Qué es el Análisis Forense Digital

por

Castellano

Una primera aproximación sencilla y coloquial sería definir el Análisis Forense Digital como el análisis forense que tradicionalmente conocemos en el que el cadáver es sustituido por material electrónico, informático y/o digital. El resto de técnicas y objetivos son muy similares en ambos casos, obviamente salvando la distancia de los «materiales» analizados.

La disciplina de la Ciencia Forense llevada al plano de los Sistemas Informáticos, que aplicamos tanto para la investigación de los considerados delitos tradicionales (asesinatos, narcotráfico, terrorismo, fraudes financieros, malos tratos, robos, etc), como para los propios relacionados con las tecnologías informáticas (piratería digital de software, hardware, comunicaciones…, delitos relacionados con la pornografía infantil, intrusiones, hacking en organizaciones, spam, phising, secuestros de datos informáticos, etc.) es lo que se conoce como Análisis Forense Digital (en inglés Computer Forensic o Digital Forensic).

De forma más formal podríamos definir el Análisis Forense Digital como el conjunto de procedimientos y técnicas que abarca los procesos de Adquisición, Conservación, Documentación, Análisis y Presentación de evidencias digitales (conjunto de datos en formato binario, es decir los ficheros, su contenido o referencia a estos (metadatos), que se encuentran en los soportes físicos o lógicos del sistema atacado o que ha sufrido la amenaza) cuyo fin último suele ser la presentación  y aceptación legal en un proceso judicial.

Debemos tener muy en cuenta que la información debemos extraerla siempre sin alterar lo más mínimo el estado de los dispositivos físicos o lógicos donde estaba oculta.

Además dentro del Análisis Forense Digital podemos definir las siguientes fases:

  • Identificación del Incidente
    • Fase de definición del delito concreto (robo de propiedad intelectual, pornografía infantil, fraude, distribución de virus, denegación de servicios, extorsión, estafa, acceso no autorizado, robo de servicios, secuestro, abuso de privilegios…).
  • Recopilación de las Evidencias
    • En esta etapa se obtienen copias exactas de la información que se sospecha pueda estar vinculada con el incidente analizado. Habrá que ir rotulando con fecha y hora todas las muestras obtenidas, que además deberán ser aisladas en recipientes que no permitan el deterioro ni el contacto con el medio (recordemos el Principio de Locard, «Cada contacto deja un rastro“, que básicamente viene a decir que, siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto).
    • Además debemos recolectar las muestras teniendo en cuenta el principio de volatilidad, es decir, debemos adquirirlas en orden de más a menos volátil. Por ejemplo, lo primero que deberíamos recopilar son los datos de la memoria RAM del ordenador, luego los contenidos del caché del sistema, los de los ficheros logs… y así hasta que finalmente recolectaríamos el contenido de documentos, archivos e información que esté disponible en soportes de almacenamiento físico como los discos duros, usb, dvd, cdrom,…
  • Preservación de las Evidencias
    • En esta fase se debe garantizar, como ya mencionamos con anterioridad en este artículo, que la información recopilada no se destruya ni se transforme. Nunca deberemos realizar un análisis forense sobre la muestra original, sino que lo tendremos que realizar sobre una copia idéntica (verificable con varios códigos hash como MD5, SHA-1, …)
    • Se crea también en esta fase la llamada Cadena de Custodia, que básicamente la podríamos definir como un acta donde se van registrando datos como el lugar, la fecha, el analista, y demás personas que actúan sobre la muestra recopilada.
  • Análisis de las Evidencias
    • Una vez obtenida la información y preservada se pasa a la fase central y más compleja de todas que es la fase de análisis.
    • Es una fase con un alto contenido técnico, donde la calidad del analista forense es fundamental.
    • Además de la experiencia del analista también es importante tanto el hardware como el software que se utilicen, que estarán diseñados específicamente para el análisis forense .
    • En esta etapa es muy importante tener definido con exactitud lo que se está buscando y de esta forma perseguir un claro enfoque hacia ello.
  • Documentación
    • Aunque es la etapa final del análisis, debemos ir documentando todas las acciones y procesos en la medida que los vayamos realizando. En esta memoria, se debe citar y adjuntar toda la información obtenida durante todas las fases mencionadas y las relaciones de forma clara y lógica de las pruebas obtenidas con las tareas realizadas para la obtención de las mismas. Además se debe poder reproducir íntegramente todo el proceso seguido en el análisis nuevamente si fuera necesario.
  • Presentación de los Resultados
    • Para la presentación de los resultados podemos utilizar varios modelos, pero son comunes los dos informes siguientes:
      • Informe Técnico, en el que se detalla con mayor exactitud todo el análisis realizado, donde se anotan las técnicas empleadas y los resultados obtenidos. Este informe debe ser objetivo, sin entrar en valoraciones personales.
      • Informe Ejecutivo, que muestra los rasgos más importantes de la investigación y los resultados obtenidos de forma resumida y sin entrar en detalles técnicos. Es un tipo de informe muy claro y conciso, que da una idea rápida del caso tratado.

Concluyendo, ya tenemos un breve acercamiento a lo que sería un Análisis Forense Digital, aunque a lo largo de los artículos de este Blog detallaremos las fases, procedimientos, herramientas y un largo y detallado etcétera… que nos irá introduciendo desde nuestros primeros «pinitos» en el análisis forense digital hasta convertirnos en verdaderos maestros de la materia.

Recuerda compartir el artículo
fb-share-icon
Tweet

Deja un comentario

Este sitio web utiliza cookies para que tengas la mejor experiencia de usuario. Si continúas navegando estás aceptando y dando tu consentimiento a nuestra política de cookies

ACEPTAR
Aviso de cookies