PERITOS EN INFORMÁTICA FORENSE DEL CTI DE LA FISCALIA

Como se trabaja en la Unidad de Delitos Informáticos y el análisis forense tanto a evidencia física como a evidencia digital.

Un video interesante sobre como trabajan los peritos en Colombia
https://www.youtube.com/watch?v=5CmM9K_FCqc

HERRAMIENTAS ANTIFORENSES

EN QUÉ CONSISTEN LAS HERRAMIENTAS ANTI FORENSES: 

Aparte de ocultar la información o hacerla indescifrable para usuarios no autorizados, estas técnicas o herramientas que han sido utilizadas a lo largo de la historia, pero que en la actualidad se han ido modernizando, pueden tener por objetivo hacer más complicado el análisis de un escenario digital, como por ejemplo: 

• Eliminando información
• Borrado de huellas
• Ofuscación de la información, haciendo compleja su localización
• Generar incertidumbre durante la investigación. 

Existen muchas herramientas de tipo aplicativo o software que permiten realizar este tipo de acciones con la información. 
A continuación se recomienda un video, el cual explica de manera sencilla el uso de algunas de estas técnicas: 
https://www.youtube.com/watch?v=LhoidbMKlxI

ESTEGANOGRAFIA, CRIPTOGRAFÍA Y SUS DIFERENCIAS

Esteganografía: es el estudio y la aplicación de técnicas que permiten ocultar información, mensajes u objetos dentro de otros, llamados portadores, de tal forma que no se pueda percibir su existencia fácilmente. 

Para hablar de esteganografía debe existir voluntad de comunicación encubierta entre emisor y receptor. 

Criptografía: consiste en las técnicas de cifrado o codificado aplicadas a la información durante su almacenamiento y transmisión, para hacerla ininteligible a posibles atacantes o a usuarios no autorizados. 

Estas dos disciplinas pueden complementarse con el objetivo de brindar un nivel de seguridad extra para la información, pero no deben confundirse ya que trabajan de manera diferente: la criptografia se encarga de cifrar la información para que no pueda ser entendida por un atacante, a pesar de que el mismo conozca su existencia.  Por su lado, la esteganografía oculta la información de tal forma que el atacante no pueda enterarse ni de su existencia o envío, es decir, pasa inadvertida. 

ISO/IEC 27037:2012 DIRECTRICES PARA LA IDENTIFICACIÓN, RECOPILACIÓN, CONSOLIDACIÓN Y PRESERVACIÓN DE LA EVIDENCIA DIGITAL

El analista forense debe documentar todas sus acciones y estas deben estar regidas por los siguientes principios:

• Minimizar el manejo de la evidencia digital original

• Documentar cualquier acción que implique un cambio irreversible

• Ceñirse a las regulaciones y leyes

Requerimientos de la Evidencia Digital

Relevancia: Este concepto jurídico indica que la evidencia digital debe estar relacionada con los hechos que se están investigando. 

Confiabilidad: indica que la evidencia debe ser repetible y poder ser auditada por un tercero, quien aplicando los mismos procedimientos de análisis, debe llegar a resultados idénticos. 

Suficiencia: La evidencia recolectada debe ser suficiente, efectiva y permitir sustentar los hallazgos obtenidos por el analista forense.  

FASES DE LA INFORMÁTICA FORENSE

Fase de Análisis y descubrimiento de la Evidencia: se deben recolectar las pruebas a partir de la copia que ha sido validada previamente. Se debe buscar información y realizar un proceso de análisis. Este análisis está orientado a un caso particular por tal razón, quien solicita la información forense debe proveer la mayor información posible. 

Durante el análisis se buscan archivos que hayan sido borrados, modificados, accedidos o creados dentro de un rango de fechas determinado. 

A través de este análisis se podrá establecer un patrón de comportamiento del usuario en cuanto a la manipulación de archivos y el manejo del correo electrónico. 

Fase de Documentación y presentación de las pruebas: se presenta un informe claro y se anexa un CD, suministrando de forma ordenada para el usuario no especializado, la evidencia recuperada para su comprensión. 

FASES DE LA INFORMÁTICA FORENSE

La informática forense comprende 4 fases para el manejo de la evidencia digital. Estas fases son: 

1. Fase de Identificación: 
2. Fase de Validación y Preservación
3. Fase de Análisis
4. Fase de documentación y presentación de las pruebas

Fase de Identificación: comprende el proceso de identificación del incidente y la búsqueda y recopilación de evidencias. 

Cuando se encuentre en el lugar donde ha ocurrido el incidente de seguridad, se deben documentar el o los elementos que serán analizados (dispositivos de almacenamiento, conjunto de cintas, conjunto de computadoras) con sus respectivas características. 

Fase de validación y preservación: Tras la identificación del elemento, se procede a realizar una imagen exacta del contenido de la evidencia asignando un código único correspondiente a una combinación única de bytes que constituye la totalidad del medio en observación. Este código no debe ser generado en forma reversa, pero sí debe estar normalizado para que otro auditor también pueda verificar la autenticidad de dicha imagen y de este modo crear una cadena de custodia consistente. Así, ya se podrán crear copias iguales de la imagen para que diferentes usuarios que lo requieran, puedan conservar una copia de seguridad. 

UN POCO DE HISTORIA DE LA INFORMÁTICA FORENSE

La aparición de la informática forense como disciplina, se remonta al año 1989, con la creación de la primera ciencia "Ciencia de la Computación Forense" en la ley federal de los Estados Unidos.

La informática Forense es una ciencia Nueva.

QUÉ ES LA INFORMÁTICA FORENSE

Esta nueva ciencia se dedica a la recolección de pruebas digitales desde una máquina computacional para fines judiciales a través de la aplicación de técnicas de análisis y de investigación que pueden ser de hardware o software, permitiendo detectar datos potenciales o relevantes.