Conoce Atico34 - Solicita presupuesto
Ciberseguridad

Informática forense: Qué es, tipos y ejemplos

La informática forense es clave no solo para esclarecer cómo se ha producido una brecha de seguridad y tomar las medidas necesarias para evitarlo en un futuro, sino también para recabar pruebas de cara un posible procedimiento judicial.

¿Qué es la informática forense?

La informática forense es el conjunto de metodologías y técnicas empleadas para identificar, recabar, interpretar, documentar y preservar evidencias en equipos informáticos o dispositivos digitales y presentarlas como pruebas válidas en un procedimiento legal o administrativo ante la justicia o una autoridad de control competente.

La informática forense combina la ciencia forense legal con la informática y está estrechamente relacionada con la ciberseguridad. Los hallazgos de un análisis informático forense no solo pueden servir como prueba en un procedimiento legal, sino que también sirven a los equipos de seguridad informática o IT a detectar y resolver las amenazas y prevenir futuros ciberataques.

Los objetivos de la investigación forense digital tras sufrir una brecha de seguridad son:

  • Ayuda a recuperar, analizar y preservar el ordenador y los materiales relacionados de tal manera que ayuda a la agencia de investigación a presentarlos como evidencia en un tribunal de justicia.
  • Ayuda a postular el motivo detrás del crimen y la identidad del principal culpable.
  • Diseñar procedimientos en una presunta escena del crimen que ayudan a garantizar que la evidencia digital obtenida no esté corrupta.
  • Adquisición y duplicación de datos: recuperación de archivos eliminados y particiones eliminadas de medios digitales para extraer la evidencia y validarlos.
  • Ayuda a identificar la evidencia rápidamente y también permite estimar el impacto potencial de la actividad maliciosa en la víctima
  • Producir un informe forense informático que ofrece un informe completo sobre el proceso de investigación.
  • Preservar la evidencia siguiendo la cadena de custodia.

Para alcanzar estos objetivos, el investigador busca, sobre todo, una evidencia informática forense muy concreta: los denominados «datos latentes». Estos datos no son visibles ni fácilmente accesibles y requieren de un nivel mucho más profundo de investigación por parte del informático forense para desenterrarlos. Algunos ejemplos de datos latentes son:

  • Información que se encuentra en el almacenamiento del ordenador, pero que no se menciona fácilmente en las tablas de asignación de archivos.
  • Información que el sistema operativo o las aplicaciones de software de uso común no pueden ver fácilmente.
  • Datos que se han eliminado deliberadamente y ahora se encuentran en:
    • Espacios no asignados en el disco duro
    • Intercambiar archivos
    • Imprimir archivos de cola de impresión
    • Volcados de memoria
    • El espacio entre los archivos existentes y el caché temporal

Tipos de informática forense

Podemos distinguir cuatro tipos de informática forense, en función de dónde se haya producido el incidente informático y en qué dispositivos sea necesario llevar a cabo una auditoría forense informática.

De sistemas operativos

Es el proceso de recuperación de información útil del sistema operativo (SO) del ordenador o dispositivo móvil en cuestión. El objetivo de recopilar esta información es adquirir evidencia empírica contra el autor.

La comprensión de un sistema operativo y su sistema de archivos es necesaria para recuperar datos para investigaciones informáticas. El sistema de archivos proporciona un sistema operativo con una hoja de ruta para los datos en el disco duro. El sistema de archivos también identifica cómo el disco duro almacena los datos.

De redes

El análisis forense de la red se refiere a la recopilación, monitorización y análisis de las actividades de la red para descubrir la fuente de ataques, virus, intrusiones o violaciones de seguridad que ocurren en una red o en el tráfico de la red.

Como tal, el análisis forense de la red se considera, junto con el análisis forense móvil o el análisis forense de imágenes digitales, como parte del análisis forense digital.

Por lo general, se usa cuando se trata de ataques a la red. En muchos casos, se usa para monitorizar una red para identificar proactivamente el tráfico sospechoso o un ataque inminente. Por otro lado, se utiliza para recopilar pruebas mediante el análisis de datos de tráfico de red para identificar la fuente de un ataque.

En dispositivos móviles

Los crímenes no ocurren aislados de las tendencias tecnológicas; por lo tanto, el análisis forense de dispositivos móviles se ha convertido en una parte importante del análisis forense digital.

El proceso forense móvil tiene como objetivo recuperar evidencia digital o datos relevantes de un dispositivo móvil de una manera que conserve la evidencia en una condición forense sólida. Para lograr eso, el proceso forense móvil necesita establecer reglas precisas que incauten, aíslen, transporten, almacenen para el análisis y prueben pruebas digitales que se originen de manera segura desde dispositivos móviles.

En la nube o Cloud

Hoy en día, con la mayoría de los datos críticos de nuestra empresa transferidos a los proveedores de servicios en la nube, una de nuestras principales preocupaciones es tratar los asuntos de seguridad. Eso incluye ser capaz de responder rápidamente y reportar eventos que pueden conducir a problemas legales.

Esta no es una tarea fácil y las cosas se complican aún más por el hecho de que tenemos que confiar en la capacidad de nuestro proveedor de la nube para entregar datos forenses digitales en caso de cualquier disputa legal (ya sea civil o criminal) durante los ataques cibernéticos o incluso si los datos se produce una violación.

El análisis forense de la nube combina la computación en la nube y el análisis forense digital, que se centra principalmente en la recopilación de información forense digital de una infraestructura de la nube. Esto significa trabajar con una colección de recursos informáticos, como activos de red, servidores (tanto físicos como virtuales), almacenes, aplicaciones y cualquier servicio que se brinde.

Para la mayoría de las situaciones, este entorno permanecerá (al menos parcialmente) en vivo, y puede reconfigurarse rápidamente con un mínimo esfuerzo. Al final, cualquier tipo de evidencia recopilada debe ser adecuada para su presentación en un tribunal de justicia.

informática forense

Herramientas para el análisis forense digital

Las herramientas forenses digitales vienen en muchas categorías, por lo que la elección exacta de la herramienta depende de dónde y cómo deseas usarla.

Pero independientemente de estas variaciones, lo importante es que las herramientas de análisis forense informático ofrecen una gran cantidad de posibilidades para obtener información durante una investigación. También es importante tener en cuenta que el panorama de la investigación forense digital es muy dinámico, con nuevas herramientas y características que se lanzan regularmente para mantenerse al día con las actualizaciones constantes de los dispositivos.

Creación de imágenes

FTK Imager es una herramienta de vista previa de datos e imágenes que te permite examinar archivos y carpetas en discos duros locales, unidades de red, CD / DVD y revisar el contenido de imágenes forenses o volcados de memoria.

Con FTK Imager también puedes crear hash de archivos SHA1 o MD5, exportar archivos y carpetas de imágenes forenses al disco, revisar y recuperar archivos que se eliminaron de la Papelera de reciclaje (siempre que sus bloques de datos no se hayan sobrescrito) y montar una imagen forense para ver su contenido en el Explorador de Windows.

Cálculo de hashes

HashCalc es un programa de calculadora desarrollado por SlavaSoft. Se utiliza para calcular HMAC, resúmenes de mensajes y sumas de comprobación para archivos. También se puede usar para calcular cadenas hexadecimales y cadenas de texto. El programa proporciona 13 de los algoritmos de suma de comprobación y hash más comunes.

La interfaz del programa es sencilla. Ofrece una ventana estándar que proporciona todas las opciones directamente desde la interfaz principal. Para usarlo, el usuario solo tiene que elegir el archivo a calcular y las funciones hash criptográficas deseadas.

Análisis de memoria volátil

Para el análisis de memoria volátil existen varias herramientas como:

  • Volatility: Se utiliza para la respuesta a incidentes y el análisis de malware. Con esta herramienta, puedes extraer información de procesos en ejecución, tomas de red, conexión de red, archivos DLL y colmenas de registro. También tiene soporte para extraer información de archivos de volcado por caída de Windows y archivos de hibernación. Esta herramienta está disponible de forma gratuita bajo licencia GPL.
  • Belkasoft Live RAM capturer: es una pequeña herramienta forense gratuita para extraer de forma confiable todo el contenido de la memoria volátil del ordenador, incluso si está protegido por un sistema activo de antidepurado o antidumping. Se encuentran disponibles versiones separadas de 32 y 64 bits para minimizar la huella de la herramienta tanto como sea posible. Los volcados de memoria capturados con Belkasoft Live RAM Capturer se pueden analizar con cualquier herramienta forense.

Análisis de registros

El análisis informático forense incluye el descubrimiento y la extracción de información recopilada en la etapa de recopilación. El tipo de análisis depende de las necesidades de cada caso. Puede ir desde extraer un solo correo electrónico hasta unir las complejidades de un caso de fraude o terrorismo.

Durante el análisis, el perito informático forense generalmente retroalimenta a su gerente de línea o cliente. Estos intercambios pueden hacer que el análisis tome un camino diferente o se reduzca a áreas específicas. El análisis forense debe ser preciso, exhaustivo, imparcial, registrado, repetible y completado dentro de los plazos disponibles y los recursos asignados.

Existen múltiples herramientas disponibles para el análisis forense informático, una de las más completas es AccessData Registry Viewer.

Programas de análisis

También se pueden emplear programas de análisis forense, como:

  • Sleuthkit: Se trata de una colección de herramientas de línea de comandos y una biblioteca C que permite analizar imágenes de disco y recuperar archivos de ellas. Se utiliza en muchas otras herramientas forenses comerciales y de código abierto.
  • Encase Forensics: Permite buscar, identificar y priorizar rápidamente evidencia potencial, en ordenadores y dispositivos móviles, para determinar si se justifica una investigación adicional. Esto dará como resultado una disminución de la cartera de pedidos para que los investigadores puedan concentrarse en cerrar el caso.
  • SIFT Workstation 3: Es un grupo de herramientas forenses y de respuesta libre a incidentes de código abierto diseñadas para realizar exámenes forenses digitales detallados en una variedad de entornos. Puede coincidir con cualquier respuesta actual a incidentes y conjunto de herramientas forenses.
  • OsForensics: Proporciona una de las formas más rápidas y potentes de localizar archivos en un ordenador con Windows. Puede buscar por nombre de archivo, tamaño, fechas de creación y modificación, y otros criterios. Los resultados se devuelven y están disponibles en varias vistas útiles diferentes. Esto incluye la Vista de línea de tiempo que le permite examinar las coincidencias en una línea de tiempo, lo que evidencia el patrón de actividad del usuario en la máquina. También puede buscar el contenido de los archivos y devolver resultados casi instantáneamente después de la indexación. Es capaz de buscar dentro de los formatos de archivo más comunes y funciona con el motor de búsqueda Zoom de gran precisión de Wrensoft.

Ejemplos de análisis forense informático

Actualmente, se pueden encontrar ejemplos de análisis forense informático en diferentes tipos de ciberdelitos y ciberataques, especialmente cuando estos afectan a grandes empresas, que requieren no solo saber cómo ha ocurrido un ataque, sino también determinar quién es el responsable y reunir evidencias para un posible procedimiento legal, así como para atenuar o eximir su responsabilidad de cara a otros afectados.

Así, por ejemplo, se efectúan análisis forenses informáticos ante:

  • Ataques DDoS.
  • Ataques de ransomware.
  • En casos de ciberacoso.
  • En casos de robos de información confidencial.
  • En la investigación de casos de pornografía infantil.
  • En el robo de la propiedad intelectual.

Informática forense vs. informática anti-forense

La informática anti-forense puede ser la peor pesadilla de un investigador informático. Los programadores diseñan herramientas anti forenses para que sea difícil o imposible recuperar información durante una investigación.

Esencialmente, la informática anti-forense se refiere a cualquier técnica, dispositivo o software diseñado para obstaculizar una investigación informática.

Hay docenas de formas en que las personas pueden ocultar información. Algunos programas pueden engañar a los ordenadores cambiando la información en los encabezados de los archivos.

Un encabezado de archivo normalmente es invisible para los humanos, pero es extremadamente importante: le dice al ordenador a qué tipo de archivo se adjunta el encabezado. Si tuviera que cambiar el nombre de un archivo MP3 para que tuviera una extensión .gif, el ordenador sabría que el archivo era realmente un MP3 debido a la información en el encabezado.  Algunos programas permiten cambiar la información en el encabezado para que el ordenador piense que es un tipo diferente de archivo.

Otros programas pueden dividir los archivos en pequeñas secciones y ocultar cada sección al final de otros archivos. Los archivos a menudo tienen un espacio no utilizado llamado espacio flojo. Con el programa correcto, puede ocultar archivos aprovechando este espacio flojo. Es muy difícil recuperar y volver a ensamblar la información oculta.

También es posible ocultar un archivo dentro de otro. Los archivos ejecutables son particularmente problemáticos. Los programas llamados empacadores pueden insertar archivos ejecutables en otros tipos de archivos, mientras que las herramientas llamadas enlazadoras pueden unir varios archivos ejecutables.

El cifrado es otra forma de ocultar datos. Cuando encriptas datos, utilizas un conjunto complejo de reglas llamado algoritmo para hacer que los datos sean ilegibles. Una persona que quiera leer los datos necesitaría la clave de cifrado. Sin la clave, los detectives tienen que usar programas de ordenador diseñados para descifrar el algoritmo de cifrado. Cuanto más sofisticado sea el algoritmo, más tiempo llevará descifrarlo sin una clave.

Otras herramientas anti forenses pueden cambiar los metadatos adjuntos a los archivos. Si los metadatos se ven comprometidos, es más difícil presentar la evidencia como confiable.

Algunas personas usan informática anti-forense para demostrar cuán vulnerables y poco confiables pueden ser los datos del ordenador. Si no puedes estar seguro de cuándo se creó un archivo, cuándo se accedió por última vez o si alguna vez existió, ¿cómo puedes justificar el uso de pruebas informáticas en un tribunal de justicia?

¿Por qué el análisis informático forense será tan importante en el futuro?

Con el constante aumento de los dispositivos digitales y las actuaciones en línea, la mayoría de los delitos en el futuro serán cometidos en la red.

La importancia de la informática forense para un negocio o una corporación es enorme. Por ejemplo, a menudo se piensa que simplemente fortalecer las líneas de defensa con cortafuegos, enrutadores, etc. será suficiente para frustrar cualquier ataque cibernético.

Pero el profesional de seguridad sabe que esto no es cierto, dada la naturaleza extremadamente sofisticada del hacker cibernético actual.

Esta premisa tampoco es cierta desde el punto de vista de la informática forense. Si bien estas piezas especializadas de hardware proporcionan información en cierto grado sobre lo que generalmente ocurrió durante un ataque cibernético, a menudo no poseen esa capa más profunda de datos para proporcionar esas pistas sobre lo que sucedió exactamente.

Esto subraya la necesidad de que la organización también implemente esos mecanismos de seguridad (junto con el hardware anterior) que pueden proporcionar estos datos específicos (ejemplos de esto incluyen los dispositivos de seguridad que utilizan inteligencia artificial, aprendizaje automático, análisis de negocios, etc.).

Por lo tanto, la implementación de este tipo de modelo de seguridad, en el que también se adoptan los principios de la informática forense, también se conoce como «Defensa en profundidad».

Al tener estos datos específicos, hay una probabilidad mucho mayor de que las pruebas presentadas se consideren admisibles en un tribunal de justicia, lo que lleva a los responsables que lanzaron el ataque cibernético ante la justicia.

Además, al incorporar los principios de una «Defensa en profundidad», la empresa o corporación puede cumplir fácilmente con las leyes y mandatos gubernamentales en materia de protección de datos y seguridad de la información.