La informática forense, también conocida como forense digital, ciencia forense informática o ciberforense, combina la informática y la ciencia forense jurídica para reunir pruebas digitales de forma que sean admisibles ante un tribunal.
De la misma manera que los funcionarios encargados de hacer cumplir la ley rastrean las escenas del crimen en busca de pistas, los investigadores forenses informáticos buscan en dispositivos digitales pruebas que los abogados puedan utilizar en investigaciones penales, casos civiles, investigaciones de delitos cibernéticos y otros asuntos de seguridad corporativa y nacional. Y al igual que sus homólogos de las fuerzas del orden, los investigadores informáticos forenses deben ser expertos no solo en la búsqueda de pruebas digitales, sino también en su recogida, manipulación y procesamiento para garantizar su fidelidad y su admisibilidad en los tribunales.
La informática forense está estrechamente relacionada con la ciberseguridad. Los hallazgos de la informática forense pueden ayudar a los equipos de ciberseguridad a acelerar la detección y resolución de ciberamenazas y prevenir futuros ataques cibernéticos. La ciencia forense digital y la respuesta a incidentes (DFIR), una disciplina emergente en el ámbito de la ciberseguridad, integran las actividades de la informática forense y la respuesta a incidentes para acelerar la corrección de las ciberamenazas, garantizando al mismo tiempo que no se ponga en peligro ninguna prueba digital relacionada.
Obtenga información para prepararse y responder a los ciberataques con mayor velocidad y eficacia con el índice de IBM Security X-Force Threat Intelligence.
Regístrese para recibir el informe "Coste de una filtración de datos"
La informática forense cobró importancia a principios de los años ochenta con la invención del ordenador personal. A medida que la tecnología se convirtió en un elemento esencial en la vida cotidiana, los delincuentes identificaron una apertura y comenzaron a cometer delitos en dispositivos electrónicos.
Poco después, Internet conectó a casi todo el mundo de la noche a la mañana, lo que permitió el correo electrónico y el acceso remoto a las redes informáticas corporativas y organizativas y abrió las puertas a malware y ciberataques más complejos. En respuesta a esta nueva frontera de la ciberdelincuencia, las fuerzas de seguridad necesitaban un sistema para investigar y analizar los datos electrónicos, y así nació la informática forense.
Al principio, la mayoría de las pruebas digitales se encontraban en sistemas informáticos y dispositivos de TI: ordenadores personales, servidores, teléfonos móviles, tablets y dispositivos de almacenamiento electrónico. Pero hoy en día, un número cada vez mayor de dispositivos y productos industriales y comerciales, desde dispositivos del Internet de las cosas (IoT) y de tecnología operativa (OT), hasta automóviles y electrodomésticos, pasando por timbres y collares de perro, generan y almacenan datos y metadatos que pueden recopilarse y explotarse en busca de pruebas digitales.
Por ejemplo, piense en un accidente de coche. Antes, los funcionarios encargados de hacer cumplir la ley podían investigar el lugar del delito en busca de pruebas físicas, como marcas de desvíos o cristales rotos; también podían haber comprobado los teléfonos de los conductores en busca de pruebas de que hubieran enviado mensajes de texto mientras conducían.
Hoy en día, los automóviles más nuevos generan y almacenan todo tipo de datos y metadatos digitales con marca de tiempo que crean un registro detallado de la ubicación, velocidad y estado de funcionamiento de cada vehículo en un momento dado. Estos datos transforman los vehículos modernos en otra poderosa herramienta forense, que permite a los investigadores reconstruir los acontecimientos previos, durante y después de un accidente; incluso podría ayudar a determinar quién fue el responsable del accidente, aun en ausencia de las tradicionales pruebas físicas o de testigos presenciales.
Al igual que la evidencia física de la escena del crimen, la evidencia digital debe recopilarse y gestionarse correctamente. De lo contrario, los datos y los metadatos podrían perderse o considerarse inadmisibles en un tribunal de justicia.
Por ejemplo, los investigadores y fiscales deben demostrar una cadena de custodia adecuada para las pruebas digitales: deben documentar cómo se manejó, procesó y almacenó. Además, tienen que saber cómo recopilar y almacenar los datos sin alterarlos, un desafío dado que acciones aparentemente inofensivas, como abrir, imprimir o guardar archivos, pueden cambiar los metadatos de forma permanente.
Por esta razón, la mayoría de las organizaciones contratan a investigadores forenses informáticos (también conocidos por los títulos de experto en informática forense, analista forense informático, o examinador informático forense) para recopilar y gestionar las pruebas digitales asociadas a las investigaciones delictivas o ciberdelictivas.
Los profesionales de la informática forense suelen tener un grado en informática o justicia penal, y combinan un sólido conocimiento funcional de los fundamentos de la tecnología de la información (TI), por ejemplo, sistemas operativos, seguridad de la información, seguridad de la red, lenguajes de programación, además de una experiencia en las implicaciones legales de la evidencia digital y el delito cibernético. Algunos pueden especializarse en áreas como la ciencia forense móvil o la ciencia forense de sistemas operativos.
Los investigadores forenses informáticos son expertos en la búsqueda y preservación de datos legalmente admisibles. Saben recopilar datos de fuentes que el personal de TI interno puede ignorar, como servidores externos y ordenadores domésticos. Y pueden ayudar a las organizaciones a desarrollar una política forense informática sólida que pueda ahorrar tiempo y dinero al recopilar evidencia digital, mitigar las consecuencias del delito cibernético y ayudar a proteger sus redes y sistemas de información de futuros ataques.
Hay cuatro pasos principales para la informática forense.
El primer paso es identificar los dispositivos o medios de almacenamiento que pueden contener datos, metadatos u otros artefactos digitales relevantes para la investigación. Estos dispositivos se recogen y se colocan en un laboratorio forense u otra instalación segura para seguir el protocolo y ayudar a garantizar una recuperación de datos adecuada.
Los expertos forenses crean una imagen, o una copia bit-for-bit, de los datos que se conservarán. Después, almacenan de forma segura tanto la imagen como el original para evitar que se alteren o destruyan.
Los expertos recopilan dos tipos de datos: datos persistentes, almacenados en el disco duro local de un dispositivo y datos volátiles, ubicados en la memoria o en tránsito, por ejemplo, registros, caché y memoria de acceso aleatorio (RAM). Los datos volátiles deben manejarse con especial cuidado, ya que son efímeros y pueden perderse si el dispositivo se apaga o se queda sin batería.
A continuación, los investigadores forenses analizan la imagen para identificar pruebas digitales relevantes. Esto puede incluir archivos eliminados intencionadamente o involuntariamente, historial de navegación por Internet, correos electrónicos y mucho más.
Para descubrir "datos o metadatos" ocultos que otros podrían pasar por alto, los investigadores utilizan técnicas especializadas, como el análisis en tiempo real, que evalúa los sistemas que aún están en funcionamiento para detectar datos volátiles, y la esteganografía inversa, que expone los datos ocultos mediante la esteganografía, una técnica para ocultar información confidencial dentro de mensajes que parecen comunes.
Como paso final, los expertos forenses crean un informe formal que describe su análisis y comparten los hallazgos de la investigación y cualquier conclusión o recomendación. Aunque los informes varían según el caso, a menudo se utilizan para presentar pruebas digitales en un tribunal de derecho.
Hay varias áreas en las que las organizaciones o los funcionarios encargados de hacer cumplir la ley podrían iniciar una investigación forense digital:
Investigaciones criminales: los organismos encargados de hacer cumplir la ley y los especialistas en informática forense pueden utilizar esta para resolver delitos relacionados con la informática, como el ciberacoso, la piratería informática o el robo de identidad, así como delitos en el mundo físico, incluidos robos, secuestros, asesinatos y más. Por ejemplo, los funcionarios encargados de hacer cumplir la ley podrían utilizar la informática forense en el ordenador personal de un sospechoso de asesinato para localizar posibles pistas o pruebas ocultas en sus historiales de búsqueda o archivos eliminados.
Litigio civil: los investigadores también pueden usar la informática forense en casos de litigios civiles, como fraude, disputas laborales o divorcios. Por ejemplo, en un caso de divorcio, el equipo legal de un cónyuge puede usar informática forense en un dispositivo móvil para revelar la infidelidad de una pareja y recibir una sentencia más favorable.
La protección de la propiedad intelectual: los forenses informáticos pueden ayudar a los funcionarios de las autoridades a investigar el robo de propiedad intelectual, como robar secretos comerciales o material protegido por derechos de autor. Algunos de los casos forenses informáticos de más alto perfil involucran la protección de la propiedad intelectual, especialmente cuando los empleados que se van roban información confidencial para venderla a otra organización o establecer una empresa competidora. Al analizar la evidencia digital, los investigadores pueden identificar quién robó la propiedad intelectual y responsabilizarlos.
Seguridad corporativa: las empresas suelen utilizar análisis forenses informáticos tras un ciberataque, como una vulneración de datos o un ataque de ransomware, para identificar lo que sucedió y remediar cualquier vulnerabilidad de seguridad. Un ejemplo típico sería que los hackers rompieran una vulnerabilidad en el firewall de una empresa para robar datos confidenciales o esenciales. El uso de la informática forense para luchar contra los ciberataques continuará a medida que los delitos cibernéticos sigan aumentando. En 2022, el FBI estimó que los delitos informáticos costaron a los estadounidenses 10 300 millones de dólares en pérdidas anuales, frente a los 6900 millones de dólares del año anterior (enlace externo a ibm.com).
Seguridad nacional: la informática forense se ha convertido en una importante herramienta de seguridad nacional a medida que los ciberdelitos siguen aumentando entre las naciones. Los gobiernos o los organismos encargados de hacer cumplir la ley, como el FBI, ahora utilizan técnicas forenses informáticas tras los ciberataques para descubrir pruebas y reforzar las vulnerabilidades de seguridad.
Una vez más, la informática forense y la ciberseguridad son disciplinas estrechamente relacionadas que a menudo colaboran para proteger las redes digitales de los ciberataques. La ciberseguridad es proactiva y reactiva, y se centra en la prevención y detección de ciberataques, así como en la respuesta y corrección de ciberataques.
La informática forense es casi completamente casi reactiva y entra en acción en caso de un ciberataque o delito. Pero las investigaciones informáticas forenses suelen proporcionar información valiosa que los equipos de ciberseguridad pueden utilizar para prevenir futuros ciberataques.
Cuando la informática forense y la respuesta a incidentes (la detección y mitigación de los ciberataques en curso) se llevan a cabo de forma independiente, pueden interferir entre sí, con resultados negativos para la organización.
Los equipos de respuesta a incidentes pueden alterar o destruir la evidencia digital mientras eliminan una amenaza de la red. Los investigadores forenses pueden retrasar la resolución de amenazas mientras buscan y capturan pruebas.
La forense digital y la respuesta ante incidentes, o DFIR, combina análisis forenses informáticos y respuesta ante incidentes en un flujo de trabajo integrado que puede ayudar a los equipos de seguridad a detener las ciberamenazas más rápidamente y preservar las pruebas digitales que podrían perderse en la urgencia de la mitigación de amenazas. En DFIR,
La recopilación de datos forenses ocurre junto con la mitigación de amenazas. El personal de respuesta a incidentes utiliza técnicas informáticas forenses para recopilar y preservar datos mientras contienen y erradican la amenaza, asegurándose de que se sigue la cadena de custodia adecuada y de que no se alteran o destruyen pruebas valiosas.
La revisión posterior al incidente incluye el examen de las pruebas digitales. Además de preservar la evidencia para acciones legales, los equipos de DFIR la utilizan para reconstruir incidentes de ciberseguridad de principio a fin para ver qué sucedió, cómo sucedió, el alcance del daño y cómo se pueden evitar ataques similares.
DFIR puede conducir a una mitigación de amenazas más rápida, a una recuperación de amenazas más sólida y a una mejor evidencia para investigar casos delictivos, ciberdelitos, reclamaciones de seguros, etc.
La investigación proactiva de amenazas, la supervisión continua y el examen en profundidad de las mismas son sólo algunas de las prioridades a las que se enfrenta un departamento de TI ya de por sí muy ocupado. Contar con un equipo de respuesta a incidentes de confianza puede reducir su tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarle a recuperarse más rápidamente.
Para prevenir y combatir las amenazas modernas de ransomware, IBM utiliza el conocimiento que proporcionan 800 TB de datos de actividad de amenazas, información sobre más de 17 millones de ataques de spam y phishing y datos de reputación sobre casi 1 millón de direcciones IP maliciosas de una red de 270 millones de puntos de conexión.
DFIR combina dos campos de ciberseguridad para agilizar la respuesta a amenazas al tiempo que preserva la evidencia contra los ciberdelincuentes.
Los ciberataques son intentos no deseados de robar, exponer, alterar, deshabilitar o destruir información mediante el acceso no autorizado a los sistemas informáticos.
La gestión de información y eventos de seguridad (SIEM) ofrece monitorización y análisis en tiempo real de sucesos, así como rastreo y registro de datos de seguridad para fines de conformidad o auditoría.