«Interesante aunque elemental,» dijo Sherlock Holmes mientras regresaba a su rincón favorito, donde se hallaba el sofá. Ciertamente hay dos o tres indicios en el bastón. Nos proveen de la base para varias deducciones.»
El párrafo anterior es un extracto de una de las novelas del famoso detective inglés Sherlock Holmes, creadas a finales del siglo XIX. En las novelas de detectives modernas no sería raro encontrar narraciones como la siguiente:
«Interesante, en la imagen del disco duro del sospechoso, realizando una búsqueda de las palabras clave del caso, fue posible recuperar de los archivos borrados una conversación de messenger que nos provee de la base para varias deducciones.”
La amplia difusión de la tecnología informática para realizar cualquier tipo de actividad (en la rama médica, económica, educativa, etc.) así como para almacenar cualquier información de forma digital, ha cambiado el panorama de los crímenes o delitos modernos así como el tipo de investigación para resolverlos. Esta necesidad dio lugar al nacimiento de lo que se conoce como la “ciencia del análisis forense computacional”. Pero, mi querido Watson, ¿a qué nos referimos con este término?, pues bien, una de las tantas definiciones que podemos encontrar en la Web nos dice que es: “Una serie metódica de técnicas y procedimientos para recopilar evidencia de equipos computacionales y dispositivos de almacenamiento digitales que puede ser presentada en una corte de justicia en un formato coherente y significativo”.
Nuestra primera pregunta sería, ¿a qué nos referimos con evidencia?, una respuesta sencilla es que la evidencia es algo que tiende a establecer o descartar un hecho y la pieza más pequeña de evidencia digital que podemos encontrar son 4 bytes, esto es, una dirección IP en hexadecimal. Es increíble cómo un dato tan simple como una dirección IP puede servir para etiquetar como principal sospechoso de un delito al usuario responsable de la máquina que tenga asignada dicha dirección.
El análisis forense computacional debe obedecer las reglas generales de recolección de evidencia, utilizadas por los agentes de la ley en cualquier crimen, para que la evidencia pueda ser aceptada ante una corte. Por esta razón es que una de las premisas fundamentales en las investigaciones forenses computacionales es demostrar que la evidencia no fue alterada en ningún momento, esto es: asegurar la integridad de la evidencia.
Existen varios tipos de investigaciones forenses: aquéllas en las que se verán involucradas los agentes de la ley y donde el caso será llevado ante una corte para ser juzgado, y las investigaciones internas que no requieren de un proceso legal formal. En cualquier circunstancia el investigador tiene la obligación de cuidar la preservación de la integridad de la evidencia para dar validez a los resultados de la investigación, independientemente de si el caso será llevado ante una corte o no.
La organización internacional de evidencia computacional (IOCE, por sus siglas en inglés), definió en 1999 algunos principios internacionales para el manejo de la evidencia digital, entre los que se incluyen:
- Al recolectar la evidencia digital se deben tomar acciones para asegurarse de que no se modificará dicha evidencia.
- Cuando una persona necesite acceder a la evidencia digital original, se debe asegurar que dicha persona sea un investigador forense competente.
- Toda la actividad relacionada con la recolección, acceso, almacenamiento o transferencia de evidencia digital debe estar documentada, preservada y disponible para ser revisada.
- Un individuo es responsable por todas las acciones realizadas sobre la evidencia digital mientras ésta se encuentre en su posesión.
- Cualquier agencia que sea responsable de la recolección, acceso, almacenamiento o transferencia de evidencia digital es responsable de cumplir con los principios anteriores.
En este punto cobra importancia para toda investigación el contar siempre con un documento de cadena de custodia (chain of custody), que es un formato para validar que la evidencia presentada es la misma que fue recolectada en el lugar del crimen y que no ha sido alterada de ninguna forma.
Otra manera de asegurar y demostrar la integridad de la evidencia digital se obtiene utilizando herramientas tecnológicas. Una vez que se han identificado los equipos y/o medios de almacenamiento digital que tienen relación con el caso bajo investigación, y que se han obtenido los permisos de las autoridades competentes para poder recolectar la evidencia digital, se debe realizar por lo menos una copia idéntica del medio original. En el mundo del análisis forense a esta copia idéntica se le llama “copia bit a bit” o “imagen”.
Tal como su nombre lo indica esta copia será un reflejo fiel del contenido del medio original, de tal forma que el valor de cada bit (1 ó 0) en el original será el mismo en la copia. Todo el análisis de la información relativa al crimen se realizará en la copia “bit a bit”, mientras que el medio original deberá ser resguardado en gabinetes cerrados y con accesos controlados hasta el cierre del caso. De esta forma, si accidental o intencionalmente se produce una modificación o daño a la información contenida en la copia “bit a bit” siempre se contará con el medio original intacto al que es posible sacarle otra copia para continuar el análisis.
Los Sherlock Holmes modernos utilizan hashes criptográficos para asegurar la integridad de la evidencia original y de las copias. Pero, ¿qué es un hash? -Elemental mi querido Watson, respondería nuestro viejo amigo Sherlock. Al aplicar una función o algoritmo matemático a un conjunto de información el resultado será una clave o llave que representará de manera unívoca a dichos datos de entrada (documentos, archivos, registros etc.). Un hash es el resultado de dicha función o algoritmo. Si el mismo conjunto de datos sufre alguna modificación, por mínima que esta sea (agregar un punto a un archivo de texto por ejemplo), y se vuelve a aplicar la función matemática a los datos, el resultado será un valor hash completamente diferente al que se había obtenido originalmente, lo cual ayuda de esta forma a validar la integridad del contenido de cualquier documento.
En el análisis forense computacional es necesario calcular el valor hash de la información que contiene el medio original y el de la copia “bit a bit” para verificar que ambos resultados sean idénticos. Una vez hecha esta validación de integridad, es posible comenzar con el misterioso e intrincado arte del análisis de la información contenida en la copia “bit a bit”.
Pero demos un descanso por el momento a nuestras habilidades analíticas y de observación, que todo buen detective debe tener, y en la siguiente entrega de este artículo continuaremos nuestra cruzada para encontrar la verdad y resolver el caso…
Continuará…
Hola.
Muy interesantes post sobre Informática Forense.
Le comento recientemente vi la película que se llama en busca de la felicidad protagonizada por Will Smith (Cuyo caso verídico es el de Chris Garner). Bueno ¿Se preguntará, porque le comento esto?
Hay una parte de la película donde Will Smith hace 2 preguntas:
¿Que es lo que haces?
¿Como lo haces?
Dice Chris Gardner, que hay que hacer preguntas inteligentes.
Supongamos que usted esta empezando con la informática forense.
¿Qué preguntas cree que debería de hacer una persona como yo (que esta iniciando) a las personas que están relacionadas con esta área?
la otra que yo preguntaría es ¿Es necesario tener conocimientos de hacking? para dedicarte a esta área. Y unas más.
¿Como iniciaste?
¿Porque decidiste dedicarte a esta área?
Estaría gratamente agradecido con su ayuda.
Saludos.
Hola,
En mi caso en particular inicie en el área de redes, posteriormente me moví al área de seguridad informática, participe en el equipo de repuesta a incidentes de seguridad y ahora me estoy especializando en el área de análisis forense.
El área de análisis forense tiene un gran auge por la misma evolución de la práctica generalizada de almacenamiento de la información en medios digitales. Lo que ha abierto espacios para el surgimiento de la profesionalización de los investigadores forenses digitales. En lo particular me apasiona el colectar evidencia, seguir pistas, recrear los hechos, y resolver problemas, además de poner en práctica mis conocimientos en redes y seguridad informática. Por todas las razones anteriores es que decidí dedicarme a esta área.
Como investigador forense te puedes enfrentar a distintos tipos de casos, por ejemplo: fraude, robo de propiedad intelectual, uso inapropiado de Internet, explotación infantil, accesos no autorizados internos o intrusiones de hackers. En general el investigador forense debe conocer la metodología forense, las mejores prácticas de manejo de evidencia así como contar con un buen conocimiento de los sistemas operativos y las herramientas de análisis forense.
Para atender los casos relativos a intrusiones de hackers si es importante el conocer las técnicas más comunes de hackeo para saber por dónde buscar evidencia relacionada. Para investigar a los atacantes debemos poder pensar como los atacantes; tratar de meternos en la mente del hacker, pensar maliciosamente y ubicar las posibles rutas de entrada y herramientas que pueden haber utilizado. En resumen, no para todos los casos se requiere conocimiento de las técnicas de hackeo, pero, para ser un investigador forense integral SI es necesario el tener por lo menos conocimientos básicos de las técnicas comúnmente utilizadas por los hackers.
Si te interesa seguir la especialización del investigador forense computacional te recomiendo contar con bases de redes (por ejemplo la certificación CCNA de Cisco); con bases de seguridad informática (por ejemplo la certificación Security+ de COMPTIA) y capacitarte en la metodología forense (con cursos como el de la certificación GCFE ó GCFA del SANS ó CHFI de EC-Council).
Gracias por tus comentarios y si decides unirte al grupo de los Sherlok Holmes modernos te estaremos esperando. = )