Los dispositivos digitales están en todas partes y su aplicación en los eventos de investigación es significativa. Ya sea que un dispositivo pertenezca a un sospechoso o víctima, la gran cantidad de datos que contienen estos sistemas podría ser todo lo que un analista necesita para llevar un caso.
Por lo tanto, recuperar esos datos de manera segura, efectiva y legal no siempre es un esfuerzo fácil. Los investigadores confían cada vez más en las nuevas herramientas forenses digitales para ayudarlos.
Las herramientas de análisis forense digital son todas relativamente nuevas. A medida que los dispositivos se volvieron más complejos y vinculados con más información, el análisis en vivo se volvió inmanejable e improductivo. Posteriormente, el freeware y las tecnologías especializadas aparecieron como hardware y software para extorsionar, localizar o filtrar datos en un dispositivo sin modificarlo ni destruirlo.
Existes diversas categorías de herramientas de análisis forense digital, dentro de las que se incluyen análisis forense de bases de datos, análisis de correo electrónico, apropiación de disco y datos, visores de archivos, análisis de archivos, análisis de Internet, análisis forense de redes, análisis de dispositivos móviles y análisis de registros. Muchas herramientas cumplen más de una función juntas, y una tendencia importante en las herramientas forenses digitales es aquella que agrupa cientos de tecnologías específicas con varias funcionalidades en un conjunto de herramientas general.
Analizaremos aquí en qué consiste el análisis forense y las principales herramientas para realizar este análisis.
¿Qué es el análisis forense?
El análisis forense se refiere a una investigación detallada para detectar y documentar el curso, los motivos, los culpables y las consecuencias de un incidente de seguridad o violación de las reglas de la organización o las leyes estatales.
El análisis forense a menudo se vincula con pruebas para los tribunales, particularmente en asuntos penales. Implica el uso de una amplia gama de tecnologías y métodos y procedimientos de investigación. Los especialistas forenses recopilan diferentes tipos de información trabajando con dispositivos electrónicos y también trabajando de manera convencional con la información en papel.
Recientemente, el análisis forense de malware se ha vuelto más significativo con la comunidad del delito cibernético que causa destrucción a las instituciones tecnológicas, minoristas y financieras.
El cibercrimen puede poner en peligro a organizaciones privadas y gubernamentales, y el malware es una herramienta comúnmente utilizada por los ciberdelincuentes para instalar cosas como gusanos, troyanos y botnets en el dispositivo infectado.
La única manera de proteger los datos de sus clientes por las organizaciones que tratan información confidencial es hacer frente al malware de forma rápida y precisa.
Cuando el análisis forense es el objetivo final, es imperativo que la evidencia almacenada electrónicamente se trate con gran cuidado. Se debe preservar la evidencia y no se debe hacer nada que pueda alterarla durante el proceso de análisis.
Es por eso que el mejor resultado legal se obtendrá analizando una imagen forense o una copia del dispositivo en lugar del dispositivo o fuente original. Una fuente de evidencia digital también puede estar basada en la nube.
Alcance
El alcance del análisis empieza identificando a los actores clave y el lugar donde se encuentra la evidencia almacenada electrónicamente. Esta información se recopila durante el paso de identificación del proceso forense digital y requiere una comunicación clara con el cliente.
Siempre que sea posible, el alcance inicial debe estar claramente identificado, pero ese no es siempre el caso. En algunos casos, podemos estar buscando una «aguja en un pajar», por lo que el alcance puede ampliarse o contraerse a medida que avanza el análisis. Esta es la parte del peritaje Quién, Qué, Cuándo y posiblemente Dónde y Por qué.
La documentación y la comunicación deben incluir:
1.– Enfoque del examen
2.– Naturaleza general del asunto.
3.– Marco temporal de la cadena de eventos.
4.– Datos lógicos y / o eliminados
5.– Fuga de datos
6.– Palabras clave
¿Cuál es el enfoque del peritaje?
Identifica quiénes son las personas involucradas en ambos lados de la disputa y quién es el foco del examen.
Antes de comenzar cualquier examen forense digital, se debe identificar el alcance de las acciones.
¿Quiénes son los jugadores y custodios clave? ¿Cuáles son las mejores fuentes de evidencia electrónica potencial a las que se deberá acceder para la recolección?
Esta información es necesaria por muchas razones, que incluyen:
1.– Para que no se pierda ninguna evidencia esencial que pueda afectar un caso.
2.– Los costos pueden estimarse por adelantado y el alcance del caso puede ajustarse para adaptarse a las necesidades reales.
3.– Las posibles fuentes de evidencia identificadas más adelante tendrán un impacto menor en el aumento de costos.
Naturaleza general de la materia
¿Cuál es la naturaleza general del asunto? ¿Se trata de un testamento o fideicomiso, o un diseño de la empresa? También han surgido muchos casos legales con respecto a las listas de clientes, que pueden considerarse propiedad intelectual valiosa.
La mala conducta de los empleados, la apropiación indebida de información de la compañía, el fraude o el divorcio son solo algunos ejemplos. Conocer la naturaleza del asunto ayudará a identificar qué tipo de datos o qué tipos de archivos debe buscar un examinador forense y dónde se pueden encontrar esos datos.
Marco de tiempo de la cadena de eventos
¿Cuándo ocurrió la cadena de eventos?
Las horas y fechas o el rango de fechas en que ocurrió un supuesto evento ayudarán a reducir el examen. En el ejemplo de mala conducta del empleado, ¿cuándo fue la última fecha de trabajo del empleado? ¿Cuándo usó el último dispositivo o lo devolvió a la empresa?
En esta y otras situaciones similares, evita la tentación de iniciar sesión en el ordenador de un empleado porque comprometerás la evidencia potencial, especialmente los sellos de fecha y hora.
Datos lógicos y eliminados
Los datos lógicos se refieren a datos que no se eliminan y no requieren recuperación de datos o software especial para acceder a la información. Determina qué tipos de datos deben incluirse en el examen, como documentos de Word, hojas de cálculo de Excel, Acrobat PDF, fotografías y correos electrónicos.
El uso de las redes sociales, como Snapchat, WhatsApp, Facebook y YouTube puede requerir análisis, según el caso.
Una Papelera de reciclaje o Papelera vacía se conoce como eliminación dura. Los datos eliminados y un historial web borrado son signos de ocultar pistas.
Con los datos eliminados, no podemos estar limitados por una recopilación específica de datos lógicos solamente. Se debe realizar una imagen forense sector por sector de todo el dispositivo. Es una buena práctica extraer de manera preventiva una imagen forense de los dispositivos de los empleados cuando cualquier empleado deja una empresa.
Establecer un alcance de análisis y comprensión de dónde se almacenan los datos nos ayuda como examinadores forenses a proporcionar al cliente resultados precisos y rápidos.
Fuga de datos
La transferencia no autorizada de información de dentro a fuera de una organización se conoce como fuga de datos.
¿Hubo algún disco duro externo u otro dispositivo conectado al ordenador? Los ejemplos incluyen USB, dispositivos móviles o dispositivos de respaldo. Asegúrate de identificar cualquier posible intercambio de datos a otro dispositivo.
Internet de las cosas (IoT) se está volviendo más frecuente en nuestras vidas y también debe considerarse. Los ejemplos incluyen tecnología portátil, vehículos de alquiler de la empresa, cámaras de vigilancia o asistentes domésticos.
¿Los servidores de correo electrónico y los sistemas de almacenamiento en la nube son monitorizados y respaldados por TI? ¿Existe una responsabilidad legal de preservar los datos?
Palabras clave
¿Cuáles son los nombres, frases y palabras que podrían ser útiles para localizar los datos de interés?
Los ejemplos pueden incluir contactos, direcciones de correo electrónico personales, nombres de proyectos o empresas en competencia directa.
Limitaciones de alcance
Las limitaciones pueden estar vigentes debido a la privacidad o intereses opuestos.
En asuntos que involucran intereses opuestos, una parte o tribunal puede limitar el alcance de la información para ser analizada o incluso recopilada. Siempre es mejor hacer esto por escrito en forma de una estipulación o una orden de protección.
El analista forense digital debe incluirse en la creación de esta documentación para garantizar que las limitaciones sean posibles, en función de la forma en que se almacena la información electrónica y de cómo el software forense adquiere y procesa los datos.
El tiempo puede ser un problema.
La comunicación privilegiada entre abogado / cliente, médico / paciente y esposo / esposa son limitaciones comunes a considerar al proporcionar evidencia en un caso. El hecho de que una esposa entregue el teléfono celular de su esposo, no significa que la autoridad para analizarlo sea automática. Los empleados pueden tener una expectativa de cierta privacidad incluso cuando usan una computadora portátil suministrada por la compañía. ¿La política de la empresa define claramente qué privacidad puede esperar el empleado, y la entiende el empleado?
La información de identificación personal, como los registros de pacientes, los números de Seguro Social y los registros de impuestos debe protegerse. Es importante investigar cualquier equipo forense digital de terceros que pueda emplear para asegurarse de que todos los datos estén protegidos por las certificaciones de seguridad necesarias.
Tipos
Existen varios tipos de análisis forense dentro de los que destacamos:
Análisis forense digital: las técnicas forenses se utilizan para recuperar evidencia de los ordenadores. Estas técnicas incluyen la identificación de información, preservación, recuperación e investigación en línea con los estándares forenses digitales.
Análisis forense de dispositivos móviles: se refiere a esa rama de análisis forense digital que involucra evidencia encontrada en dispositivos móviles.
Estos incluyen asistentes digitales personales (PDA), teléfonos móviles y tabletas, básicamente, cualquier dispositivo informático que tenga capacidades de comunicación además de ser portátil. Esta rama del análisis forense se ha vuelto muy popular entre los teléfonos inteligentes, siendo una de las partes actuales del análisis forense digital.
Análisis forense de software: determina si el software ha sido robado. Esto se realiza analizando y comparando un código fuente, y luego detectando cualquier posible correlación. En los últimos años, el análisis forense de software se ha utilizado en varios litigios de propiedad intelectual de alto perfil.
Análisis forense de la memoria: cuando se producen ataques sofisticados, los datos existentes en el disco duro pueden borrarse permanentemente o no quedan datos en el disco duro, por lo que casi no hay evidencia para una investigación forense. El análisis forense de la memoria es el proceso de búsqueda de posibles artefactos en la memoria del ordenador (RAM).
Etapas del análisis forense
El proceso se divide en seis etapas.
- Disponibilidad
La preparación forense es una etapa importante y ocasionalmente pasada por alto en el proceso. En informática forense comercial, podría incluir educar a los clientes sobre la preparación del sistema. Por ejemplo, los análisis forenses ofrecen evidencia más sólida cuando las funciones de auditoría de un dispositivo están activadas previamente a que suceda un incidente.
Para el examinador forense, la preparación incluye capacitación, pruebas y verificación apropiadas de su propio software y equipo.
Estos analistas deben conocer la legislación, saber cómo hacer frente a problemas inesperados (qué hacer si durante el análisis de un fraude encuentran imágenes de abuso infantil) y garantizar la adecuación para esa tarea de su ordenador de adquisición de datos y los elementos asociados. - Evaluación
Durante la etapa de evaluación, el examinador recibe instrucciones y busca aclaraciones si alguna de ellas no es clara o ambigua, realiza un análisis de riesgos y asigna roles y recursos.
Para la aplicación de la ley, el análisis de riesgos puede incluir la evaluación de la probabilidad de una amenaza física al ingresar a la propiedad de un sospechoso y la mejor manera de lidiar con ella.
Las organizaciones comerciales también deben tener en cuenta los problemas de salud y seguridad, los conflictos de intereses y los posibles riesgos, financieros y para su reputación, cuando aceptan un proyecto en particular. - Colección
Si la adquisición de datos se lleva a cabo en el sitio en lugar de en la oficina del examinador forense del ordenador, esta etapa incluye la identificación y protección de dispositivos que pueden almacenar evidencia y documentar la escena.
El examinador también mantendría entrevistas o reuniones con el personal que podría tener información relevante para el examen, como los usuarios finales del ordenador, el gerente y la persona responsable de los servicios informáticos, es decir, un administrador de TI.
La etapa de recolección también puede involucrar el etiquetado de artículos del sitio que pueden usarse en la investigación; estos se sellan en bolsas numeradas a prueba de manipulaciones. Luego, el material debe transportarse de manera segura a la oficina del examinador o al laboratorio. - Análisis
El análisis incluye el descubrimiento y la extracción de información recopilada en la etapa de recopilación. El tipo de análisis depende de las necesidades de cada caso. Puede ir desde separar un solo correo electrónico hasta reunir las dificultades en un supuesto de fraude o terrorismo.
Durante el análisis, el examinador generalmente retroalimenta a su gerente de línea o cliente. Estos intercambios pueden hacer que el análisis tome un camino diferente o se reduzca a áreas específicas.
El análisis forense debe ser preciso, exhaustivo, imparcial, registrado, repetible y completado dentro de los plazos disponibles y los recursos asignados.
Existen múltiples herramientas disponibles para el análisis forense informático. El analista debe utilizar cualquier herramienta con la que se encuentre cómodo, pero siempre justificando su preferencia. Una herramienta forense de computadora debe hacer lo que debe hacer, por lo que los examinadores deben probar y calibrar sus herramientas regularmente antes de realizar cualquier análisis.
Los examinadores también pueden usar la «verificación de doble herramienta» para confirmar la integridad de sus resultados durante el análisis. Por ejemplo, si el examinador encuentra el artefacto X en la ubicación Y utilizando la herramienta A, debería poder replicar estos resultados con la herramienta B. - Presentación
En esta etapa, el examinador produce un informe estructurado sobre sus hallazgos, abordando los puntos en las instrucciones iniciales, junto con cualquier otra instrucción que hayan recibido. El informe también debe cubrir cualquier otra información que el examinador considere relevante para la investigación.
El informe debe ser escrito con el lector final en mente. A menudo, el lector no será técnico, por lo que se debe utilizar la terminología adecuada. El examinador puede necesitar participar en reuniones o llamadas en conferencia para discutir y elaborar su informe. - Revisión
Al igual que en la etapa de preparación, la revisión a menudo se pasa por alto o se ignora, porque no es un trabajo facturable o porque el examinador necesita continuar con el próximo trabajo. Pero llevar a cabo una revisión de cada examen puede hacer que los proyectos futuros sean más eficientes y eficaces en el tiempo, lo que ahorra dinero y mejora la calidad a largo plazo.
La revisión de un examen puede ser simple, rápida y comenzar durante cualquiera de las etapas anteriores. Podría incluir un análisis básico de lo que salió mal y lo que salió bien, junto con los comentarios de la persona o empresa que solicitó la investigación. Cualquier lección aprendida de esta etapa debe aplicarse a futuros exámenes y alimentarse en la etapa de Preparación.
0 comentarios