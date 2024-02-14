Publicado: 16 de febrero de 2024
El análisis forense digital es el proceso de recopilar y analizar pruebas digitales de forma que se mantenga su integridad y admisibilidad en los tribunales.
El análisis forense digital es un campo de la ciencia forense. Se utiliza para investigar ciberdelitos, pero también puede ayudar en investigaciones penales y civiles. Por ejemplo, los equipos de ciberseguridad pueden utilizar el análisis forense digital para identificar a los ciberdelincuentes que están detrás de un ataque de malware, mientras que los organismos encargados de hacer cumplir la ley pueden utilizarlo para analizar los datos de los dispositivos de un sospechoso de asesinato.
El análisis forense digital tiene amplias aplicaciones porque trata la evidencia digital como cualquier otra forma de evidencia. Al igual que los funcionarios utilizan procesos específicos para recoger pruebas físicas de una escena del crimen, los investigadores forenses digitales siguen un estricto proceso forense (también conocido como cadena de custodia) cuando manejan pruebas digitales para evitar su manipulación.
A menudo se hace referencia indistintamente al análisis forense digital y a la informática forense . Sin embargo, el análisis forense digital implica técnicamente recopilar pruebas de cualquier dispositivo digital, mientras que la informática forense implica recopilar pruebas específicamente de dispositivos informáticos, como ordenadores, tablets, teléfonos móviles y dispositivos con CPU.
El análisis forense digital y la respuesta a incidentes (DFIR) es una disciplina de ciberseguridad emergente que integra la informática forense y las actividades de respuesta a incidentes para acelerar la corrección de las ciberamenazas y, al mismo tiempo, garantizar que cualquier evidencia digital relacionada no se vea comprometida.
El análisis forense digital, o ciencia forense digital, surgió por primera vez a principios de los años 1980 con el auge de las computadoras personales y ganó prominencia en los años 1990.
Sin embargo, no fue hasta principios del siglo XXI que países como Estados Unidos formalizaron sus políticas forenses digitales. El cambio hacia la normalización se debió al aumento de los delitos informáticos en la década de 2000 y a la descentralización nacional de las fuerzas del orden.
Con más delitos relacionados con dispositivos digitales, y más personas implicadas en la persecución de esos delitos, los funcionarios necesitaban procedimientos para garantizar que las investigaciones penales trataran las pruebas digitales de forma admisible ante un tribunal.
Hoy en día, el análisis forense digital es cada vez más relevante. Para entender por qué, considere la abrumadora cantidad de datos digitales disponibles sobre prácticamente todo el mundo y todo.
A medida que la sociedad sigue confiando más en los sistemas informáticos y las tecnologías de computación en la nube, las personas siguen llevando a cabo más de sus vidas en línea a través de un número cada vez mayor de dispositivos, incluyendo teléfonos móviles, tablets, dispositivos IoT, dispositivos conectados y más.
El resultado son más datos -procedentes de más fuentes y en más formatos que nunca, que los investigadores pueden utilizar como pruebas digitales para analizar y comprender una gama cada vez más amplia de actividades delictivas, como ciberataques, vulneraciones de datos e investigaciones penales y civiles.
Además, como todas las pruebas, físicas o digitales, los investigadores y las fuerzas del orden deben recopilarlas, manipularlas, analizarlas y almacenarlas correctamente. De lo contrario, los datos podrían perderse, alterarse o declararse inadmisibles en los tribunales.
Los expertos forenses se encargan de realizar investigaciones forenses digitales y, a medida que crece la demanda en este campo, también lo hacen las oportunidades laborales. La Oficina de Estadísticas Laborales estima que las ofertas de empleo en informática forense aumentarán un 31 % hasta 2029 (enlace externo a ibm.com).
El Instituto Nacional de Estándares y Tecnología (NIST) (enlace externo a ibm.com) describe cuatro pasos en el proceso de análisis forense digital.
Estos pasos incluyen:
Identificar los dispositivos digitales o medios de almacenamiento que contienen datos, metadatos u otra información digital relevante para la investigación de análisis forense digital.
En los casos penales, las fuerzas del orden incautarán las pruebas de un posible lugar del delito para garantizar una estricta cadena de custodia.
Para preservar la integridad de las pruebas, los equipos forenses realizan un duplicado forense de los datos utilizando un duplicador de discos duros o una herramienta de imágenes forenses.
Después del proceso de duplicación, aseguran los datos originales y realizan el resto de la investigación sobre las copias para evitar la manipulación.
Los investigadores revisan los datos y los metadatos en busca de signos de actividad ciberdelincuente.
Los examinadores forenses pueden recuperar datos digitales de diversas fuentes, como historiales de navegadores web, registros de chats, dispositivos de almacenamiento remoto, espacio eliminado, espacios de disco accesibles, cachés de sistemas operativos y prácticamente cualquier otra parte de un sistema informatizado.
Los analistas forenses utilizan diferentes metodologías y herramientas forenses digitales para extraer datos e información de las pruebas digitales.
Por ejemplo, para descubrir datos o metadatos "ocultos", pueden utilizar técnicas forenses especializadas, como el análisis en tiempo real, que evalúa los sistemas que aún se están ejecutando en busca de datos volátiles, o la esteganografía inversa, que expone los datos ocultos mediante la esteganografía (un método para ocultar información confidencial dentro de mensajes de apariencia ordinaria).
Los investigadores también pueden hacer referencia a herramientas patentadas y de código abierto para vincular los hallazgos con actores de amenazas específicos.
Una vez finalizada la investigación, los expertos forenses elaboran un informe formal que describe su análisis, incluido lo que sucedió y quién puede ser el responsable.
Los informes varían según el caso. En el caso de los ciberdelitos, es posible que tengan recomendaciones para corregir las vulnerabilidades y evitar futuros ciberataques. Los informes también se utilizan con frecuencia para presentar pruebas digitales en un tribunal de justicia y se comparten con los organismos encargados de hacer cumplir la ley, las aseguradoras, los reguladores y otras autoridades.
Cuando surgió el análisis forense digital a principios de la década de 1980, había pocas herramientas formales de análisis forense digital. La mayoría de los equipos forenses recurrían al análisis en tiempo real, una práctica notoriamente delicada que planteaba un riesgo significativo de manipulación.
A finales de la década de 1990, el aumento de la demanda de pruebas digitales impulsó el desarrollo de herramientas más sofisticadas como EnCase y FTK, que permitían a los analistas forenses examinar copias de soportes digitales sin recurrir al análisis forense en directo.
Hoy en día, los expertos forenses emplean una amplia gama de herramientas forenses digitales. Estas herramientas pueden estar basadas en hardware o software y analizar las fuentes de datos sin alterar los datos. Algunos ejemplos comunes son las herramientas de análisis de archivos, que extraen y analizan archivos individuales, y las herramientas de registro, que recopilan información de los sistemas informáticos basados en Windows que catalogan la actividad de los usuarios en los registros.
Algunos proveedores también ofrecen herramientas de código abierto especializadas para fines forenses específicos, con plataformas comerciales, como Encase y CAINE, que ofrecen funciones y capacidades de elaboración de informes completas. CAINE, en concreto, cuenta con toda una distribución de Linux adaptada a las necesidades de los equipos forenses.
El análisis forense digital contiene ramas discretas basadas en las diferentes fuentes de datos forenses.
Algunas de las ramas más populares del análisi forense digital incluyen:
Cuando la informática forense y la respuesta a incidentes, la detección y mitigación de los ciberataques en curso, se llevan a cabo de forma independiente, pueden interferir entre sí y afectar negativamente a la organización.
Los equipos de respuesta a incidentes pueden alterar o destruir la evidencia digital mientras eliminan una amenaza de la red. Los investigadores forenses pueden retrasar la resolución de amenazas mientras buscan y capturan pruebas.
El análisis forense digital y la respuesta a incidentes, o DFIR, combinan la informática forense y la respuesta a incidentes en un flujo de trabajo integrado que puede ayudar a los equipos de seguridad de la información a detener más rápidamente las ciberamenazas y, al mismo tiempo, preservar las pruebas digitales que podrían perderse en la urgencia de la mitigación de amenazas.
Los dos principales beneficios de DFIR incluyen:
DFIR puede conducir a una mitigación de amenazas más rápida, a una recuperación de amenazas más sólida y a una mejor evidencia para investigar ciberdelitos, reclamaciones de seguros, otros incidentes de seguridad.
