Introducción

Cubrimos una introducción a la ciencia forense digital. Hablamos sobre lo que se considera evidencia digital, qué se recolecta en la escena del crimen, cuál es la cadena de custodia y cómo se almacena, procesa y analiza la evidencia digital. Tomamos un ejemplo práctico de análisis de metadatos de archivos formateados en PDF y JPG. Extrajimos datos EXIF de la imagen y metadatos del documento PDF. Esto fue parte de “introducción a la ciberseguridad”pista en TryHackMe.

Notas de campo de informática forense

La ciencia forense es la aplicación de la ciencia para investigar delitos y establecer hechos. Con el uso y la difusión de los sistemas digitales, como las computadoras y los teléfonos inteligentes, nació una nueva rama de la ciencia forense para investigar delitos relacionados: la ciencia forense informática, que luego evolucionó hacia, Forense digital.

Más formalmente, la ciencia forense digital es la aplicación de la informática para investigar evidencia digital con un propósito legal. La ciencia forense digital se utiliza en dos tipos de investigaciones:

  1. Investigaciones del sector público se refieren a las investigaciones llevadas a cabo por el gobierno y los organismos encargados de hacer cumplir la ley. Serían parte de una investigación criminal o civil.
  2. Investigaciones del sector privado se refieren a las investigaciones realizadas por personas jurídicas mediante la asignación de un investigador privado, ya sea interno o subcontratado. Son provocados por violaciones de las políticas corporativas.

Ya sea que se investigue un delito o una violación de una política corporativa, parte de la evidencia está relacionada con dispositivos y medios digitales. Aquí es donde entra en juego la ciencia forense digital e intenta establecer qué ha sucedido. Sin investigadores forenses digitales capacitados, no será posible procesar ninguna evidencia digital adecuadamente.

¿Qué debe hacer como investigador forense digital? Luego de obtener la autorización legal correspondiente, el plan básico queda de la siguiente manera:

  1. Adquirir la evidencia: recopile los dispositivos digitales como computadoras portátiles, dispositivos de almacenamiento y cámaras digitales. (Tenga en cuenta que las computadoras portátiles y las computadoras requieren un manejo especial si están encendidas; sin embargo, esto está fuera del alcance de esta sala).
  2. Establecer una cadena de custodia: Complete adecuadamente el formulario relacionado (Formulario de muestra). El objetivo es garantizar que sólo los investigadores autorizados tuvieran acceso a las pruebas y que nadie pudiera haberlas alterado.
  3. Coloque la evidencia en un contenedor seguro: desea asegurarse de que la evidencia no se dañe. En el caso de los teléfonos inteligentes, usted quiere asegurarse de que no puedan acceder a la red, para que no sean borrados de forma remota.
  4. Transporte la evidencia a su laboratorio forense digital.

En el laboratorio, el proceso es el siguiente:

  1. Recupere la evidencia digital del contenedor seguro.
  2. Crear una copia forense de la evidencia: La copia forense requiere de un software avanzado para evitar modificar los datos originales.
  3. Devuelva la evidencia digital al contenedor seguro: estará trabajando en la copia. Si dañas la copia, siempre puedes crear una nueva.
  4. Comience a procesar la copia en su estación de trabajo forense.

Los pasos anteriores han sido adaptados de Guía de investigaciones y ciencias informáticas forenses, sexta edición.

De manera más general, según el ex director del Laboratorio Forense Informático de Defensa, Ken Zatyko, la ciencia forense digital incluye:

  • Autoridad de búsqueda adecuada: los investigadores no pueden comenzar sin la autoridad legal adecuada.
  • Cadena de custodia: Es necesaria para realizar un seguimiento de quién tenía la evidencia en cada momento.
  • Validación con matemáticas: utilizando un tipo especial de función matemática, llamada función hash, podemos confirmar que un archivo no ha sido modificado.
  • Uso de herramientas validadas: Las herramientas utilizadas en la ciencia forense digital deben validarse para garantizar que funcionan correctamente. Por ejemplo, si está creando una imagen de un disco, querrá asegurarse de que la imagen forense sea idéntica a los datos del disco.
  • Repetibilidad: Los hallazgos de la ciencia forense digital se pueden reproducir siempre que se disponga de las habilidades y herramientas adecuadas.
  • Informes: La investigación forense digital concluye con un informe que muestra las pruebas relacionadas con el caso descubierto.

Respuestas al desafío

Considere el escritorio en la foto de arriba. Además del teléfono inteligente, la cámara y las tarjetas SD, ¿qué sería interesante para la ciencia forense digital?

Es esencial realizar un seguimiento de quién lo maneja en cualquier momento para garantizar que las pruebas sean admisibles en el tribunal de justicia. ¿Cuál es el nombre de la documentación que ayudaría a establecer eso?

Usando pdfinfo, conozca el autor del archivo PDF adjunto.

Usando exiftool o cualquier herramienta similar, intenta encontrar dónde llevaron los secuestradores la imagen que adjuntaron a su documento. ¿Cómo se llama la calle?

¿Cuál es el nombre del modelo de la cámara utilizada para tomar esta foto?

Tutorial en vídeo

, , , ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos