IMPORTANCIA DE LA INFORMÁTICA FORENSE | EL Informático GO Sistemas

IMPORTANCIA DE LA INFORMÁTICA FORENSE

byEl Maestro de la Web Minutos de Lectura
0

INTRODUCCIÓN: 

El valor de la información en nuestra sociedad, es cada vez más importante para el desarrollo de negocio de cualquier organización. Derivado de este aspecto, la importancia de la Informática forense adquiere cada vez mayor trascendencia. Desde que apareció Internet, uno de sus principales objetivos está relacionado con su uso en las empresas y otras instituciones no comerciales, pero tan importante como conocer sus beneficios es también entender los riesgos inherentes a la seguridad, cuando se implementa esta tecnología. Con el objetivo de reducir en porcentaje este problema, es que aparece una nueva modalidad llamada "Informática Forense", que permite la solución de conflictos tecnológicos relacionados con seguridad informática y protección de datos.

Mediante los procedimientos de la informática forense se identifican, analizan y presentan pruebas generadas y guardadas electrónicamente para que puedan ser aceptadas en un proceso legal; y de la misma manera, mediante el uso de ésta, podemos reconstruir hechos por medio de dispositivos electrónicos en caso de un mal uso de la tecnología.Las distintas metodologías forenses incluyen la captura segura de datos de diferentes medios digitales y evidencias digitales, sin alterar la información de origen. 

Si utilizamos la informática forense, entonces podemos reconstruir hechos por medio de dispositivos electrónicos en caso de un mal uso de la tecnología. Al igual, por medio de la informática forense podemos rastrear cualquier intento de sobrepasar la protección de datos y llegar al responsable. La Informática Forense sirve para garantizar la efectividad de las políticas de seguridad y la protección tanto de la información como de las tecnologías que facilitan la gestión de esa información y consiste en la investigación de los sistemas de información con el fin de detectar evidencias de la vulneración de los sistemas. 

¿QUÉ ES LA INFORMÁTICA FORENSE?

Empezamos por definir qué es informática y por otro lado qué es forense. Informática es el conjunto de conocimientos científicos y métodos que permiten analizar, mejorar e implementar actualizaciones a la comunicación, envío y recepción de información a través de los ordenadores. Por otro lado, tenemos que forense es la aplicación de prácticas científicas dentro del proceso legal, es decir, existen investigadores altamente especializados o criminalistas, que localizan evidencias que sólo proporcionan prueba concluyente al ser sometidas a pruebas en laboratorios.

Entendemos que ciencia forense es la aplicación de prácticas científicas dentro del proceso legal; es decir, es un conjunto de ciencias que la ley usa para atrapar a un criminal, ya sea físicamente, química, matemáticamente u otras más.

La Informática Forense es el proceso de investigar dispositivos electrónicos o computadoras con el fin de descubrir y de analizar información disponible, suprimida, u ocultada que puede servir como evidencia en un asunto legal. 

De acuerdo con el FBI, la informática forense se define como la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional.

Dentro del campo de la informática forense encontramos varias definiciones: 

 Computación Forense: que se entiende como el proceso de aplicar técnicas científicas y analíticas a infraestructura de cómputo, para identificar, preservar, analizar y presentar evidencia de manera que sea aceptable en un procedimiento legal. Procura descubrir e interpretar la información en los medios informáticos para establecer los hechos y formular las hipótesis relacionadas con el caso.

Forensia en redes: la forensia en redes se dedica a capturar, registrar, almacenar y analizar los eventos de la red, con el fin de determinar la fuente de uno o varios ataques a la red. O las posibles vulnerabilidades existentes en ella.

PRINCIPIO DE INTERCAMBIO DE LOCARD.

Dentro de los fundamentos de la informática forense nos encontramos con el principio de transferencia de Locard que dice que cualquiera o cualquier objeto que haya estado implicado en la escena del crimen, deja un rastro en la escena o en la víctima y viceversa, es decir, "cada contacto deja un rastro". En el mundo real significa que si una persona pisara la escena del crimen dejará algo suyo ahí, pelo, sudor, huellas, etc. Pero también se llevará algo conmigo cuando abandone la escena del crimen, ya sea un olor, una fibra, etc. Con algunas de estas evidencias, los forenses podrán demostrar que hay una posibilidad muy alta de que el criminal estuviera en la escena del crimen.

Este principio establece en esencia, que cuando dos objetos llegan a tener contacto, el material de ambos es transferido entre ellos.

Los investigadores de la escena del crimen se refieren a posibles transferencias.

Esto ocurre por ejemplo, después que un carro golpea algo o cuando un investigador examina un cuerpo y localiza material que pareciera que está fuera de lugar.

TIPOS DE EVIDENCIAS:

Tenemos 4 tipos de evidencias:

  1. Evidencia transitoria: es un tipo que como su nombre lo indica, dura un tiempo determinado y no es para siempre, es temporal. Algunos ejemplos son que puede haber tierra, una temperatura diferente, un olor, etc.
  2. Evidencia condicional: éstas son causadas por un evento o una acción dentro de la escena del crimen. Como si pudiera estar dentro de la escena del crimen una ventana abierta, una bala, armas blancas, etc.
  3. Evidencia curso o patrón: son las cuales son producidas por un contacto como cuando una bala atraviesa el cuerpo, una ventana se encuentra rota, una televisión encendida, etc. 
  4. Evidencia transferida: se refiere, como su nombre lo indica, a que son producidas por un contacto, se "transfieren" y puede ser entre personas u objetos. Existen dos tipos de evidencia transferida: 

  •  Por rastro: puede haber sangre, pelo, semen, etc.
  • Por huella: pueden ser huellas de zapato, una marca de una mano en alguna parte, etc.
EVIDENCIAS DIGITALES:
Las evidencias digitales recabadas permiten elaborar un dictamen fundamentado y con justificación de las hipótesis que en él se barajan a partir de las pruebas recogidas. Gracias a este proceso, la informática forense aparece como una "disciplina auxiliar" de la justicia moderna, para enfrentar los desafíos y técnicas de los intrusos informáticos, así como garante de la verdad utilizando la "evidencia digital". La informática forense está adquiriendo una gran importancia dentro del área de la información electrónica, esto debido al aumento del valor de la información y/o al uso que se le da a ésta, al desarrollo de nuevos espacios donde es usada y al extenso uso de computadores por parte de las compañías de negocios tradicionales. Resaltando su carácter científico, tiene sus fundamentos en las leyes de la física, de la electricidad y el magnetismo. Es gracias a fenómenos electromagnéticos que la información se puede almacenar, leer e incluso recuperar cuando se creía eliminada.

Las evidencias digitales son todos aquellos datos e información almacenados o transmitidos en formato electrónico que pueden tener valor probatorio en un procedimiento legal. Correos electrónicos, documentos, fotografías digitales, archivos de video o audio, blogs de eventos o históricos son algunos ejemplos de lo que podría ser evidencias digitales. 

Es cualquier dato que puede establecer que un crimen se ha ejecutado o puede proporcionar un enlace entre un crimen y su víctima o un crimen y su autor.

De acuerdo con el HB:171 2003 Guidelines for the Management of IT Evidence, la evidencia digital es: "cualquier información, que sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático". En este sentido, la evidencia digital, es un término utilizado de manera amplia para describir cualquier registro generado por o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal. 

CRITERIOS DE ADMISIBILIDAD  
Los criterios de admisibilidad son los requisitos mínimos que deben cumplirse para que una candidatura sea considerada admisible. Los criterios de la admisibilidad deben ser conformes con los requisitos administrativos establecidos para cada convocatoria de proyectos, independientemente del contenido y de la calidad de los mismos. Deben ser contestados con un rotundo sí o no, que no permita ninguna posibilidad de interpretación.

Existen cuatro criterios que se deben tener en cuenta para analizar al momento de decidir sobre la admisibilidad de la evidencia en las legislaciones modernas: 

Autenticidad: la autenticidad no es otra cosa más que obrar conforme al propio ser. Una evidencia digital será auténtica únicamente si dicha evidencia ha sido generada y registrada en el lugar de los hechos.  
Confiabilidad: se define como la capacidad que tiene un producto de realizar su función de la manera prevista sin incidentes por un período de tiempo determinado y bajo condiciones indicadas. Una prueba digital es confiable si el sistema que lo produjo no ha sido violado y estaba en correcto funcionamiento al momento de recibir, almacenar o generar la prueba. · Completitud: es la propiedad que tiene un sistema lógico por la que cualquier expresión cerrada es derivable o refutable dentro del mismo sistema. Para que una prueba esté considerada dentro del criterio de la suficiencia debe estar completa.
Apego y respeto por las leyes: la evidencia digital debe cumplir con los códigos de procedimientos y disposiciones legales del ordenamiento del país.

MANIPULACIÓN DE LA EVIDENCIA DIGITAL
Es importante tener presente los siguientes requisitos que se deben cumplir en cuanto a la manipulación de la evidencia digital:

  1. Asegurarse de que los procedimientos a seguir son idóneos para dar certeza sobre la autenticidad y no alteración de la evidencia, sobre la confiabilidad de los programas de computadora que generaron tales registros de evidencia, sobre la fecha y hora de la creación de los mismos, sobre la identidad de su autor y por último sobre la fiabilidad del procedimiento para su custodia y manipulación.
  2. Recolectar información de forma adecuada desde una perspectiva forense.
  3. . Establecer procedimientos para la custodia y retención seguras de la información obtenida. Esto podría lograrse llevando registros de acceso y manipulación realizada a la información que se pretende usar como prueba.
  4. . Determinar si se está manipulando registros originales o copias de los mismos. Así mismo, sería pertinente documentar apropiadamente cualquier tipo de acción tomada sobre los registros de evidencia. En este aspecto.
  5. Por último, se hace hincapié en que el personal comprometido en los procesos de producción, recolección, análisis y exposición de la evidencia debe tener un entrenamiento apropiado, experiencia y calificaciones para cumplir sus roles. 
GESTIÓN DE LA EVIDENCIA DIGITAL:
Existen gran cantidad de guías y buenas prácticas que nos muestran como llevar acabo la gestión de la evidencia digital.
Las guías que se utilizan tienen como objetivo identificar evidencia digital con el fin de que pueda ser usada dentro de una investigación. Estas guías se basan en el método científico para concluir o deducir algo acerca de la información. Presentan una serie de etapas para recuperar la mayor cantidad de fuentes digitales con el fin de asistir en la reconstrucción posterior de eventos.

PROCEDIMIENTOS DE INFORMÁTICA FORENSE:
Siendo especialista en informática forense, se es necesario precisar las medidas de seguridad y control que se deben tener a la hora de hacer sus labores.
Algunos elementos que se deben considerar para el procedimiento forense son: 
  1. Esterilidad de los medios informáticos de trabajo. Esta es una condición fundamental para el inicio de un procedimiento forense en informática ya que si existe un instrumental contaminado, puede ser causa de una interpretación o análisis erróneo.
  2. Verificación de las copias de los medios informáticos. Las copias que fueron efectuadas en los medios previos, deben ser idénticas al original. La verificación debe estar asistida por métodos y procedimientos matemáticos que establezcan la completitud de la información traspasada a la copia y es preciso que el software o la aplicación soporte de la operación ya haya sido probado y analizado por la comunidad científica para que sea válido en un procedimiento ante una diligencia legal.
  3. Documentación de los procedimientos, herramientas y resultados sobre los medios informáticos analizados. La persona que hace la investigación debe ser la misma que sea responsable del proceso. Debe conocer cada uno de los pasos realizados, herramientas utilizadas, resultados de análisis, y todo claramente documentado para que cualquier persona diferente pueda revisar dichos datos. 
  4. Mantenimiento de cadena de custodia de las evidencias digitales. Va ligado al tercer punto. Se debe documentar cada uno de los eventos que se hayan realizado con la evidencia en su poder como quién la entregó, cuándo se entregó, entre otras cosas.
  5. Informe y presentación de los análisis de los medios informáticos. Pueden presentarse falsas expectativas cuando existe una inadecuada presentación de los resultados. Los elementos críticos a la hora de defender un informe de las investigaciones son: la claridad del uso del lenguaje, una buena redacción sin juicios de valor, y una ilustración pedagógica de los hechos y resultados. Existen dos tipos de informes: técnicos, con los detalles de una inspección realizada; y ejecutivos, para la gerencia y sus dependencias.
  6. Administración del caso realizado. Mantener un sistema automatizado de documentación de expedientes con una cuota de seguridad y control, es necesario para salvaguardar los resultados con el debido cuidado y los investigadores deben prepararse para declarar ante un jurado.
  7. Auditoría de los procedimientos realizados en la investigación. 
  8. El profesional debe mantener un ejercicio de autoevaluación de sus procedimientos y así contar con la evidencia de una buena práctica de investigaciones forenses y hacer el ciclo de calidad: PHVA Planear, Hacer, Verificar y Actuar.

FINES Y OBJETIVOS:
La informática forense tiene 1 Objetivo General y 4 Objetivos Partícular.

Objetivo General:
Protección de Datos tanto en empresas como datos personales o en redes sociales y cualquier otro ámbito.

Objetivo particular:
La compensación de los daños causados por los criminales o intrusos: esto llega a ser demasiado peligroso ya que los criminales cuando dañan a las personas llegan a perder el control y suelen dejar marcas que ayuden a la informática forense a averiguar los daños y llegar más rápido al que lo hizo. La persecución y procesamiento judicial de los criminales: La Informática Forense se encarga de determinar las evidencias para poderles imputar cargos.
La creación y aplicación de medidas para prevenir casos similares: Aquí se encarga de generar programas, para que el mismo programa que este dañado se pueda arreglar y tenga mucho más seguridad.
La utilización de la informática forense con una finalidad preventiva: Esto se hace con el fin de que los intrusos o bromistas quieran llegar a meterse a una cuenta privada o algún programa de seguridad nacional y los quiera hachear y el informático forense los detecte a tiempo y pueda atacarlos o la vez componer el programa para que no sea tan sencillo meterse. 
Estos objetivos son logrados de varias formas, entre ellas, la principal es la recolección de evidencia.

LAS EVIDENCIAS FORENSES:
cuando se ha cometido un crimen, el delincuente deja con frecuencia señales sobre sus vestidos, sus zapatos o su cuerpo. Los indicios de esta clase son valiosos y, normalmente, el criminal no percibe su significado por esta razón le es difícil defenderse contra ellos. Algunas veces no tiene idea de que los lleva sobre sí.
Es de la mayor importancia que el investigador considere siempre las posibilidades de prueba ofrecidas por tales indicios, y los busque y conserve con el mayor cuidado.
El valor del indicio depende con frecuencia de la naturaleza del lugar del crimen, así como del tipo de este crimen. Vamos a dar una idea de estas pruebas según las diferentes circunstancias. En ellas se incluyen:
  • 1.  Polvo característico del escenario del crimen o de sus alrededores.
  •  2. Porciones de materia vegetal del exterior del lugar del crimen. 
  •  3. Trozos de cristal, vidrio, astillas de madera, manchas de pintura, etc.
  •  4. Marcas de explosión o de relleno de cajas fuertes, (Fracturas de cajas fuertes). 
  •  5. Partículas de virutas metálicas, gotas de metal fundido o lana de vidrio (apertura de cajas fuertes, con soplete oxiacetilénico).
  •   6. Marcas de tierra, pintura, grasa, polvo de ladrillo, yeso, lápiz de labios, polvos faciales, etcétera. 
  •  7. Manchas de sangre que puede estar en fragmentos casi invisibles a la vista, así como semen.
  •  8. Partículas de tejidos, pelo y plumas. 
  •  9. Fibras textiles (en zapatos) de alfombras y esteras. Por otra parte hay recolección de evidencia forense.
Los equipos envasados en cajas de SIRCHIE vienen sellados de fábrica para garantizar su integridad. SIRCHIE envuelve en plástico termo-retráctil cada equipo envasado en caja para reforzar su integridad y protección durante el envío, desde la fábrica hasta llegar a sus manos. Esta doble integridad significa que se asegura doblemente que su equipo no ha sido adulterado antes de utilizarlo. Ofrece una amplia gama de Equipos de Recolección de Evidencia Forense para satisfacer las necesidades de agencias encargadas del cumplimiento de la ley, instalaciones médicas y laboratorios privados. Los equipos están diseñados y fabricados para ofrecer: 
  • Alta calidad 
  • • Funcionalidad 
  • • Variedad
  •  • Valor
EL PROCESO DE LA INFORMÁTICA FORENSE:
la investigación forense tenga validez es necesario que cumpla con ciertas normas y leyes, ya sea a nivel legal o corporativo. En este sentido la ciencia forense provee de ciertas metodologías básicas que contemplan el correcto manejo de la investigación y de la información. 
Guía para las mejores prácticas en el examen forense de tecnología digital” (Guidelines for the best practices in the forensic examination of digital technology). El documento provee una serie de estándares, principios de calidad y aproximaciones para la detección prevención, recuperación, examinación y uso de la evidencia digital para fines forenses. Cubre los sistemas, procedimientos, personal, equipo y requerimientos de comodidad que se necesitan para todo el proceso forense de evidencia digital, desde examinar la escena del crimen hasta la presentación en la corte. 
Su estructura es: 
a) Garantía de calidad (enunciados generales de roles, requisitos y pruebas de aptitud del personal, documentación, herramientas y validación de las mismas y espacio de trabajo).
 b) Determinación de los requisitos de examen del caso. 
c) Principios generales que se aplican a la recuperación de la evidencia digital (recomendaciones generales, documentación y responsabilidad). 
d) Prácticas aplicables al examen de la evidencia de digital. 
e) Localización y recuperación de la evidencia de digital en la escena: precauciones, búsqueda en la escena, recolección de la evidencia. y empaquetado, etiquetado y documentación.
 f) Priorización de la evidencia.
 g) Examinar la evidencia: protocolos de análisis y expedientes de caso.
 h) Evaluación e interpretación de la evidencia
 i) Presentación de resultados (informe escrito).
 j) Revisión del archivo del caso: Revisión técnica y revisión administrativa. 
k) Presentación oral de la evidencia.
 l) Procedimientos de seguridad y quejas. 
De toda esta estructura se puede rescatar en general 4 fases principales: 
1) Recolección de la evidencia sin alterarla o dañarla. 
2) Autenticación de la evidencia recolectada para asegurar que es idéntica a la original. 
3) Análisis de los datos sin modificarlos.
 4) Reporte final. Ya que con estas fases damos finalización al proceso forense y es en las 4 que se pueden rescatar más información de lo que se haya hecho, gracias a esto se han podido rescatar o salvar cualquier tipo de situaciones en la vida que intenten hacer mal uso de ellas o hacer algún daño a la sociedad.

Hay tipos de modelos según Arquillo Cruz, (2007) desentendiendo la investigación que vayas a hacer o cual escoja el investigador. Estos son algunos modelos que propone:

MODELO DE CASEY
Eoghan Casey, en el año 2000 presenta un modelo para procesar y examinar evidencias digitales. Este modelo ha ido evolucionando en las siguientes Tiene los siguientes pasos principales: 18 Herramienta de apoyo para el análisis forense de computadoras.
1. La Identificación
 2. La Conservación, la Adquisición, y la documentación 
3. La clasificación, la comparación, y la individualización 
4. La reconstrucción 
En los últimos dos pasos es cuando la prueba es analizada. Casey señala que éste es un ciclo de procesamiento de prueba, porque al hacer la reconstrucción pueden hallarse pruebas adicionales que provoquen que el ciclo comience. El modelo se replantea primero en términos de sistemas de cómputo sin tener en cuenta la red, y luego ejercido para las distintas capas de red (desde la capa física hasta la capa de aplicación, e incluyendo la infraestructura de la red) para describir investigaciones en redes de computadoras. El modelo de Casey es muy general y se aplica exitosamente para ambos sistemas, las computadoras aisladas y con entornos de red.
 


4.94 / 169 rates

Publicar un comentario

Tema Anterior Tema Siguiente