Informatica Forense

¿Qué es la informática forense o Forensic?

El valor de la información en nuestra sociedad, y sobre todo en las empresas, es cada vez más importante para el desarrollo de negocio de cualquier organización. Derivado de este aspecto, la importancia de la Informática forense –sus usos y objetivos- adquiere cada vez mayor trascendencia.¿En qué consiste esta técnica relativamente reciente?

Elena Pérez Gómez, socia de la empresa Cohaerentis Consultores

Productos recomendados:

Le recomendamos que eche un ojo a los productos para pequeñas y medianas empresas de Microsoft.

Resumen:

1. Si como empresa ha sufrido -o quiere evitar sufrir- vulneraciones derivadas del uso que sus empleados hacen de sus sistemas de información, la respuesta está en la Informática forense. Aquí una guía orientativa sobre las cuestiones básicas principales: para qué sirve, en qué consiste, cuáles son sus objetivos y su metodología y cómo ha de llevarse a cabo para adecuarse al derecho.

La Informática forense permite la solución de conflictos tecnológicos relacionados con seguridad informática y protección de datos. Gracias a ella, las empresas obtienen una respuesta a problemas de privacidad, competencia desleal, fraude, robo de información confidencial y/o espionaje industrial surgidos a través de uso indebido de las tecnologías de la información. Mediante sus procedimientos se identifican, aseguran, extraen, analizan y presentan pruebas generadas y guardadas electrónicamente para que puedan ser aceptadas en un proceso legal.

Informática Forense o Forensic

- ¿Para qué sirve? Para garantizar la efectividad de las políticas de seguridad y la protección tanto de la información como de las tecnologías que facilitan la gestión de esa información.

- ¿En qué consiste? Consiste en la investigación de los sistemas de información con el fin de detectar evidencias de la vulneración de los sistemas.

- ¿Cuál es su finalidad? Cuando una empresa contrata servicios de Informática forense puede perseguir objetivos preventivos, anticipándose al posible problema u objetivos correctivos, para una solución favorable una vez que la vulneración y las infracciones ya se han producido.

- ¿Qué metodologías utiliza la Informática forense? Las distintas metodologías forenses incluyen la recogida segura de datos de diferentes medios digitales y evidencias digitales, sin alterar los datos de origen. Cada fuente de información se cataloga preparándola para su posterior análisis y se documenta cada prueba aportada. Las evidencias digitales recabadas permiten elaborar un dictamen claro, conciso, fundamentado y con justificación de las hipótesis que en él se barajan a partir de las pruebas recogidas.

- ¿Cuál es la forma correcta de proceder? Y, ¿por qué? Todo el procedimiento debe hacerse tenido en cuenta los requerimientos legales para no vulnerar en ningún momento los derechos de terceros que puedan verse afectados. Ello para que, llegado el caso, las evidencias sean aceptadas por los tribunales y puedan constituir un elemento de prueba fundamental, si se plantea un litigio, para alcanzar un resultado favorable.

Objetivos de la Informática forense

En conclusión, estamos hablando de la utilización de la informática forense con una finalidad preventiva, en primer término. Como medida preventiva sirve a las empresas para auditar, mediante la práctica de diversas pruebas técnicas, que los mecanismos de protección instalados y las condiciones de seguridad aplicadas a los sistemas de información son suficientes. Asimismo, permite detectar las vulnerabilidades de seguridad con el fin de corregirlas. Cuestión que pasa por redactar y elaborar las oportunas políticas sobre uso de los sistemas de información facilitados a los empleados para no atentar contra el derecho a la intimidad de esas personas.

Por otro lado, cuando la seguridad de la empresa ya ha sido vulnerada, la informática forense permite recoger rastros probatorios para averiguar, siguiendo las evidencias electrónicas, el origen del ataque (si es una v

Cómputo forense

El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.

Como la definición anterior lo indica, esta disciplina hace uso no solo de tecnología de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido. El conocimiento del informático forense abarca el conocimiento no solamente del software si no también de hardware, redes, seguridad, hacking, cracking, recuperación de información.

La informática forense ayuda a detectar pistas sobre ataques informáticos, robo de información, conversaciones o pistas de emails, chats.

La importancia de éstos y el poder mantener su integridad se basa en que la evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un archivo modificaría la última fecha de acceso del mismo.

Adicionalmente, un examinador forense digital, dentro del proceso del cómputo forense puede llegar a recuperar información que haya sido borrada desde el sistema operativo.

Es muy importante mencionar que la informática forense o cómputo forense no tiene parte preventiva, es decir, la informática forense no se encarga de prevenir delitos, para ello que encarga la seguridad informática, es importante tener claro el marco de actuación entre la informática forense, la seguridad informática y la auditoría informática.

Índice

• 1 Dispositivos a analizar

• 2 Definiciones

• 3 Pasos del cómputo forense

o 3.1 Identificación

o 3.2 Preservación

o 3.3 Análisis

o 3.4 Presentación

• 4 Herramientas de Cómputo Forense

o 4.1 Herramientas para el análisis de discos duros

o 4.2 Herramientas para el análisis de correos electrónicos

o 4.3 Herramientas para el análisis de dispositivos móviles

o 4.4 Herramientas para el análisis de redes

o 4.5 Herramientas para filtrar y monitorear el tráfico de una red tanto interna como a internet

o 4.6 Bibliografía

• 5 Véase también

• 6 Referencias

• 7 Enlaces externos

Dispositivos a analizar

La infraestructura informática que puede ser analizada puede ser toda aquella que tenga una Memoria (informática), por lo que se pueden analizar los siguientes dispositivos:

• Disco duro de una Computadora o Servidor

• Documentación referida del caso.

• Tipo de Sistema de Telecomunicaciones

• Información Electronica MAC address

• Logs de seguridad.

• Información de Firewalls

• IP, redes Proxy. lmhost, host, Crossover, pasarelas

• Software de monitoreo y seguridad

• Credenciales de autentificación

• Trazo de paquetes de red.

• Teléfono Móvil o Celular, parte de la telefonía celular,

• Agendas Electrónicas (PDA)

• Dispositivos de GPS.

• Impresora

• Memoria USB

• Bios

Definiciones

• Cadena de Custodia:La identidad de personas que manejan la evidencia en el tiempo del suceso y la última revisión del caso. Es responsabilidad de la persona que maneja la evidencia asegurar que los artículos son registrados y contabilizados durante el tiempo en el cual están en su poder, y que son protegidos, llevando un registro de los nombres de las personas que manejaron la evidencia o artículos con el lapso de tiempo y fechas de entrega y recepción.

• Imagen Forense: Tecnica Llamada también "Espejeo" (en inglés "Mirroring"), la cual es una copia binaria de un medio electrónico de almacenamiento. En la imagen quedan grabados los espacios que ocupan los archivos y las áreas borradas incluyendo particiones escondidas.

• Análisis de Archivo: Examina cada archivo digital descubierto y crea una base de datos de información relacionada al archivo (metadatos, etc..), consistente entre otras cosas en la firma del archivo o hash (indica la integridad del archivo), autor, tamaño, nombre y ruta, así como su creación, último acceso y fecha de modificación.

Pasos del cómputo forense

El proceso de análisis forense a una computadora se describe a continuación:

Identificación

Es muy importante conocer los antecedentes a la investigacón "HotFix", situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y las estrategia (debes estar bien programado y sincronizado con las actividades a realizar, herramientas de extraccion de los registros de información a localizar). Incluye muchas veces ( en un momento especifico Obsevar, Analizar Interpretar y Aplicar la certeza, esto se llama criterio profesional que origina la investigacion) la identificación del bien informático, su uso dentro de la red, el inicio de

...