¿Alguna vez ha visto el conocido programa de televisión estadounidense CSI: Crime Scene Investigation y quedó fascinado mientras el equipo de investigadores seguía las huellas dactilares, pelos, gotas de sangre o cualquier otro indicio de que alguien estaba aquí? De la misma manera que las personas dejan pruebas físicas de dónde han estado, también dejan rastros virtuales en línea. Los fragmentos de archivos, los registros de actividad y los metadatos, entre otros, pueden ser indicaciones de que alguien no está donde se supone que debe estar.
¿Qué es la ciencia forense digital?
El proceso de examinar, interpretar o reconstruir evidencia digital en computadoras, redes o la web se conoce como análisis forense digital. Sin embargo, es más que solo encontrar evidencia: un especialista forense digital también debe conocer la ley para asegurarse de que lo que encuentre sea aceptado por un tribunal, sin importar qué tipo de investigación esté en curso.
La evidencia recopilada de la ciencia forense digital puede ser útil para autenticar la fuente de un documento o algún software, o incluso para detectar a un delincuente que comete un delito cibernético. Es por eso que los especialistas forenses digitales pueden usarse en la aplicación de la ley, investigaciones abiertas e incluso en ciberseguridad.
Análisis forense de teléfonos
móviles Los dispositivos y dispositivos móviles conectados al Internet de las cosas son cada vez más comunes, por lo que no debería ser sorprendente que toda una sección de análisis forense digital esté dedicada a estos dispositivos.
También conocida como análisis forense de teléfonos móviles, esta división de análisis forense digital puede recuperar datos eliminados de dispositivos móviles, analizar cualquier dato recuperado, extraer datos de clientes e incluso deshacerse de cualquier malware que pueda estar en sus dispositivos.
Si echa un vistazo a ese último punto nuevamente, se dará cuenta de que la capacidad de estos especialistas para eliminar el malware de su teléfono definitivamente se puede usar de manera negativa. Si un pirata informático o alguien que quiere hacer daño tiene esa capacidad, la misma técnica destinada al bien puede usarse para obtener datos personales que luego pueden aprovecharse en su contra.
Evidencia digital forense
Cuando utiliza una computadora, está dejando rastros, también conocidos como «huellas digitales». Puede ser el historial de su navegador web, cookies, fragmentos de archivos, encabezados, metadatos, marcas de tiempo e incluso archivos de respaldo. Tanto en los casos de ciberseguridad como en las investigaciones forenses digitales, los expertos pueden procesar la información en un laboratorio de electrónica forense para tomar esta información y darle sentido, notando un incidente, probando un perpetrador o desarrollando una estrategia para corregir la deficiencia.
Los datos recopilados de la actividad y los métodos utilizados por los piratas informáticos y los ciberdelincuentes pueden ser extremadamente valiosos para prevenir futuras violaciones, comprender las técnicas de los ciberdelincuentes o encontrar nuevos tipos de malware. Tanto las bases de datos de inteligencia como las empresas de seguridad digital pueden hacer uso de esta información para mejorar sus prácticas actuales.
Sin embargo, para los propietarios de empresas, la información se utiliza para responder a ese ataque en particular y descubrir cómo prevenir futuras violaciones similares. Los especialistas pueden encontrar datos sobre vectores de ataque, nuevos o evolucionados de malware, e incluso amenazas persistentes avanzadas, que son ataques cibernéticos que se prolongan durante meses o incluso años, obteniendo acceso sutil a su sistema.
Colección forense digital
Así como las escenas físicas del crimen se mantienen lo más tranquilas posible, es mejor cuando las escenas digitales del crimen no se modifican para que los datos obtenidos sean puros y no estén influenciados.
Cuando abre un programa o un documento, deja un rastro, incluso si no lo guarda. Cuando se adquiere un sistema que se sospecha que está relacionado con un caso, generalmente se requiere que nadie toque ni realice cambios en el sistema hasta que un investigador forense digital tenga la oportunidad de obtener cualquier evidencia que se pueda encontrar en el sistema. Esto es particularmente cierto en los casos en los que debe establecer que se accedió a archivos particulares, los métodos utilizados para acceder a ellos y la línea de tiempo de los eventos.
En el proceso de recopilación de evidencia digital, un investigador generalmente comienza obteniendo un clon preciso del sistema en el momento en que se copió. A menudo, se utiliza un dispositivo llamado bloqueador de escritura, que permite realizar copias de un sistema que está apagado.
Hay casos en los que los investigadores no pueden cerrar un sistema por temor a que desaparezcan algunas pruebas. En tal situación, los especialistas utilizarían una técnica de «adquisición en vivo» que ejecuta un programa de diagnóstico en el sistema en cuestión, copiando información en la unidad del especialista.
Los investigadores deben estar seguros de tener una causa justificada para obtener datos de un sistema; de lo contrario, las pruebas obtenidas a lo largo de la investigación podrían considerarse inadmisibles.
Blogger novato