¿Qué es la informática forense? | Guía básica de esta rama de Ciberseguridad

Hasta fines de los años 70, los únicos que podían utilizar los sistemas informáticos eran los organismos gubernamentales. Esto cambió en el 78, cuando la informática ayudó a esclarecer un caso de sabotaje y extorsión en Florida. A partir de allí, se empezó a vislumbrar la necesidad de la Informática Forense. 

Si te interesa este campo de la ciberseguridad, en este artículo descubrirás qué es la informática forense, sus tipos y procesos principales. 

Concepto de Informática forense

¿Qué es la informática forense? La informática forense es una disciplina técnica y científica. El objetivo es implementar procesos que recuperen, autentiquen y analicen los datos latentes relacionados con un delito informático. 

Los especialistas deberán acreditar conocimientos en leyes, tecnología e informática. Con estas herramientas podrán explicar un hecho o suceso del pasado, con elementos físicos o a través de conjeturas, para hallar la fuente de un ciberataque o descubrir una brecha de seguridad. 

También se encargará de encontrar evidencia digital, correctamente procesada a través de un análisis forense, que dejará a disposición del juez encargado del proceso judicial, civil o penal. 

Principios rectores de la Informática Forense

1. A la hora de recolectar evidencia digital deberán seguirse los procedimientos de la criminalística.
2. Cuando se procesen las pruebas digitales no se podrá realizar ninguna acción que altere su naturaleza.
3. Solo los profesionales forenses podrán acceder a la evidencia digital.
4. Cada acción que implique el acceso, almacenamiento o transferencia de la evidencia deberá ser debidamente documentado.
5. El profesional forense, a cargo de la evidencia, tendrá toda la responsabilidad individual sobre cualquier cambio, alteración o pérdida de la evidencia.
6. Toda agencia responsable del material digital tendrá la obligación de hacer cumplir estos principios. 

¿Para qué sirve el análisis forense?

Algunos de los casos de uso más destacables del cómputo forense son:

Aportar evidencias en procesos judiciales

La informática forense se encarga de analizar ,mediante herramientas especializadas, las evidencias digitales y electrónicas que se presentan ante una corte judicial. 

Ofrecer evidencias en negociaciones

Aunque el análisis forense es muy útil en el ámbito penal, también su aplicación es beneficiosa en el ámbito civil. Ya que permite extraer evidencias para una demanda civil o una negociación laboral. 

Ciberseguros 

Puede darse el caso de que un profesional de informática forense detecte la presencia de una brecha de seguridad importante. Esta representa una grave vulnerabilidad de la compañía ante un ciberataque, por lo que el especialista le recomendará la aplicación de un ciberseguro.

Predecir y prevenir ataques cibernéticos

En el ámbito privado, el análisis forense puede detectar determinadas puertas abiertas, para las acciones delictivas de un ciberdelincuente. De esta forma, podrá aplicar el conjunto de técnicas más apropiadas para blindar la seguridad o responder al ataque. 

Objetivos de la Informática Forense

• Diseñar procesos que aseguren la autenticidad de las pruebas digitales.
• Recuperar, preservar y analizar el material digital.
• Revertir la eliminación de datos y documentos valiosos para un caso judicial.
• Resguardar la evidencia digital cumpliendo con la cadena de custodia.
• Identificar ciberdelincuentes e interpretar los motivos propulsores detrás de la acción delictiva.

Tipos o ramas de la Informática Forense

Las distintas categorías de la informática forense se clasifican de acuerdo a su lugar de aplicación. Por lo tanto, existen los siguientes tipos:

Análisis Forense en Sistemas Operativos

Este tipo de análisis forense se encarga de recuperar toda la información de un dispositivo electrónico directamente desde su sistema operativo. Este funciona como una hoja de ruta para llegar a los datos en el disco duro, que sirvan como evidencia empírica contra el autor de un crimen. 

Análisis Forense Informático en Redes

Este cómputo forense se encarga de monitorear y analizar el tráfico de una red. Puede ser usada para rastrear la fuente de un ataque, una intrusión o una violación de seguridad en casos de prevención de ataques, o como recopilación de evidencia. 

Cómputo Forense en Dispositivos Móviles

El análisis de dispositivos móviles recupera datos con potencialidad de convertirse en una evidencia empírica y digital. Esta tarea cuenta con reglas y técnicas muy precisas que permiten la incautación y aislamiento de los datos de forma segura. 

Informática forense para archivos en la nube

A pesar de ser una tecnología relativamente nueva, la seguridad de la nube debe ser aún más veloz en reportar eventos que representen un riesgo inminente.

Herramientas de Informática Forense

Para llevar a cabo estas tareas, la ciencia forense cuenta con herramientas y técnicas específicas dentro del campo de la ciberseguridad. Se pueden clasificar en:

• Tecnología de uso común: Estas herramientas son productos generales dentro de la rama de la ciberseguridad y la informática. Sin embargo, contienen características apropiadas para las tareas de un especialista en cómputo forense.
• Tecnología especializada: Las herramientas específicas del análisis forense digital fueron creadas para responder a las necesidades de esta rama de la ciberseguridad en particular. 

 Algunas de las más comunes son:

• Clonadoras de datos: Dentro del campo de la informática forense es sabido que no se puede trabajar directamente sobre el dispositivo incautado. Por ello, esta herramienta es vital para obtener una copia exacta del contenido del dispositivo. 
• Bloqueadoras de escritura: Estas bloqueadoras conectan la estación de trabajo del especialista con el objeto de estudio. Esto evita que se escriban datos por accidente, o causalmente, y se contamine la evidencia digital. 
• Creación de imágenes forenses: Este software adquiere y preserva evidencias digitales convirtiéndolas en imágenes en formatos dd, E01 y AFF. 
• Cálculo de firmas Hash: Este programa genera códigos Hash que permiten identificar los distintos ficheros de un dispositivo, o del aparato por completo. Así se verifica que la fuente sea totalmente verificable.

¿Cómo se desarrolla el proceso de investigación en informática forense?

A continuación, revisaremos brevemente el proceso de investigación y análisis forense. 

1 | Fase de Adquisición en el análisis forense

Para esta primera fase del análisis forense, se delimita el o los objetos que serán susceptibles de convertirse en evidencia incriminatoria. 

2 | Fase de Conservación en el cómputo forense

En este punto es de vital importancia la cadena de custodia de la informática forense. Ya que al finalizar todo el proceso de análisis se deberá comprobar que los datos y la naturaleza de la evidencia se mantuvieron inalterables.

3 | Análisis forense informático

Para la fase de análisis forense informático, se procede a intervenir los dispositivos con el fin de reunir datos. Este proceso se llevará a cabo con base en una lógica, y se estructurará en una conclusión con rigor científico. El investigador forense cuidará de aportar pruebas circunstanciales y oportunas de cómo se desarrollaron los sucesos. 

4 | Documentación en el análisis forense

En el cuarto paso del proceso de investigación de informática forense se realiza el informe pericial informático. En este se detallarán explícitamente todas las herramientas forenses y los análisis a los que se sometió el dispositivo incautado. Esto, con el fin de que un tercero pueda replicar la misma técnica para verificar la veracidad de los resultados.  

5 | Informar los resultados del cómputo forense

Mediante herramientas didácticas de exposición oral, el perito informático forense dará a conocer el desarrollo del proceso y desglosará la conclusión científica que ha relevado con base en las pruebas que examinó. Para ello tendrá cuidado de usar un lenguaje lo más didáctico y comprensible posible para los presentes en la estancia. 

Conclusión

En este artículo descubrimos la compleja tarea de la informática forense, junto con sus diversas herramientas y usos de aplicación. A pesar de no ser una rama de la ciberseguridad ampliamente reconocida, su importancia se destaca tanto en ámbitos jurídicos, penales o civiles, como también en ámbitos privados.