¿Qué es la informática forense? ¿En qué consiste, qué tipos hay y cuáles son las herramientas que se pueden usar para realizar un análisis de este tipo? Como consultora informática respondemos a estas preguntas en las siguientes líneas.
El término forense significa utilizar algún tipo de proceso científico establecido para la recopilación, análisis y presentación de una evidencia que se haya recopilado. Todas las formas de evidencia son importantes, sobre todo en caso de ataques cibernéticos.
En base a lo anterior, podemos decir que la informática forense es una disciplina que combina elementos del derecho y la informática de cara a recopilar y analizar datos de sistemas informáticos, redes, comunicaciones inalámbricas y dispositivos de almacenamiento.
De tal modo que todo lo anterior se pueda admitir como prueba ante un juez. Ante una brecha de ciberseguridad, es clave la fase de recopilación de pruebas relevantes. El investigador forense buscará, sobre todo, una evidencia en particular, los llamados “datos latentes“. En el campo de la ciberseguridad, a este tipo de datos ambientales no se puede acceder fácilmente. Se necesita un nivel mucho más profundo de investigación por parte de expertos en informática forense.
Ejemplos de datos latentes:
- Información en el almacenamiento del ordenador que no se menciona en las tablas de asignación de archivos.
- Información que el sistema operativo o las aplicaciones de software de uso común no pueden ver con facilidad.
- Datos eliminados deliberadamente y que se encuentran en espacios no asignados en el disco duro o en volcados de memoria.
Objetivos del cómputo forense
En caso de que haya una brecha de seguridad, los objetivos esenciales del uso de la computación forense serán:
- Ayudar a recuperar, analizar y preservar el ordenador y los materiales para presentarlos como evidencia en un tribunal de justicia.
- Ayudar a esclarecer el motivo del crimen y la identidad del culpable.
- Diseñar procedimientos que ayuden a garantizar que la evidencia digital obtenida no esté corrupta.
- Adquirir y duplicar datos.
- Identificar la evidencia rápidamente y estimar el impacto potencial de la actividad maliciosa.
- Elaborar un informe forense informático sobre el proceso de investigación.
- Preservar la evidencia siguiendo la cadena de custodia.
Tipos de informática forense
- De sistemas operativos. Proceso de recuperación de información útil del sistema operativo (SO) del ordenador o dispositivo móvil. El objetivo es adquirir evidencia empírica contra el autor. El sistema de archivos proporciona un sistema operativo con una hoja de ruta para los datos en el disco duro.
- De redes. Recopilación, monitorización y análisis de las actividades de la red para descubrir la fuente de ataques, virus, intrusiones o violaciones de seguridad. Se suele usar cuando se trata de ataques a la red para monitorizar una red e identificar proactivamente el tráfico sospechoso o prevenir ataques. Se utiliza, además, para recopilar pruebas mediante el análisis de datos de tráfico de red, para identificar la fuente de un ataque.
- En dispositivos móviles. Busca recuperar evidencias digitales o datos relevantes de un dispositivo móvil. Hacen falta reglas precisas que incauten, aíslen, transporten y almacenen pruebas digitales que se originen de forma segura desde dispositivos móviles.
- En la nube o Cloud. A la hora de tratar los asuntos de seguridad, hay que ser capaz de responder rápidamente y reportar eventos que puedan suponer problemas legales.
Hay que confiar en la capacidad del proveedor de la nube para entregar datos forenses digitales en caso de cualquier disputa legal ante ataques cibernéticos. El análisis forense de la nube combina la computación en la nube y el análisis forense digital.
Por otra parte, también existe la informática anti-forense. Se trata de cualquier técnica, dispositivo o software diseñado para obstaculizar una investigación informática. Por ejemplo, algunos programas pueden engañar a los ordenadores cambiando la información en los encabezados de los archivos. Un encabezado de archivo le dice al ordenador a qué tipo de archivo se adjunta.
En Imagar te recordamos que otros programas pueden dividir los archivos en pequeñas secciones y ocultar cada una al final de otros. Estos pueden tener un espacio no utilizado llamado espacio flojo. Hay programas que se pueden usar para ocultar archivos aprovechando ese espacio flojo.