Examen y análisis forense de ordenadores
Un examen forense informático exhaustivo no es algo que pueda hacer cualquiera, se necesitará un LABORATORIO DE INFORMÁTICA FORENSE especialista en la materia para examinar cualquier sistema informático sospechoso que se haya incautado con este fin. Podrá examinarlo como un detective más que como un experto en informática, no perseguirá una pieza aislada de información, sino que dejará que las pistas y los datos digitales en su conjunto cuenten la historia. Para ello, y para garantizar que las pruebas sean aceptables para un tribunal, necesita tener un pie en ambos campos: experto en TI y detective.
Protección de los medios durante el análisis informático forense
Un examen informático forense seguirá varias pautas, empezando por el encendido del ordenador: no lo hará. Cuando un ordenador pasa por la secuencia de arranque se alteran los tiempos de acceso a ciertos archivos, y esta información puede ser crítica para la investigación. Para evitarlo, hay que poner a salvo el soporte original, ya sea desconectando el disco duro y arrancando desde un disquete, o instalando el disco duro como unidad esclava en otra máquina.
A continuación, realizará una copia exacta del disco, creando un disco espejo poco a poco. Guardará un registro detallado del método utilizado en caso de que se le pida que demuestre que la imagen original no fue alterada de ninguna manera. Cualquier análisis informático forense posterior se realizará sobre la copia y no sobre el original, para preservar los datos originales.
¿Qué se examina durante un análisis informático forense?
Utilizando esa copia del disco original, el examen forense informático se centrará en varias áreas: el espacio libre del disco, la holgura de los archivos y los archivos de intercambio.
El espacio libre es el espacio no utilizado en el disco, pero habrá áreas que contengan archivos borrados que pueden ser recuperados. El espacio libre de archivos es el espacio no utilizado al final de un grupo de archivos, este también puede haber sido utilizado previamente para almacenar archivos que ahora se han eliminado. Los archivos de intercambio son cachés utilizados para almacenar información antes de que se escriba en el disco duro, y pueden contener información valiosa.
Con el rápido crecimiento de la capacidad de los discos duros, se ha vuelto físicamente imposible para un ser humano examinar todos los datos que pueden almacenarse en un sistema informático, por lo que muchas de las empresas de consultoría informática forense han desarrollado software interno para ayudar en el examen de las pruebas; esto evita las restricciones de licencia impuestas a los principales programas de recopilación de pruebas informáticas forenses por parte de los organismos gubernamentales preocupados por el abuso de los hackers.
Este software suele adoptar la forma de una herramienta de búsqueda de texto, y el especialista en informática forense utilizará una combinación de su experiencia, información de fondo sobre el caso, razonamiento deductivo y sentido común, para elaborar una lista de palabras clave. Esta lista se ejecutará a través de la herramienta de búsqueda para localizar las pruebas pertinentes. Este método es muy popular porque evita claramente la invasión de cualquier información privada de terceros que también pueda estar en la unidad.