Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2.2.1.- Principios..................................................................................................................................7
2.2.2.- Procesos....................................................................................................................................8
4.4.- FUNCIONES.................................................................................................................................13
4.4.2.- Sha1........................................................................................................................................14
5.1.- Clonado..........................................................................................................................................15
5.1.2.- Inconvenientes:.......................................................................................................................15
6.- Wiping...................................................................................................................................................18
6.1.2.- Desmagnetización...................................................................................................................19
A estos nuevos delitos le tenemos que añadir que prácticamente cualquier delito
tipificado en el actual código penal, a excepción de unos pocos como los delitos en los
que para su consumación sea necesario un contacto físico, es posible realizarlo
utilizando como medio estas TIC.
Si a todo esto le unimos que si hace diez años en una práctica de diligencia de
entrada y registro de un domicilio el intervenir con un dispositivo electrónico era un
hecho anecdótico, y que hoy en día, se hace muy complicado no intervenir, al menos, un
ordenador de sobremesa o portátil más un dispositivo móvil Smartphone, nos
encontramos con la necesidad imperiosa de incorporar nuevos protocolos y técnicas de
investigación que permitan identificar cualquier información en formato digital que
pueda establecer una relación entre el delito tecnológico o informático y el autor del
mismo. Dicha información en formato digital recibe el nombre de evidencia digital.
Metadatos
Incluso los soportes informáticos como discos duros, pendrives, CDs o DVDs
son considerados evidencias digitales, aunque en realidad la evidencia digital se
encuentra en su contenido, no en los soportes que son los contenedores, que serán
consideradas evidencias electrónicas.
2.1.- CARACTERISTICAS
La evidencia digital tiene unas características especiales que la diferencian de
otros tipos de evidencias:
2.2.1.- Principios
- Aplicación de Métodos
La evidencia digital se debe adquirir del modo menos intrusivo posible tratando
de preservar la prueba original y en la medida de lo posible obteniendo copias de
respaldo con las que posteriormente se trabajará y se emitirá el oportuno informe.
- Proceso Auditable
- Proceso Reproducible
- Proceso Defendible
2.2.2.- Procesos
Para cada tipo de dispositivo la norma divide la actuación en tres procesos
diferenciados como modelo genérico de tratamiento de las evidencias:
- La identificación
- La conservación/preservación
3.1.- DEFINICIÓN
Una función hash es cualquier procedimiento bien definido o función
matemática que convierte una gran cantidad de datos, de un tamaño variable en un valor
pequeño. Los valores devueltos por una función hash se llaman valores hash, códigos
hash, sumas hash, o simplemente hashes. En resumen, se trata de hacer pasar una serie
de datos, como pueden ser un correo electrónico, un documento de ofimática o incluso
un disco duro completo, por una función matemática para obtener un valor.
Hay que tener en cuenta que cuando se menciona que se puede calcular el
número hash de un archivo de correo electrónico o un archivo ofimático, en realidad se
está calculando ese valor sobre los datos de ese archivo y no sobre otros aspectos como
son el nombre o fechas de acceso, creación o modificación, que son los llamados
metadatos. Por tanto, si calculamos el valor hash de un archivo de texto creado con
Microsoft Office y posteriormente le cambiamos el nombre y volvemos a calcular el
valor hash, éste no habrá variado.
3.2.- PROPIEDADES
- Determinista
Una función es continua cuando una modificación muy pequeña (por ejemplo,
un bit) en la cadena de entrada ocasiona pequeños cambios en el valor hash. En cambio,
en una función hash que no hay correlación los bits de las cadenas de entrada y los bits
de las cadenas de salida no están relacionados, es decir, una modificación muy pequeña
en la cadena de entrada ocasiona cambios muy significativos en el valor hash. Cuando
esto sucede se dice que se produce un efecto avalancha.
4.3.- UTILIDADES:
- Integridad.
- Identificación.
- Catalogación de archivos.
4.4.- FUNCIONES
Como se ha comentado al inicio de este capítulo, una función hash es cualquier
procedimiento bien definido o función matemática que convierte una gran cantidad de
datos, de un tamaño variable en un valor pequeño, pero ¿cuál es esa función
matemática?
4.4.1.- Md5
Uno de los algoritmos de reducción criptográficos diseñados en 1991 por el
profesor Ronald Rivest del MIT (Instituto Tecnológico de Massachusetts). A pesar de
su amplia difusión, se ha demostrado su vulnerabilidad frente a colisiones por lo que
plantea una serie de dudas acerca de su uso futuro.
4.4.2.- Sha1
Algoritmo perteneciente a la familia SHA (Secure Hash Algorithm), sistema de
funciones hash publicadas a partir de 1993 por el NIST (National Institute of Standards
and Technology). Es un algoritmo de 160 bits, que al igual que MD5 anterior permite
entrada de datos de longitud variable generando como código de salida una cadena de
40 caracteres hexadecimal. En 2004 se encontró una debilidad matemática que
permitiría encontrar colisiones más rápido, sin embargo, resulta poco relevante ya que la
vulnerabilidad a colisiones sigue siendo muy alta.
Por tanto, y a juicio del autor de este escrito, en tanto en cuanto no existan salas
acondicionadas para la custodia de las evidencias digitales, lo más fiable para mantener
la cadena de custodia es el precintado del continente de la información, sea un disco
duro o cualquier otro dispositivo, que garantice la no manipulación desde la
intervención de ese dispositivo hasta el juicio oral. Aún así, existen excepciones en las
que es necesario, inevitablemente, calcular el hash a la evidencia en el momento de la
intervención, como es el caso en el que no es posible intervenir la evidencia original y
sólo es posible copiarla en el lugar.
Existen diferentes técnicas para realizar esta operación de copiado, como son el
Clonado, Imagen y Copia selectiva.
5.1.- CLONADO
Se trata de un proceso de copiado de la información contenida en un dispositivo,
duplicándola bit a bit, por lo tanto, creando una copia idéntica, sin alterar en ningún
momento los datos del dispositivo original.
5.1.1.- Aplicaciones:
Fuera del ámbito de la informática forense, esta técnica tiene múltiples
aplicaciones, como son:
- Actualización de hardware.
5.1.2.- Inconvenientes:
El principal inconveniente de la clonación es tener que disponer de un
dispositivo de, al menos, la misma capacidad, por cada dispositivo que clonemos, lo que
supone una elevada inversión económica. Si a esto, además, se añade que si los
dispositivos utilizados son de mayor capacidad que el original a clonar, ese espacio
“extra” no puede ser utilizado para almacenar otras evidencias.
5.2.- IMÁGENES
Al igual que en el clonado, se trata de una técnica que duplica bit a bit el
dispositivo original sin alterarlo en ningún momento.
Cabe mencionar la última ventaja que consiste en que cuando se realiza una
imagen se genera un archivo log (archivo donde se almacena información sobre los
procesos que se van generando) que es almacenado con la imagen de la evidencia, por
lo que en todo momento tendremos los datos relativos a la herramienta, ya sea por
software o hardware, que ha generado la imagen, identificación del dispositivo origen,
identificación del dispositivo destino, tiempo que ha durado el procedimiento, etc. Este
apartado nos lleva a la principal desventaja. Si no se utiliza compresión, el archivo
contenedor que se crea será de la misma capacidad que el dispositivo original, si a esto
le añadimos que en el dispositivo destino se tiene que crear una tabla de particiones para
poder albergar el archivo contenedor y otros archivos auxiliares como el archivo log
comentado, tenemos que el dispositivo destino tiene que ser de mayor capacidad que el
original, pero como ya se ha comentado anteriormente, si se utilizan técnicas de
compresión no sería necesario.
Otra de las desventajas es al igual que para acceder al contenido de un archivo
“.zip” o “.rar” es necesario tener la respectiva aplicación, para acceder al contenido de
del archivo contenedor que se crea al realizar una imagen es necesario contar con las
aplicaciones necesarias, en este caso aplicaciones de análisis forense como “Encase” o
“FTK”.
Limitado por los medios para realizar el clonado/imagen o por carencia de los
dispositivos destino donde se almacenará la información copiada.
Son los instructores, aconsejados por personal cualificados, los que deben tomar
la decisión de realizar este procedimiento teniendo en cuenta las ventajas e
inconvenientes mencionados.
6.- WIPING
Los dispositivos de almacenamiento digital, como discos duros o pendrives
USB, se utilizan para el almacenamiento de todo tipo de información. Cuando el usuario
decide que ha terminado la vida útil de esa información puede eliminarla de su
dispositivo, puede enviarla a la “papelera de reciclaje” o ir más allá y borrarla incluso de
esa papelera. Aunque se utilizara cualquiera de esos dos procedimientos todavía sería
posible la recuperación de la información eliminada mediante técnicas forenses. Lo
mismo ocurriría en caso de un usuario que formateara una evidencia. Wiping o
Wipeado es la técnica que se utilizar para realizar un borrado seguro, un borrado del que
no se pudiera recuperar la información eliminada ni siquiera con técnicas forenses.
Imaginemos una biblioteca, llena de estantes con libros, que serían los datos
almacenados en el dispositivo, los archivos y carpetas, y que a la entrada de la
biblioteca se encuentra un catalogo con todos los libros que esa biblioteca contiene en
sus estantes. En un dispositivo digital este catalogo se llamaría tabla de particiones. En
principio la biblioteca puede estar vacía, y el catalogo no tener anotaciones. Si el
bibliotecario comprara un libro para su biblioteca, lo guardaría en una estantería, y en el
catalogo apuntaría el título del libro y la estantería en la que se encuentra. Siguiendo
este procedimiento, el bibliotecario podría comprar cuatro libros más. Con esto
tendríamos cinco libros distribuidos por las estanterías y un catalogo con cinco líneas
que describen cinco títulos de libros y sus respectivas ubicaciones. Ahora supongamos
que el bibliotecario quiere deshacerse rápidamente de uno de sus libros. Lo más rápido
es borrar la línea de ese libro en el catalogo, así cualquier lector que visitase la
biblioteca, al consultar ese catalogo vería que hay cuatro libros disponibles y sus
ubicaciones. Sin embargo, un analista forense al entrar en la biblioteca no se fijaría en
el catalogo, sino que iría directamente a las estanterías y crearía su propio catalogo,
determinando así que existen cinco libros en esa biblioteca. A grandes rasgos, así es
como está distribuida la información contenida en un dispositivo digital, en el que hay
archivos y carpeta, pero que cuando se borra alguno, el sistema operativo, por no
ralentizar el sistema, en lugar de borrarlo lo que hace es eliminar su referencia en la
tabla de particiones.
6.1.- PROCEDIMIENTOS
6.1.2.- Desmagnetización.
Técnica basada en la eliminación o reducción del campo magnético de un
dispositivo mediante el uso de maquinaria especializada que aplica impulsos
electromagnéticos. Esta técnica es útil únicamente para dispositivos que almacenen la
información en medios magnéticos, como son los discos duros normales, sin embargo
no es válido para pendrives USB o para CDs o DVDs al no utilizar soportes magnéticos.
- Zero write.
- Random write.
Igual que el anterior, pero en lugar de con ceros se utilizan caracteres aleatorios
para sobrescribir.
- DoD 5220.
- NATO estándar.
Estándar de la OTAN que consta de siete ciclos de sobrescritura, seis con
valores fijos alternativos y uno con aleatorio.
Como conclusión final habría que indicar que aunque sería necesario seguir un
procedimiento común y tasado para el tratamiento de evidencias digitales, también es
cierto que por las características de las mismas, no es posible tener un protocolo estático
e invariable, sino que tendría que ser un método de trabajo que pudiera ir cambiando al
ritmo que evolucionan las TICs.