El análisis forense digital se aplica en casos como delitos informáticos, fraudes, intrusiones en sistemas, robo de datos, y confección de auditorías, entre otros. Se basa en un conjunto de técnicas de recopilación y peritaje exhaustivo de datos, que pueden aplicarse para responder en algún tipo de incidente —evento en donde las políticas de seguridad de un sistema se ven corrompidas— con el objetivo de entender la naturaleza del ataque.

Esta disciplina está creciendo mucho en los últimos años, muy relacionada con casos de estudio de delitos financieros, evasión de impuestos, investigación sobre seguros, acoso o pedofilia, robo de propiedad intelectual, fuga de información y ciberterrorismo o ciberdefensa.

Para entenderlo, en el contexto de las Ciencias de la Criminalística, podemos resumir el análisis forense en cinco fases que facilitan la verificabilidad y la reproducibilidad del análisis.

1. Adquisición y recopilación de evidencias

En esta fase se obtienen copias de la información que se sospecha que puede estar vinculada con algún incidente. Hay que evitar modificar cualquier tipo de dato utilizando siempre copias bit a bit con las herramientas y dispositivos adecuados.

Este tipo de copia es imprescindible, porque nos dejará recuperar archivos borrados o particiones ocultas, arrojando como resultado una imagen de igual tamaño al disco estudiado.

Rotulando con fecha, hora y huso horario, las muestras deberán ser aisladas en recipientes que no permitan el deterioro ni el contacto con el medio. En muchos casos, esta etapa es complementada con el uso de fotografías con el objetivo de plasmar el estado de los equipos y sus componentes electrónicos.

Todo este proceso se debe llevar a cabo considerando la utilización de guantes, bolsas antiestáticas y jaulas de Faraday para depositar dispositivos que puedan interaccionar con ondas electromagnéticas, como los celulares, para asegurar la integridad y evitar cambios accidentales o maliciosos.

La adquisición de muestras debe respetar una regla fundamental que está ligada a la volatilidad de estas: de la más volátil a la menos. Podríamos indicar, por ejemplo, que el primer paso es recolectar datos relevantes a la memoria, contenidos del caché, y como último paso recolectar el contenido de documentos o información que esté disponible en el soporte de almacenamiento.

Como ya sabemos, las RFC son un conjunto de documentos que sirven de referencia para estandarizaciones, normalizaciones en comunicaciones y tecnología. De esta forma, consultando la RFC 3227, podremos relevar con mayor profundidad todo lo que compete a esta etapa.

¿Qué es la cadena de custodia de una prueba digital?

La cadena de custodia de una prueba digital es el procedimiento de informática forense, oportunamente documentado, que permite constatar el origen, autenticidad e integridad del elemento digital demostrativo de un hecho relevante para el proceso judicial, desde que es encontrado e intervenido hasta que se procede a su posterior análisis. En el ámbito de la informática forense resulta fundamental si se requiere acudir a tribunales de justicia para dirimir responsabilidades y daños informáticos causados por terceros.

Uno de los principales problemas a los que se enfrenta el informático forense es el de garantizar la cadena de custodia de las evidencias digitales encontradas, de tal manera que quede garantizado que la información trasladada a la autoridad competente es exactamente la misma que fue incautada por el profesional forense.

La garantía de la cadena de custodia aplicada a la evidencia digital, se realiza mediante la acreditación de la autenticidad del origen y la integridad del contenido. Las dudas que pueda tener un tribunal de justicia respecto de estos dos requisitos serán determinantes para la denegación de la eficacia probatoria de los datos incautados por el informático forense.

¿Cómo se determina el origen de una evidencia digital?

En informática forense es de vital importancia determinar las circunstancias de la obtención de la evidencia digital de la forma más detallada posible, fijando su contexto. La obtención de una evidencia digital que pueda desplegar valor probatorio en un proceso judicial consiste en :

• Acreditación del origen y existencia de los datos. Ésta se puede hacer mediante fotografías, grabación de vídeo, participación de testigos y/o el concurso de un fedatario público o tercero de confianza que den fe sobre el particular.
• La licitud de la obtención de los datos, es decir, su obtención sin vulnerar derechos fundamentales ni normativa de aplicación sobre el particular.
• La no alteración de los datos, y pérdida de información relevante, en el momento de acceder el perito informático a su origen o continente, por su propia naturaleza o por descuido negligente de éste.
• El acceso a datos en poder de la otra parte en el litigio, si fuera el caso.

No tener en cuenta estos preceptos no sólo pueden invalidar como prueba la evidencia digital encontrada, sino que pueden derivar en responsabilidades civiles y penales del informático forense en caso de contravenir la normativa legal en vigor, en especial la protección de los derechos fundamentales de los investigados.

2. Preservación

En esta etapa se debe garantizar la información recopilada con el fin de que no se destruya o sea transformada. Nunca debe realizarse un análisis sobre la muestra incautada, sino que deberá ser copiada y sobre la copia se deberá realizar la pericia.

Aquí es donde aparece el concepto de cadena de custodia, que es un acta en donde se registra el lugar, fecha, analista y demás actores que manipularon la muestra.

En muchos casos deberemos utilizar las técnicas de Hashes para identificar de forma unívoca determinados archivos que podrían ser de gran utilidad para la investigación.

¿Cómo se determina la integridad de una evidencia digital?

En informática forense resulta fundamental poder acreditar que se ha mantenido la integridad de la evidencia digital desde que la interviene el informático forense como parte de su estudio. Este problema va muy ligado al de la originalidad de un elemento digital que, aún siendo fácilmente replicable, se considera trivial si puede demostrarse que la evidencia digital es idéntica, bit a bit, al elemento examinado.

Para ello, en informática forense se utilizan las firmas hash. Una firma hash es el resultado de aplicar una función criptográfica a un conjunto dado de bits, produciendo un resultado único para dicho conjunto. La firma tiene una dependencia del contenido evaluado por la función criptográfica, por lo que si se realizase un cambio en los datos, la firma hash sería distinta. Esto es muy útil en informática forense para establecer la cadena de custodia de una evidencia digital, dado que permite certificar indubitadamente que un elemento digital no ha sido modificado desde su obtención. Las firmas hash más utilizadas son:

• SHA-1
• SHA-256
• SHA-512

Una vez obtenida la firma hash de la evidencia digital se debe realizar el clonado de los datos, realizando una copia bit a bit de la información digital original: copia forense del fichero, clonado del disco duro o memoria, etc. Finalmente se deberá comparar las firmas hash de las evidencias clonadas respecto de las originales, documentando con todo detalle dicha coincidencia.

3. Análisis

Finalmente, una vez obtenida la información y preservada, se pasa a la parte más compleja, la fase más técnica, donde se utilizan tanto hardware como software específicamente diseñados para el análisis forense.

Si bien existen métricas y metodologías que ayudan a estructurar el trabajo de campo, se podrán obtener grandes diferencias dependiendo de las herramientas que se utilicen, las capacidades y experiencia del analista.

Además, es muy importante tener en claro qué es lo que estamos buscando, debido a que esto dará un enfoque más preciso a la hora de ir a buscar pruebas. Sin embargo, el estudio de la línea de tiempo (timeline), logs de accesos y una descarga de la memoria RAM será muy útil para la mayoría de las pericias.

Es muy importante en esta instancia la evaluación de criticidad del incidente encontrado y los actores involucrados en él.

Una vez intervenidas y debidamente conservadas las evidencias digitales comienza la tercera labor primordial en informática forense: el análisis de las evidencias digitales intervenidas. Dicho análisis puede ser de casi cualquier tipología dentro del ámbito de la informática:

• Análisis de malware intervenido en equipos informáticos de una empresa
• Análisis de los elementos dañados en un sistema informático, vectores de ataque y medidas correctoras.
• Cuantificación de daños en la infraestructura informática y pérdidas económicas potenciales a terceros.
• Autentificación de comunicaciones electrónicas.
• Análisis de originalidad de un fichero multimedia de vídeo o audio.
• Examen de fallos de elementos software desarrollados por un tercero tras la entrega del producto al objeto de reclamar indemnizaciones.

Estos son sólo algunos ejemplos rápidos que ponen de manifiesto que, en muchos casos, el informático forense deberá trabajar en equipo con especialistas de otras áreas como ciberseguridad, sistemas de información y peritos informáticos.

Para la obtención de la evidencia digital se deben realizar dos operaciones. La primera consiste en el volcado o clonado de datos consiste en la realización de una copia espejo, bit a bit, de la información digital original.

En cuanto se ha realizado el volcado de los datos se procede a obtener la firma hash de los ficheros electrónicos aprehendidos. Dicha firma hash es una función basada en un algoritmo resumen de los bits que componen el fichero, cuya aplicación práctica es la de afirmar que dicho fichero no ha sido alterado con posterioridad. Al cambiar un solo bit del fichero digital, la firma hash cambia. Si la firma Hash de dos ficheros coincide, significa que ambos son plenamente coincidentes.

La integridad del contenido se obtiene comparando las firmas Hash obtenidas de la información aprehendida y de la formación original, debiendo ser ambas coincidentes.

4. Documentación

Si bien esta es una etapa final, recomendamos ir documentando todas las acciones, en lo posible, a medida que vayan ocurriendo. Aquí, ya debemos tener claro por nuestro análisis qué fue lo sucedido y poner énfasis en cuestiones críticas y relevantes a la causa.

En esta etapa debemos citar y adjuntar toda la información obtenida, estableciendo una relación lógica entre las pruebas obtenidas y las tareas realizadas, asegurando la repetibilidad de la investigación.

5. Presentación

Normalmente, se suelen usar varios modelos para la presentación de esta documentación. Primero se entrega un informe ejecutivo que muestre los rasgos más importantes de forma clara, certera y concisa y que pondere por criticidad en la investigación, sin entrar en detalles técnicos.

Luego un segundo informe, llamado "Informe Técnico", detalla en mayor grado y precisión todo el análisis realizado, resalta técnicas y resultados, dejando de lado las opiniones.

Esta es solo una manera de presentar la documentación y no debemos olvidar que la misma debe poder soportar un escrutinio legal, por lo que es importante guiarse por el método procedimental que plantea la teoría de la criminalística.

Conclusiones

A la hora de auditar un incidente de seguridad, hay que tener muy en claro su naturaleza, ser meticulosos, estructurados, muy claros en las observaciones y detallar con la mayor precisión posible.

Asegurando preservar la muestra en estado original y siempre trabajando sobre copias realizadas bit a bit, lograremos ir alineados a las metodologías estandarizadas internacionales, las cuales nos darán pie a presentar nuestros resultados con un soporte legal ante alguna Institución que lo requiera.

El análisis forense consiste en la investigación de delitos relacionados con la informática con el objetivo de obtener evidencias para ser presentadas en un tribunal de justicia.

¿Qué funciones realiza un forense digital?

• • Realización de investigaciones de violación de datos y seguridad.
• • Recuperación y examen de datos de ordenadores y dispositivos de almacenamiento de datos.
• • Desmontaje y reconstrucción de sistemas dañados para recuperar datos perdidos.
• • Identificar sistemas adicionales comprometidos por ataques cibernéticos.
• • Recopilar evidencias para casos legales.
• • Asesorar a abogados sobre evidencias electrónicas y a la policía sobre la credibilidad de los datos adquiridos.

Una serie de puntos que se suelen seguir para realizar un Análisis Forense Informático.

1. 1. Mapeo del entorno de datos.
2. 2. Análisis de debilidades y vulnerabilidades.
3. 3. Auditoría de las páginas web.
4. 4. Peritaje en informática forense.
5. 5. Análisis forense de dispositivos móviles.
6. 6. Recuperación de la información.
7. 7. Protección de la marca.
8. 8. Falsificación.
9. 9. Infracción de marca.

Fuentes:

https://www.welivesecurity.com/es/recursos-herramientas/5-fases-fundamentales-del-analisis-forense-digital/

https://indalics.com/informatica-forense-profesional