili, Mateusz Topor, Peter Casey y Frank Breitinger. Análisis forense digital en los próximos cinco
años. EnActas de la 13.ª Conferencia Internacional sobre Disponibilidad, Confiabilidad y Seguridad, página 46. ACM, 2018.
[157] Milda Petraityte, Ali Dehghantanha y Gregory Epiphaniou. Un modelo para el cálculo de riesgo de aplicaciones Android e iOS:
análisis y mejora de Cvss utilizando estudios de casos y controles.Inteligencia de amenazas cibernéticas, páginas 219–237,
2018.
[158] Andrii Shalaginov, Sergii Banin, Ali Dehghantanha y Katrin Franke. Análisis de malware estático asistido por aprendizaje automático: una
encuesta y un tutorial.Inteligencia de amenazas cibernéticas, páginas 7–45, 2018.
[159] Mudit Kalpesh Pandya, Sajad Homayoun y Ali Dehghantanha. Investigación forense de plataformas sdn basadas en openflow.
Inteligencia de amenazas cibernéticas, páginas 281–296, 2018.
[160] Kresimir Hausknecht y S. Gruičić. Antiinformática forense. En2017 40.a Convención Internacional sobre
Tecnologías de la Información y la Comunicación, Electrónica y Microelectrónica (MIPRO), páginas 1233–1240.
IEEE, 2017.
[161] Gary C. Kessler. La antiforense y el investigador digital. EnConferencia australiana de ciencia forense digital, página 1, 2007.
[162] LLC Metasploit. El marco de metasploit, 2007.

[163] Sara Hilley. Anti-forense con un pequeño ejército de hazañas.investigación digital, 4(1):13–15, 2007.
[164] Christian SJ Perón y Michael Legary. Antiforense digital: tendencias emergentes en técnicas de transformación de datos. En
Procedimientos de, 2005.
[165] Martin Wundram, Felix C Freiling y Christian Moch. Anti-forense: el siguiente paso en la prueba de herramientas de análisis
forense digital. EnIT Security Incident Management and IT Forensics (IMF), 2013 Séptima Conferencia Internacional sobre,
páginas 83–97. IEEE, 2013.
[166] Ryan Harris. Llegando a un consenso anti-forense: examinando cómo definir y controlar el problema anti-
forense.investigación digital, 3:44–49, 2006.
[167] Simson Garfinkel. Antiforense: Técnicas, detección y contramedidas. EnII Congreso Internacional de i-Warfare y
Seguridad, volumen 20087, páginas 77–84, 2007.
[168] Matthew C Stamm, W Sabrina Lin y KJ Ray Liu. Análisis forense temporal y antiforense para video con compensación de
movimiento.Transacciones IEEE sobre análisis forense y seguridad de la información, 7(4):1315–1329, 2012.
[169] Harald Baier y Julian Knauer. Afauc–anti-forense de dispositivos de almacenamiento por uso alternativo de canales de comunicación. En
Gestión de incidentes de seguridad de TI y análisis forense de TI (iMF), 2014 octava conferencia internacional sobre, páginas 14–26.
IEEE, 2014.
[170] B. Shirani. Anti-forense.Asociación de Investigación de Delitos de Alta Tecnología, http://www. aversión. net/
presentaciones/HTCIA-02/anti-forense. ppt, 2002.
[171] Rogers M. Anti-forense: la próxima ola en el análisis forense digital.Consultado en septiembre, 7:2008, 2006.
[172] M Rogers y M Lockheed. Anti-forense.Lockheed Martin. San Diego, California. Obtenido de http://
cyberforensics. purdue edu/documents/AntiForensics\LockheedMartin09152005. pdf, 2005.
[173] Kamal Dahbur y Bassil Mohammad. Hacia la comprensión de los desafíos y las contramedidas en la informática
antiforense. EnAvances de computación en la nube en diseño, implementación y tecnologías, páginas 176–189. IGI
Global, 2013.
[174] Pietro Albano, Aniello Castiglione, Giuseppe Cattaneo y Alfredo De Santis. Una nueva técnica anti-forense para el sistema
operativo Android. EnInformática, comunicaciones y aplicaciones de banda ancha e inalámbricas (bwcca), conferencia
internacional de 2011 sobre, páginas 380–385. IEEE, 2011.
36
[175] Joseph C Sremack y Alexandre V Antonov. Taxonomía de amenazas contra la informática forense.FMI, 103:e12, 2007.
[176] Matthew C Stamm, W Sabrina Lin y KJ Ray Liu. Forensics vs anti-forensics: un marco teórico de decisiones y
juegos. EnProcesamiento de Acústica, Habla y Señal (ICASSP), Conferencia Internacional IEEE 2012 sobre,
páginas 1749–1752. IEEE, 2012.
[177] Anthony Dekker. Una taxonomía de arquitecturas de guerra centradas en redes. Informe técnico, DEFENSE
SCIENCE AND TECHNOLOGY ORGANIZATION CANBERRA (AUSTRALIA), 2008.
[178] Shashikala Channalli y Ajay Jadhav. Esteganografía un arte de ocultar datos.preimpresión de arXiv arXiv:0912.2319,
2009.
[179] Arvind Kumar y Km Pooja. Esteganografía: una técnica de ocultación de datos.Revista internacional de aplicaciones
informáticas, 9(7):19–23, 2010.
[180] S. Srinivasan. Seguridad y privacidad frente a capacidades informáticas forenses.Diario de Control de Sistemas de Información,
4:1–3, 2007.
[181] Frank Breitinger y Harald Baier. Un enfoque de hashing difuso basado en secuencias aleatorias y distancia de hamming. 2012.
[182] Ronald Rivest. El algoritmo de resumen de mensajes md5. Informe técnico, 1992.
[183] D Eastlake tercero y Paul Jones. Us algoritmo hash seguro 1 (sha1). Informe técnico, 2001.
[184] Anthony J. Wasilewski. Recuperación y transferencia de contenido de disco duro encriptado desde decodificadores dvr, 8 de diciembre de 2009.
Patente de EE. UU. 7,630,499.
[185] George I Davida, David L Wells y John B Kam. Un sistema de cifrado de base de datos con subclaves.Transacciones de
ACM en sistemas de bases de datos (TODS), 6(2):312–328, 1981.
[186] Rakesh Agrawal, Jerry Kiernan, Ramakrishnan Srikant y Yirong Xu. Orden preservando el cifrado de datos
numéricos. EnActas de la conferencia internacional ACM SIGMOD de 2004 sobre gestión de datos, páginas
563–574. ACM, 2004.
[187] Ricardo Bergmair. Esteganografía de lenguaje natural y una primitiva de seguridad "ai-completa". En21º Congreso de
Comunicación del Caos, Berlín (diciembre de 2004), 2004.
[188] Józef Lubacz, Wojciech Mazurczyk y Krzysztof Szczypiorski. Vicio sobre ip.Espectro IEEE, 47(2), 2010.
[189] Natarajan Meghanathan y Lopamudra Nayak. Algoritmos de estegoanálisis para detectar la información oculta en
medios de cobertura de imagen, audio y video.Revista internacional de seguridad de redes y su aplicación (IJNSA),
2(1):43–55, 2010.
[190] Manveer Kaur y Gagandeep Kaur. Revisión de diversas técnicas de estegoanálisis.Revista Internacional de Ciencias de
la Computación y Tecnologías de la Información, 5(2):1744–1747, 2014.
[191] Huayong Ge, Mingsheng Huang y Qian Wang. Esteganografía y estegoanálisis basados en imagen digital. En 2011 4to
Congreso Internacional de Procesamiento de Imagen y Señal, volumen 1, páginas 252–255. IEEE, 2011.
[192] Kevin Conlan, Ibrahim Baggili y Frank Breitinger. Anti-forense: Promoción de la ciencia forense digital a través de una
nueva taxonomía granular ampliada.Investigación digital, 18:S66–S75, 2016.
[193] Bryan Sartín. Anti-forense: distorsionar la evidencia.Fraude informático y seguridad, 2006(5):4–6, 2006.
[194] Xiaoyun Wang y Hongbo Yu. Cómo romper md5 y otras funciones hash. EnConferencia internacional anual
sobre teoría y aplicaciones de técnicas criptográficas, páginas 19–35. Springer, 2005.
[195] Anu Jain y Gurpal Singh Chhabra. Técnicas anti-forenses: una revisión analítica. EnComputación Contemporánea
(IC3), 2014 Séptima Conferencia Internacional sobre, páginas 412–418. IEEE, 2014.
[196] Álvaro Botas, Ricardo J Rodríguez, Teemu Väisänen y Patrycjusz Zdzichowski. Falsificación y defensa del
proceso forense digital. EnInformática y Tecnología de la Información; Computación Ubicua y
Comunicaciones; Computación confiable, autónoma y segura; Inteligencia y Computación Pervasivas
(CIT/IUCC/DASC/PICOM), Conferencia Internacional IEEE 2015 sobre, páginas 1966–1971. IEEE, 2015.
[197] Ang Chen, Akshay Sriraman, Tavish Vaidya, Yuankai Zhang, Andreas Haeberlen, Boon Thau Loo, Linh Thi Xuan
Phan, Micah Sherr, Clay Shields y Wenchao Zhou. Dispersión de ataques ddos asimétricos con splitstack. En
Actas del 15.º taller de la ACM sobre temas candentes en redes, páginas 197–203. ACM, 2016.
[198] Ahmed Alenezi, Hany F Atlam, Reem Alsagri, Madini O Alassafi y Gary B Wills. Análisis forense de IOT: una revisión de
vanguardia, desafíos y direcciones futuras.
[199] Michael Perklin. Anti-forense y anti-anti-forense.Charla en DEF CON, 20, 2012.
37
[200] Sean Collins y Stephen McCombie. Stuxnet: el surgimiento de una nueva arma cibernética y sus implicaciones. Revista
de vigilancia, inteligencia y lucha contra el terrorismo, 7(1):80–91, 2012.
[201] Boldizsar Bencsath. Duqu, llama, gauss: Seguidores de stuxnet. EnConferencia RSA Europa 2012, 2012.
[202] Sami Zhioua. El Medio Oriente bajo ataque de malware diseccionando armas cibernéticas. En2013 IEEE 33rd International
Conference on Distributed Computing Systems Workshops, páginas 11–16. IEEE, 2013.
[203] Nart Villeneuve, Ned Moran, Thoufique Haq y Mike Scott. Operación rosa azafrán.Informe especial de FireEye, 2013.
[204] KL Zao. Investigación de ataques cibernéticos diplomáticos de octubre rojo.Obtenido de.
[205] Zakariya Dehlawi y Norah Abokhodair. La respuesta de Arabia Saudita al conflicto cibernético: un estudio de caso del incidente
del malware Shamoon. EnConferencia internacional IEEE 2013 sobre inteligencia e informática de seguridad, páginas 73–75.
IEEE, 2013.
[206] Sarah P White.Comprender la guerra cibernética: lecciones de la guerra Rusia-Georgia. Instituto de Guerra Moderna en West
Point, 2018.
[207] James Andrew Lewis.Evaluación de los riesgos del terrorismo cibernético, la guerra cibernética y otras amenazas cibernéticas. Centro de
Estudios Estratégicos e Internacionales Washington, DC, 2002.
[208] Tim Jordan y Paul Taylor.Hacktivismo y ciberguerras: ¿rebeldes con causa?Routledge, 2004.
[209] Scott D. Applegate. Cibermilicias y hackers políticos: uso de fuerzas irregulares en la guerra cibernética.Seguridad y privacidad
IEEE, (5):16–22, 2011.
[210] Botón Marcar. Espionaje industrial y seguridad de la información.
[211] C Benjamin, M Fung, K Wang, R Chen y S Philip. Publicación de datos para preservar la privacidad de Yu: una encuesta de desarrollos
recientes.Cómputo ACM. sobrev., páginas 1–53, 2010.
[212] Ali Dehghantanha y Katrin Franke. Investigación digital respetuosa de la privacidad. EnPrivacidad, Seguridad y Confianza (PST),
2014 Duodécima Conferencia Internacional Anual sobre, páginas 129–138. IEEE, 2014.
[213] Thomas Andl, Kyung Ahn, Alladin Kairo, Emily Y Chu, Lara Wine-Lee, Seshamma T Reddy, Nirvana J Croft, Judith A Cebra-
Thomas, Daniel Metzger, Pierre Chambon, et al. La bmpr1a epitelial regula la diferenciación y proliferación en los
folículos pilosos posnatales y es esencial para el desarrollo de los dientes.Desarrollo, 131(10):2257–2268, 2004.
[214] Frank YW Law, Patrick PF Chan, Siu-Ming Yiu, Kam-Pui Chow, Michael YK Kwan, KS Hayson y Pierre KY Lai. Protección de
la privacidad de los datos digitales en el examen forense informático. EnEnfoques sistemáticos para la ingeniería
forense digital (SADFE), 2011 IEEE Sexto taller internacional sobre, páginas 1–6. IEEE, 2011.
[215] Eu-Jin Goh et al. Índices seguros.Archivo de impresión electrónica de criptología de IACR, 2003:216, 2003.
[216] Dawn Xiaoding Song, David Wagner y Adrian Perrig. Técnicas prácticas para búsquedas sobre datos encriptados. En
Seguridad y Privacidad, 2000. S&P 2000. Procedimientos. 2000 Simposio IEEE sobre, páginas 44–55. IEEE, 2000.
[217] Patrick Stahlberg, Gerome Miklau y Brian Neil Levine. Amenazas a la privacidad en el análisis forense de sistemas de
bases de datos. EnActas de la conferencia internacional ACM SIGMOD de 2007 sobre gestión de datos, páginas 91–
102. ACM, 2007.
[218] Stefan Böttcher, Rita Hartel y Matthias Kirschner. Detección de consultas de bases de datos relacionales sospechosas. En
Disponibilidad, Confiabilidad y Seguridad, 2008. ARES 08. Tercer Congreso Internacional de, páginas 771–778. IEEE, 2008.
[219] Kamil Reddy y Hein Venter. Un marco forense para el manejo de incidentes de privacidad de la información. EnConferencia
Internacional IFIP sobre Análisis Forense Digital, páginas 143–155. Springer, 2009.
[220] Hong Guo, Bo Jin y Daoli Huang. Investigación y revisión en informática forense. EnCongreso Internacional de Medicina
Forense en Telecomunicaciones, Información y Multimedia, páginas 224–233. Springer, 2010.
[221] George Pangalos, Christos Ilioudis y Ioannis Pagkalos. La importancia de la preparación forense corporativa en el
marco de la seguridad de la información. EnHabilitación de tecnologías: Infraestructuras para empresas colaborativas
(WETICE), 2010 19th IEEE International Workshop on, páginas 12–16. IEEE, 2010.
[222] Neil J Croft y Martin S Olivier. Publicación secuenciada de información precisa sobre privacidad en una investigación forense.
Investigación digital, 7(1-2):95–101, 2010.
[223] Siani Pearson. Modelos y lenguajes de privacidad: políticas de control de aseguramiento. EnPrivacidad digital, páginas 363–375. Springer,
2011.
38
[224] Antonio Pooe y Les Labuschagne. Un modelo conceptual para la preparación forense digital. EnSeguridad de la información
para Sudáfrica (AISS), 2012, páginas 1–8. IEEE, 2012.
[225] Shuhui Hou, Tetsutaro Uehara, SM Yiu, Lucas CK Hui y KP Chow. Privacidad que preserva la búsqueda de múltiples palabras
clave para la investigación confidencial de análisis forense remoto. EnMultimedia Information Networking and Security
(MINES), 2011 Tercera Conferencia Internacional sobre, páginas 595–599. IEEE, 2011.
[226] Xiaodong Lin, Rongxing Lu, Kevin Foxton y Xuemin Sherman Shen. Un esquema de cifrado de búsqueda eficiente y su
aplicación en el análisis forense de redes. EnCongreso Internacional de Medicina Forense en Telecomunicaciones,
Información y Multimedia, páginas 66–78. Springer, 2010.
[227] Anuradha Gupta. Privacidad preservando un marco de investigación forense digital eficiente. EnComputación
Contemporánea (IC3), 2013 Sexta Conferencia Internacional sobre, páginas 387–392. IEEE, 2013.
[228] Shuhui Hou, Siu-Ming Yiuy, Tetsutaro Ueharaz y Ryoichi Sasakix. Un enfoque de preservación de la privacidad para la
recopilación de pruebas en la investigación forense.Revista Internacional de Ciberseguridad y Análisis Forense Digital
(IJCSDF), 2(1):70–78, 2013.
[229] Frederik Armknecht y Andreas Dewald. Análisis forense de correo electrónico para preservar la privacidad.Investigación digital, 14:S127–
S136, 2015.
[230] Khoirunnisa Afifah y Riza Satria Perdana. Desarrollo de herramientas de búsqueda de datos cifrados para la preservación de la privacidad
en el análisis forense digital. EnIngeniería de datos y software (ICoDSE), Conferencia internacional de 2016 sobre, páginas 1–6. IEEE,
2016.
[231] Ana Nieto, Rubén Ríos y Javier López. Iot-forensics se encuentra con la privacidad: hacia investigaciones digitales cooperativas.
Sensores, 18(2):492, 2018.
[232] Ana Nieto, Rodrigo Román y Javier López. Testigo digital: salvaguardar la evidencia digital mediante el uso de
arquitecturas seguras en dispositivos personales.Red IEEE, 30(6):34–41, 2016.
[233] Yudi Prayudi y Azhari Sn. Cadena de custodia digital: Estado del arte.Revista internacional de aplicaciones
informáticas, 114(5), 2015.
[234] Ana Nieto, Rubén Ríos y Javier López. Una metodología para la iot-forense consciente de la privacidad. EnActas de la
Conferencia IEEE de 2017 sobre Trustcom/BigDataSE/ICESS, Sydney, NSW, Australia, páginas 1–4, 2017.
[235] Proyecto de ley Blunden. Anti-forense: la conexión del rootkit. EnActas de la conferencia Black Hat USA 2009, página 10, 2009.
[236] Slim Rekhis y Noureddine Boudriga. Un sistema para la investigación forense digital formal consciente de los ataques anti-forense.
Transacciones IEEE sobre análisis forense y seguridad de la información, 7(2):635–650, 2012.
[237] Mateo Geiger. Evaluación de herramientas contraforenses comerciales. EnDFRWS, 2005.

[238] Matthew Geiger, Lorrie Faith Cranor, et al. Herramientas contraforenses de privacidad.Privacidad en la Sociedad Electrónica,
2005.
[239] Kevin D Fairbanks, Christopher P Lee, Ying H Xia y Henry L Owen. Timekeeper: un método de archivo de metadatos para análisis
forense de trampas de miel. EnTaller de Aseguramiento y Seguridad de la Información, 2007. IAW'07. SMC del IEEE, páginas
114–118. IEEE, 2007.
[240] Parag H Rughani y Prerak Bhatt. Análisis forense de aprendizaje automático: una nueva rama del análisis forense digital.Revista
internacional de investigación avanzada en informática, 8(8), 2017.
[241] Bruno WP Hoelz, Célia Ghedini Ralha y Rajiv Geeverghese. Inteligencia artificial aplicada a la informática
forense. EnActas del simposio ACM de 2009 sobre informática aplicada, páginas 883–888. ACM, 2009.
[242] Faye Mitchell. El uso de la inteligencia artificial en el análisis forense digital: una introducción.Evidencia digital y elec.
Firma L. Rev., 7:35, 2010.
[243] Greg Allen y Taniel Chan.Inteligencia artificial y seguridad nacional. Centro Belfer para la Ciencia y Asuntos
Internacionales Cambridge, MA, 2017.
[244] Wei Liang Yeow, Rohana Mahmud y Ram Gopal Raj. Una aplicación de razonamiento basado en casos con aprendizaje
automático para la autopsia forense.Sistemas Expertos con Aplicaciones, 41(7):3497–3505, 2014.
[245] Mark Weber, Giacomo Domeniconi, Jie Chen, Daniel Karl I Weidele, Claudio Bellei, Tom Robinson y Charles E Leiserson.
Anti-lavado de dinero en bitcoin: experimentando con redes convolucionales de gráficos para análisis forense
financiero.preimpresión de arXiv arXiv:1908.02591, 2019.
[246] Xiao Wang, Jianbiao Zhang, Ai Zhang y Jinchang Ren. Tkrd: Detección confiable de rootkits de kernel para la
ciberseguridad de vms basada en aprendizaje automático y análisis forense de memoria.Biociencias Matemáticas e
Ingeniería, 16(4):2650–2667, 2019.
39
[247] Apostolos Axenopoulos, Volker Eiselein, Antonio Penta, Eugenia Koblents, Ernesto La Mattina y Petros Daras. Un marco
para el análisis a gran escala de video en la naturaleza para ayudar al examen forense digital.Seguridad y privacidad
IEEE, 17(1):23–33, 2019.
[248] Jee-Young Sun, Seung-Wook Kim, Sang-Won Lee y Sung-Jea Ko. Un nuevo análisis forense de mejora de contraste basado en
redes neuronales convolucionales.Procesamiento de señales: comunicación de imágenes, 63:149–160, 2018.
[249] Gang Cao, Haorui Wu y Wei Zhao. Análisis forense robusto de mejora de contraste utilizando redes neuronales convolucionales.
2018.
[250] Wuyang Shan, Yaohua Yi, Ronggang Huang y Yong Xie. Análisis forense robusto de mejora de contraste basado en redes
neuronales convolucionales.Procesamiento de señales: comunicación de imágenes, 71:138–146, 2019.
[251] Jingjing Yu, Yifeng Zhan, Jianhua Yang y Xiangui Kang. Un método contra-anti-forense de imágenes multipropósito que utiliza
redes neuronales convolucionales. EnWorkshop Internacional sobre Marca de Agua Digital, páginas 3–15. Springer, 2016.
[252] Yifang Chen, Xiangui Kang, Z Jane Wang y Qiong Zhan. Red neuronal convolucional densamente conectada para
análisis forense de imágenes multipropósito bajo ataques anti-forense. EnActas del sexto taller de la ACM sobre
ocultación de información y seguridad multimedia, páginas 91–96. ACM, 2018.
[253] Haoliang Li, Peisong He, Shiqi Wang, Anderson Rocha, Xinghao Jiang y Alex C Kot. Aprendizaje de la representación generalizada de
características profundas para la suplantación de identidad facial.Transacciones IEEE sobre análisis forense y seguridad de la
información, 13(10):2639–2652, 2018.
[254] Erik Laykin.Informática forense de investigación: la guía práctica para abogados, contadores, investigadores y
ejecutivos de empresas. John Wiley & Sons, 2013.
40

Digital Forensics vs. Anti-Digital Forensics - En.es

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Digital Forensics vs. Anti-Digital Forensics - En.es

Cargado por

Copyright:

Formatos disponibles

Traducido del inglés al español - www.onlinedoctranslator.

DIGITALFORENSICOS VS. ANTI-DIGITALFORENSICOS: T

Jean-Paul A. Yaacoub, Hassan N. Noura, Ola Salman y Ali Chehab

Beirut 1107 2020, Líbano

Las contribuciones de este trabajo se pueden resumir en los siguientes puntos:

• Identificar y clasificar:actividades, técnicas y herramientas anti-forenses, junto con sus resultados y

• Destacando:los desafíos forenses digitales más persistentes.

1.2 Trabajo relacionado

1.3 Formulación del problema

Este documento se divide en x secciones además de la introducción y se presenta de la siguiente manera:

2 Antecedentes - Dominio forense

2.1 Clasificación de datos forenses

Figura 1: Clasificación de datos forenses

2.2 Investigadores Forenses:

2.3 Delitos Cibernéticos

2.3.1 Pasos para delitos cibernéticos

Figura 2: Ciclo de Delitos Cibernéticos

2.3.2 Clasificación de ciberdelincuentes

Los ciberdelincuentes se pueden clasificar en tres categorías principales:

2.3.3 Estructura del delito cibernético

La Figura 3 incluye los tipos de atacantes según sus intenciones.

Figura 3: Clasificación de los ciberatacantes

2.4.1 Origen de la amenaza

Figura 4: Identificación y clasificación de amenazas

2.4.2 Tipo de amenaza

• Sistemas de versiones anteriores:que no se actualizan constantemente/regularmente suelen ser el objetivo de exploits/ataques ya

2.5 Cadena de Custodia Forense

• Identificación:incluye la identificación del evento y la identificación de la evidencia. Para investigar un incidente, se

– Interceptar Comunicaciones:generalmente se logra identificando e interceptando direcciones IP/MAC de

3 subdominios de análisis forense digital

Figura 5: Clasificación de artefactos forenses digitales

Figura 6: Tipos de análisis forense

3.1 Informática forense

3.1.1 Herramientas disponibles

Tabla 1:Herramientas de análisis de informática forense

Análisis informático forense Descripción

Dumpzilla Extrae diferente información del navegador y la analiza.

3.1.2 Pasos de informática forense

3.2 Análisis forense de redes

3.2.1 Evidencia basada en la red

Figura 7: Evidencia basada en la red

3.2.2 Enfoques de análisis forense de redes

3.2.3 Herramientas NFA y NSM

3.3 Análisis forense en la nube

3.3.1 Herramientas de análisis forense en la nube

3.4 Análisis forense de correo electrónico

3.4.1 Enfoques forenses de correo electrónico

Tabla 2:Herramientas forenses utilizadas para investigaciones forenses de redes

Análisis forense de redes Descripción

3.4.2 Herramientas forenses de correo electrónico

3.5 Análisis forense de malware

Tabla 3:Descripción de herramientas de monitoreo y seguridad de red

Nombres de herramientas de NSM Descripción

Tabla 4:Herramientas de análisis forense en la nube

Herramientas forenses en la nube Descripción

3.5.1 Enfoques forenses de malware

Tabla 5:Herramientas de investigación forense de correo electrónico

Herramientas forenses de correo electrónico Descripción

3.5.2 Herramientas de análisis forense de malware

Tabla 6:Herramientas de análisis forense de malware

Herramientas forenses de malware (MFT) Descripción

3.6 Análisis forense de la memoria