L constante reporte de vul- nerabilidades en sistemas de información, el aprove- chamiento de fallas bien

d  o s[pic 1]

Introducción a la informática forense

Jeimy J.  Cano, Ph.D, CFE

Una disciplina técnico-legal

l constante reporte de vul- nerabilidades en sistemas de información, el aprove- chamiento  de   fallas  bien

E

sea humanas, procedimentales o tec- nológicas sobre infraestructuras de computación en el mundo, ofrecen un escenario perfecto para que se cultiven tendencias relacionadas con intrusos informáticos. [KSHETRI 2006, SUNDT 2006] Estos intrusos poseen diferentes motivaciones, alcances y estrategias que descon- ciertan a analistas, consultores y cuerpos de especiales de investiga- ciones, pues sus modalidades de ata- que y penetración de sistemas varían de un caso a otro.

A pesar del escenario anterior, la cri- minalística nos ofrece un espacio de análisis y estudio hacia una reflexión profunda sobre los hechos y las evi- dencias que se identifican en el lugar

donde se llevaron a cabo las acciones catalogadas como criminales. En este momento, es preciso establecer un nuevo conjunto de herramientas, estrategias y acciones para descubrir en los medios informáticos, la evi- dencia digital que sustente y verifi- que las afirmaciones que sobre los hechos delictivos se han materializa- do en el caso bajo estudio.

La informática forense hace enton- ces su aparición como una disciplina auxiliar de la justicia moderna, para enfrentar los desafíos y técnicas de los intrusos informáticos, así como garante de la verdad alrededor de la evidencia digital que se pudiese aportar en un proceso.

En consecuencia, este breve docu- mento busca ofrecer un panorama general de esta especialidad técnico- legal,   para   ilustrar   a   los lectores

sobre los fundamentos generales y bases de actuación de aquellos que se han dedicado a procurar el escla- recimiento de los hechos en medios informáticos, unos nuevos científi- cos que a través de la formalidad de los procesos y la precisión de la téc- nica buscan decirle a los intrusos informáticos que están preparados para confrontarlos y procesarlos.

Definiciones

Existen múltiples definiciones a la fecha sobre el tema forense en infor- mática [MCKEMMISH 1999]. Una primera revisión nos sugiere diferen- tes términos para aproximarnos a este tema, dentro de los cuales se tie- nen: computación forense, digital forensics (forensia digital), network forensics (forensia en redes), entre otros. Este conjunto de términos puede generar confusión en los dife- rentes ambientes o escenarios donde se utilice, pues cada uno de ellos trata de manera particular o general temas que son de interés para las ciencias forenses aplicadas en medios informáticos.

Es importante anotar, que al ser esta especialidad técnica un recurso importante para las ciencias forenses modernas, asumen dentro de sus pro- cedimientos las tareas propias aso- ciadas con la evidencia en la escena del crimen como son: identificación, preservación, extracción, análisis, interpretación, documentación y pre-

sentación de las pruebas en el con- texto de la situación bajo inspección.

Iniciemos con computer forensics, cuya traducción por lo general se hace como computación forense. Esta expresión podría interpretarse de dos maneras: 1. Disciplina de las ciencias forenses, que considerando las tareas propias asociadas con la evidencia, procura descubrir e inter- pretar la información en los medios informáticos para establecer los hechos y formular las hipótesis rela- cionadas con el caso; o 2. Como la disciplina científica y especializada que entendiendo los elementos pro- pios de las tecnologías de los equi- pos de computación ofrece un análisis de la información residente en dichos equipos.

Estas dos definiciones no son exclu- yentes, sino complementarias. Una de ellas hace énfasis en las conside- raciones forenses y la otra en la espe- cialidad técnica, pero en últimas ambas procuran el esclarecimiento e interpretación de la información en los medios informáticos como valor fundamental, uno para la justicia y otro para la informática.

Cuando se habla de network foren- sics, forensia en redes, estamos en un escenario aún más complejo, pues es necesario comprender la manera como los protocolos, configuracio- nes e infraestructuras de comunica- ciones  se  conjugan  para  dar como

resultado un momento específico en el tiempo y un comportamiento par- ticular. Esta conjunción de palabras establece un profesional que enten- diendo las operaciones de las redes de computadores, es capaz, siguien- do los protocolos y formación crimi- nalística, de establecer los rastros, los movimientos y acciones que un intruso ha desarrollado para concluir su acción. A diferencia de la defini- ción de computación forense, este contexto exige capacidad de correla- ción de evento, muchas veces dis- yuntos y aleatorios, que en equipos particulares, es poco frecuente.

Finalmente, digital forensics, foren- sia digital, trata de conjugar de manera amplia la nueva especiali- dad. Podríamos hacer semejanza con informática forense, al ser una forma de aplicar los conceptos, estrategias y procedimientos de la criminalística tradicional a los medios informáticos especializados, con el fin de apoyar a la administración de justicia en su lucha contra los posibles delincuen- tes o como una disciplina especiali- zada que procura el esclarecimiento de   los   hechos   (¿quién?, ¿cómo?,

¿dónde?, ¿cuándo?, ¿porqué?) de eventos que podrían catalogarse como incidentes, fraudes o usos indebidos bien sea en el contexto de la justicia especializada o como apoyo a las acciones internas de las organizaciones en el contexto de la administración de la inseguridad informática.

Como hemos revisado, las definicio- nes abordan aspectos generales y específicos que convergen en todos los casos hacia la identificación, pre- servación, extracción, análisis, inter- pretación, documentación y presentación de evidencia digital para detallar, validar y sustentar las hipótesis que sobre un evento se hayan formulado. No obstante lo anterior, es pertinente anotar que aquellos dedicados a esta disciplina emergente como la informática forense, deben ser profesionales no con altos niveles de ética y respeto por las instituciones, sino con los más altos niveles, pues en ellos esta el soporte de las decisiones que sobre los hechos analizados se tomen.

Evidencia digital

De acuerdo con el HB:171 2003 Guidelines for the Management of IT Evidence, la evidencia digital es: "cualquier información, que sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático". En este sentido, la evidencia digital, es un término utilizado de manera amplia para des- cribir "cualquier registro generado por o almacenado en un sistema computacional que puede ser utiliza- do como evidencia en un proceso legal".

En este sentido el documento men- cionado  establece  que  la evidencia

digital puede ser dividida en tres categorías a saber:

1. Registros almacenados en el equi- po de tecnología informática (P.e. correos electrónicos, archivos de aplicaciones de ofimática, imágenes, etc.)
2. Registros generados por los equi- pos de tecnología informática (regis- tros de auditoría, registros de transacciones, registros de eventos, etc.).
3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática. (hojas de cálculo financieras, con- sultas especializadas en bases de datos, vistas parciales de datos, etc.).

La evidencia digital es la materia prima para los investigadores donde la tecnología informática es parte fundamental del proceso. Sin embar- go y considerando, el ambiente tan cambiante y dinámico de las infraes- tructuras de computación y comuni- caciones, es preciso detallar las características propias de dicha evi- dencia en este entorno. La evidencia digital posee, entre otros, los siguientes elementos que la hacen un constante desafío para aquellos que la identifican y analizan en la bús- queda de la verdad:

1.Es volátil 2.Es anónima

1. Es duplicable
2. Es alterable y modificable 5.Es eliminable

Estas características nos advierten sobre la exigente labor que se requie- re por parte de los especialistas en temas de informática forense, tanto en procedimientos, como en técnicas y herramientas tecnológicas para obtener, custodiar, revisar, analizar y presentar la evidencia presente en una escena del delito. Por tanto, es necesario mantener un conocimiento detallado de las normas y regulacio- nes legales asociadas con las pruebas y el derecho procesal, así como de las técnicas y procesos que permitan mantener la confiabilidad de los datos recogidos, la integridad de los medios, el análisis detallado de los datos y la presentación idónea de los resultados.

...