Autopy software forense

Introducción a Autopsy

No podemos dejar de hablar de informática forense, si no vemos una excelente herramienta que acompaña a todos sitios a cualquier forense. Y esa herramienta es Autopsy.

Sí, lo sé, quizás el icono del perro no ayude mucho, pero cuando empieces a utilizarla no vas a querer dejar al perro atado, siempre lo llevarás a todas partes.

Una descripción de Autopsy sería:

“Autopsy es la principal plataforma forense de código abierto que es rápida, fácil de usar y capaz de analizar todo tipo de dispositivos móviles y medios digitales. Su arquitectura de complemento permite la extensibilidad desde desarrollado por la comunidad o personalizado- los módulos construidos de Autopsia evolucionan para satisfacer las necesidades de cientos de miles de profesionales en el cumplimiento de la ley, la seguridad nacional, el apoyo en litigios y la investigación corporativa.”

Instalando Autopsy

Sino tienes Autopsy, puedes descargarlo desde aquí.

Creación de un nuevo caso

Ejecuta la herramienta de Autopsy en tu sistema operativo Windows y haz clic en “New Case” (“Nuevo Caso“) para crear un nuevo caso:

A continuación, se rellena toda la información necesaria del caso, como el nombre del mismo, y se elige un directorio base para guardar todos los datos del caso en un solo lugar:

También puedes añadir información adicional opcional sobre el caso si es necesario:

Ahora vamos a añadir el tipo de fuente de datos. Hay varios tipos para elegir:

• Disk Image or VM file: Esto incluye el archivo de imagen que puede ser una copia exacta de un disco duro, una tarjeta multimedia o incluso una máquina virtual.
• Local Disk: Esta opción incluye dispositivos como discos duros, pen drives, tarjetas de memoria, etc.
• Logical Files: Incluye la imagen de cualquier carpeta o archivo local.
• Unallocated Space Image File: Incluyen archivos que no contienen ningún sistema de archivos y se ejecutan con la ayuda del módulo Ingest.
• Autopsy Logical Imager Results: Incluyen la fuente de datos de la ejecución del generador de imágenes lógicas.
• XRY Text Export: Incluyen la fuente de datos de la exportación de archivos de texto desde XRY.

A continuación, se te pedirá que configures el módulo Ingest:

El contenido del módulo Ingest se encuentra en la siguiente lista:

• Detalles del Módulo Ingest: La información de la fuente de datos (Data Source) muestra los metadatos básicos. Su análisis detallado se muestra en la parte inferior. Se puede extraer uno tras otro.

• VISTAS File Type (Tipo de archivo): se puede clasificar en forma de extensión de archivo o tipo MIME.

Proporciona información sobre las extensiones de archivo que suelen ser utilizadas por el sistema operativo, mientras que los tipos MIME son utilizados por el navegador para decidir qué datos representar. También muestra los archivos eliminados.

• POR EXTENSIÓN (By Extension): puedes ver que se ha subdividido en tipos de archivo como imágenes, vídeo, audio, archivos, bases de datos, etc.

Vamos a hacer clic en las imágenes y explorar las imágenes que se han recuperado:

También podemos ver la miniatura de las imágenes:

Al ver la miniatura, se pueden ver los metadatos del archivo y los detalles de la imagen:

Aquí también podemos ver algunos archivos del tipo “Archives” que se han recuperado. Podemos extraer estos archivos del sistema y visualizarlos utilizando varios programas:

• DOCUMENTOS: los documentos se clasifican en 5 tipos: HTML, Office, PDF, Texto sin formato (Plain Text) y Texto enriquecido (Rich Text).

Al explorar la opción de documentos, puedes ver todos los documentos PDF presentes, puedes hacer clic en los importantes para verlos.

Al explorar la opción de PDF, también puedes encontrar el PDF importante en la imagen del disco:

Del mismo modo, los diversos archivos de texto plano también se pueden ver. También puedes recuperar los archivos de texto plano eliminados.

• EJECUTABLES: estos tipos de archivos se subdividen en .exe, .dll, .bat, .cmd y .com.

• POR TIPO MIME: en este tipo de categoría, hay cuatro subcategorías como aplicación, audio, imagen y texto. Estas se dividen a su vez en más secciones y tipos de archivo.

• ARCHIVOS ELIMINADOS (Deleted Files): muestra información sobre el archivo eliminado que luego se puede recuperar.

• ARCHIVOS DE TAMAÑO MB (MB Size Files):en esta sección, los archivos se clasifican en función de su tamaño, a partir de 50 MB. Esto permite al examinador buscar archivos de gran tamaño.

• CONTENIDO EXTRAÍDO (Extracted Content): todo el contenido que fue extraído, es segregado en detalle. Aquí hemos encontrado metadatos, papelera de reciclaje y descargas web. Veamos más a fondo cada uno de ellos.

• Metadatos (Metadata): aquí podemos ver toda la información sobre los archivos como la fecha de creación, de modificación, el propietario del archivo, etc.

• Descargas Web (Web Downloads): aquí se pueden ver los archivos que fueron descargados de internet.

• PALABRAS CLAVE (Keyword Hits): aquí se puede buscar cualquier palabra clave específica en la imagen de disco. La búsqueda se puede realizar con respecto a la coincidencia exacta, coincidencias de subcadena, correos electrónicos, palabras literales, expresiones regulares, etc.

Puedes ver las direcciones de correo electrónico disponibles:

Se puede optar por exportar a un formato CSV.

• LÍNEA DE TIEMPO (TIMELINE): mediante esta función puedes obtener información sobre el uso del sistema en forma de estadística (statistical), detallado (detailed) o lista (list). Para nosotros esta es la función más importante.

• DESCUBRIMIENTO (DISCOVERY): esta opción permite encontrar medios utilizando diferentes filtros que están presentes en la imagen de disco.

• IMÁGENES/VÍDEOS: esta opción permite encontrar imágenes y vídeos a través de varias opciones y múltiples categorías.

• AÑADIR ETIQUETA DE ARCHIVO: el etiquetado se puede utilizar para crear marcadores, seguimiento, marcar como cualquier elemento notable, etc.

Ahora cuando veas las opciones de etiquetas, verás que los archivos fueron etiquetados de acuerdo a varias categorías.

• GENERAR INFORME: una vez terminada la investigación, el examinador puede generar el informe en varios formatos según su preferencia.

Conclusión

Autopsy es una herramienta de código abierto que se utiliza para realizar operaciones forenses en la imagen de disco de las evidencias. Aquí se muestra la investigación forense que se realiza sobre la imagen de disco. Los resultados obtenidos aquí son de ayuda para investigar y localizar información relevante. Esta herramienta es utilizada por las fuerzas del orden, la policía local y también se puede utilizar en las empresas para investigar las pruebas encontradas en un delito informático. También se puede utilizar para recuperar información que ha sido borrada como veremos en el próximo laboratorio.

Si no tienes una imagen, puedes utilizar tu propio disco duro, no le pasará nada. Practica y prepárate para la próximo laboratorio donde veremos un caso de pérdida de información.

Módulo Ingest	Descripción
Recent Activity	Se utiliza para descubrir las operaciones recientes que se realizaron en el disco, como los archivos que se vieron recientemente.
Hash Lookup	Se utiliza para identificar un archivo concreto mediante su valor hash.
File Type Identification	Se utiliza para identificar los archivos basándose en sus firmas internas y no sólo en las extensiones de los archivos.
Extension Mismatch Detector	Se utiliza para identificar los archivos cuyas extensiones han sido manipuladas o han sido modificadas para ocultar las pruebas.
Embedded File Extractor	Se utiliza para extraer archivos incrustados como .zip, .rar, etc. y utilizar esos archivos para su análisis.
Keyword Search	Se utiliza para buscar una palabra clave concreta o un patrón en el archivo de imagen.
Email Parser	Se utiliza para extraer información de los archivos de correo electrónico si el disco contiene alguna información de la base de datos de correo electrónico.
Encryption Detection	Esto ayuda a detectar e identificar los archivos encriptados protegidos por contraseña.
Interesting File Identifier	Mediante esta función, el examinador recibe una notificación cuando los resultados corresponden al conjunto de reglas definidas para identificar un tipo de archivo concreto.
Central Repository	Guarda las propiedades en el repositorio central para su posterior correlación.
PhotoRec Carver	Esto ayuda al examinador a recuperar archivos, fotos, etc. del espacio no asignado en el disco de imagen.
Virtual Machine Extractor	Ayuda a extraer y analizar si se encuentra alguna máquina virtual en la imagen de disco.
Data Source Integrity	Ayuda a calcular el valor hash y a almacenarlo en la base de datos.

Colisiones (hash)

No podemos hablar de función hash, sin colisiones. 

Es matemáticamente imposible que una función de hash carezca de colisiones, ya que el número potencial de posibles entradas es mayor que el número de salidas que puede producir un hash. Sin embargo, las colisiones se producen más frecuentemente en los malos algoritmos. En ciertas aplicaciones especializadas con un relativamente pequeño número de entradas que son conocidas de antemano es posible construir una función de hash perfecta, que se asegura que todas las entradas tengan una salida diferente. Pero en una función en la cual se puede introducir datos de longitud arbitraria y que devuelve un hash de tamaño fijo (como MD5), siempre habrá colisiones, debido a que un hash dado puede pertenecer a un infinito número de entradas.

Y ahora que sacamos el tema de las colisiones es bueno preguntarnos: para mantener nuestra famosa cadena de custodia, ¿qué función hash debería utilizar? ¿Cómo de seguro es utilizar una función hash que fue rota? Depende mucho en el ámbito que nos movamos, el MD4, MD5 y SHA-1 son funciones hash rotas, pero en un entorno de una forense es poco probable que se pueda impugnar una prueba por tener una hash débil ya que, por ejemplo, la colisión de SHA-1 se ha demostrado de forma teórica, pero no de forma real. Nuestra recomendación es empezar a utilizar SHA-256, por ejemplo, para despejar cualquier tipo de duda.

No queremos ahondar más en la explicación del mundo teórico de las colisiones en funciones hash porque entendemos que escapar al objetivo, pero sí queríamos incidir un poco más en el concepto de “hash” y su utilización. Evidentemente, si se quiere profundizar más en el mundo de las colisiones dejamos un trabajo de investigación del profesor Kim-Biryukov-Preneel-Hong.

En resumen, los algoritmos hash o funciones de resumen son unos algoritmos de formulación matemática, los cuales, a partir de la consideración de elemento de entrada bien sea una cadena de caracteres, un fichero, una carpeta, una partición o un disco entero, son capaces de proporcionar a modo de “resumen” una salida de caracteres alfanuméricos de longitud fija, constante y estable para cada entrada.

Características principales de los hashes:

• La salida proporcionada es un valor unívoco para una entrada en concreto y, salvo la presencia excepcional de colisiones en algoritmos sencillos, en un mismo algoritmo, no es posible obtener dos salidas diferentes para una misma entrada, ni dos entradas diferentes pueden generar un mismo valor de salida.
• La salida proporcionada es de longitud fija y varía según el algoritmo aplicado, con independencia de la longitud, tamaño o contenido de la entrada.
• El cálculo realizado es un proceso de generación unidireccional e irreversible puesto que tomando una entrada y aplicando el algoritmo se obtiene siempre el mismo valor de salida, pero conociendo el valor la salida no se puede llevar a cabo el proceso inverso y llegar a conocer la entrada utilizada para la generación de dicha salida, salvo en cadenas muy pequeñas (de unos pocos caracteres y sin caracteres especiales), a las cuales se les podría aplicar “métodos de ataque de fuerza bruta“.

• Cada algoritmo hash posee sus propias reglas de cálculo, son estables y universales para todos aquellos programas que utilicen el mismo algoritmo hash de cálculo, no existiendo dos formulaciones de algoritmos diferentes con el mismo nombre, por lo que un algoritmo siempre ofrece el mismo valor de salida para una entrada dada, con total independencia de la herramienta, software o dispositivo utilizado para su cálculo.

Los peritos informáticos forenses nos valemos de las funciones hashes para:

• La verificación de archivos idénticos: Internamente dos ficheros son idénticos aunque cambien de nombre o de extensión incluso si se abren, siempre que no se grabe o acepte cambio alguno no cambie el contenido interno de los mismos, tal como vimos en el caso de mi fotografía que cambiaba el nombre del archive. Por lo tanto, a través del valor del algoritmo hash se puede conocer y corroborar si el contenido de dos ficheros es idéntico. Dada esta propiedad, los algoritmos hash son utilizados en situaciones en las que es necesario o conveniente verificar esta identidad de contenido interno como, por ejemplo, cuando se aporta un fichero en una investigación forense, o cuando alguien se descarga un software o un fichero y se quiere comprobar que es idéntico al que los desarrolladores han liberado en origen, o quizás, para verificar si algún fichero de un sistema operativo o de un aplicativo, por ejemplo, una página web que haya sido modificado por un malware introduciéndole una cadena de código malicioso.

En la identificación y registro de copias forenses: En la realización de clones idénticos (imagen bit a bit) de discos HDD (Hard Drive Disk), es decir, los discos duros convencionales, pudiéndose aplicar el algoritmo a todo el disco, a particiones concretas o a carpetas determinadas o de forma individualizada a grupos de ficheros. Esta es una comprobación muy significativa y relevante puesto que, si no se realizan manipulaciones (borrado, copiado de ficheros o modificación interna de los mismos), la información permanece estable y perenne sin alteración alguna, por lo que el valor del algoritmo hash permanecerá también invariable a lo largo del tiempo.

En este sentido, no se puede hacer la misma afirmación respecto a los discos SSD (Solid State Drive) y se debe tener cuidado con esto, ya que cuando se pretende validar la imagen completa del disco, puesto que el mero hecho de conectarlos hace que la información interna del propio dispositivo varíe puesto que funcionan a modo de memoria flash y no son dispositivos de grabado en soporte físico como los discos tradicionales, consecuentemente, el valor del hash obtenido sobre el contenido global del disco será diferente cada ocasión en la que se calcule y obtenga.

En la investigación forense se utiliza el cálculo de los valores hash a nivel global o extendido en las carpetas sobre sus ficheros para poder comparar el contenido de dispositivos frente a otros dispositivos o las carpetas conteniendo ficheros incautados pero, tal y como se ha comentado, los valores hash de los ficheros examinados sólo serán idénticos si los ficheros comparados no han sido variados internamente, aunque hayan variado de nombre y de extensión, por lo que:

• En sentido positivo, la ventaja de investigar usando los algoritmos hash: Si los ficheros que se copiaron no han sido modificados, el cálculo de los valores hash permite realizar una comparativa rápida, fiable e infalible, no dejando lugar a dudas de si el contenido de los ficheros examinados es el mismo, aunque exista cambio de nombre o de extensión del fichero, siempre y cuando no se abra y grabe. Este proceso se puede automatizar ejecutándose de forma rápida y con una gran economía de esfuerzo, recursos y tiempo.
• En sentido negativo, la desventaja o debilidad de investigar usando los algoritmos hash: La posibilidad de que tras la copia o sustracción de los ficheros, estos hayan sido modificados para su uso o, simplemente, porque se haya añadido, modificado o quitado algo, por nimio que esto sea o represente, hará que se obtenga un valor hash diferente por lo que, bajo esta premisa, la comparativa a través del hash dará como resultado que se trata de ficheros diferentes.

Normalmente, en las investigaciones forenses, los Cuerpos y Fuerzas de Seguridad cuando examinan la similitud del contenido de los dispositivos lo hacen en base a la comparativa de algoritmos hash, que es un método adecuado y razonable en cuanto a esfuerzo requerido en la investigación y, con el resultado de la comparativa de los valores hash de los ficheros contenidos en los dispositivos, se llega a la determinación de si se ha encontrado ficheros idénticos o no, con independencia del nombre que pudieran tener los ficheros.

Ahora que ya conoces la función HASH, verás que no solo se aplica en el mundo forense, sino en criptografía, sino que tiene muchos ámbitos de aplicación. Pero dentro del mundo forense es fundamental para establecer cadenas de custodia de la evidencia digital obtenida.

Conclusiones

La función Hash es una función criptográfica que se traduce como un algoritmo matemático que transforma cualquier bloque arbitrario de datos en una nueva serie de caracteres con una longitud fija. Esto significa que da igual la longitud de los datos de entrada, los datos de salida siempre tendrán la misma longitud. Los valores hash se utilizan para mantener la cadena de custodia en la evidencia de forense digital. En resumen, la función hash es una herramienta importante para garantizar la integridad de los datos y evitar la modificación no autorizada de la información.

Forense (Cadena de custodia)

La cadena de custodia

Si partimos de una definición más académica, la cadena de custodia de una prueba es el procedimiento controlado que se aplica a los indicios materiales relacionados con el delito, desde su localización hasta su valoración por los encargados de sus análisis, normalmente peritos.

Desde la ubicación, fijación, recolección, embalaje y traslado de la evidencia en la escena del siniestro, hasta la presentación al debate, la cadena de custodia debe garantizar que el procedimiento empleado ha sido exitoso y que la evidencia que se recolectó en la escena es la misma que se está presentando ante el tribunal, o el analizado en el respectivo dictamen pericial.

Pero antes de ponernos a hablar de la cadena de custodia y sus etapas, deberíamos empezar por el principio de intercambio de Locard. Es muy probable que ya hayas leído sobre esto, pero permítenos insistir, ya que es un principio básico sin el cual no tendría sentido hablar de la cadena de custodia.

El principio de intercambio de Edmond Locard.

El principio de Intercambio de Locard es un concepto que fue desarrollado por el criminalista francés Dr. Edmond Locard (1877-1966). Locard especuló que cada vez que se hace contacto con otra persona, lugar o cosa, el resultado es un intercambio de materiales físicos. Él creía que no importa a donde vayan los criminales o lo que hagan los criminales, estando en contacto con cosas, los criminales dejan todo tipo de evidencia, incluyendo ADN, huellas, cabellos, células de piel, sangre, fluidos corporales, piezas de vestimenta, fibras y más. A la misma vez, ellos toman también algo de la escena.

“Toute action de l’homme, et a fortiori, l’action violente qu’est un crime, ne peut pas se dérouler sans laisser quelque marque.”
– La police et les méthodes scienifiques (1934).

Traducido al Español significa:

“Cualquier acción de un individuo, y obviamente la acción violenta que constituye un crimen, no puede ocurrir sin dejar rastros.“

Cuando ha ocurrido un crimen, el objetivo del Investigador de la Escena del Crimen es reconocer, documentar y recolectar evidencia desde la escena de un crimen y de algo o alguien que tenga contacto con la escena del crimen. Resolver el crimen es entonces dependiente de la habilidad de los investigadores para juntar todas las piezas de evidencia para formar un cuadro de lo ocurrido. Por lo que, a la hora de realizar un análisis forense digital es fundamental tener presente el principio de intercambio de Locard, el cual sentó las bases de la ciencia forense en general. Cualquier tipo de delito, incluídos los relacionados con la informática dejarán siempre un rastro del que, mediante en proceso de análisis forense, se podrán obtener las “evidencias”.

Cuando ha ocurrido un crimen, el objetivo del Investigador de la Escena del Crimen es reconocer, documentar y recolectar evidencia desde la escena de un crimen y de algo o alguien que tenga contacto con la escena del crimen. Resolver el crimen es entonces dependiente de la habilidad de los investigadores para juntar todas las piezas de evidencia para formar un cuadro de lo ocurrido. Por lo que, a la hora de realizar un análisis forense digital es fundamental tener presente el principio de intercambio de Locard, el cual sentó las bases de la ciencia forense en general. Cualquier tipo de delito, incluídos los relacionados con la informática dejarán siempre un rastro del que, mediante el proceso de análisis forense, se podrán obtener las “evidencias”.

A continuación, y a modo resumen, dejamos un esquema de todo el proceso forense.

---

Conclusiones

La cadena de custodia comienza cuando se identifican las pruebas informáticas, garantizando así la integridad de las mismas y termina cuando se exponen en la fase de instrucción o en el juicio. Para que ésta no se rompa, se documenta cada paso por el que pasa la prueba con el lugar, las personas que la han analizado y dónde ha estado almacenada en cada una de sus ubicaciones. Siendo así repetible.

La finalidad de cuidar la cadena de custodia no es otra que la de garantizar la integridad de las pruebas recogidas asegurando así su autenticidad y llegando de este modo a juicio sin haber sido manipuladas ni que resulten insuficientes.

Fases por las que pasan las pruebas durante la cadena de custodia

La preservación de la cadena de custodia en España se basa en los reglamentos oficiales de las Fuerzas y cuerpos de seguridad. Las fases por las que pasan las pruebas durante la cadena de custodia son:

• La recogida de muestras que conformarán las pruebas. La recogida de muestras se realiza siempre con equipos que prevengan o eviten su contaminación.
• El marcado de las pruebas. Con el fin de poder identificarlas, éstas se acompañarán, por lo general, con fotografías que ayudarán como apoyo en el juicio, como prueba de la realidad en la que se encontraba en el momento de su recogida (puede haber variaciones en el tiempo, cambios de ubicación de las pruebas…)
• Embalaje de pruebas. Cada prueba se empaqueta con varios embalajes; y cada embalaje irá sellado y acompañado de una numeración diferente. En caso de ser incautados dispositivos electrónicos, la preservación de la cadena de custodia requerirá que vayan lo más identificados posible, anotando así sus números de serie de los ordenadores portátiles o tablets, los IMEI de los teléfonos móviles, etc.
• Transporte hasta el laboratorio.
• Transferencia de la prueba a especialistas. Aquí es donde entramos en juego los peritos informáticos, en caso de tratarse de pruebas provenientes de un delito informático. Inspeccionaremos aquellos dispositivos electrónicos en busca de pruebas hasta que se puedan presentar en el juicio los materiales intervenidos.

Para cualquier proceso judicial es muy importante el cumplimiento de la cadena de custodia. En caso de que se demuestre que no se cumple. Toda la evidencia carecerá de valor.

El caso del ayuntamiento

La ciencia forense es la aplicación de la ciencia para investigar delitos y establecer hechos. Con el uso y la difusión de los sistemas digitales, como ordenadores, usb y teléfonos inteligentes, nació una nueva rama de la ciencia forense para investigar delitos relacionados: la ciencia forense informática, que más tarde se convirtió en ciencia forense digital.

Piensa en el siguiente escenario. Los agentes del orden llegan a la escena del crimen; sin embargo, parte de esta escena del crimen incluye dispositivos y medios digitales. Los dispositivos digitales incluyen ordenadores, portátiles, cámaras digitales, reproductores de música y teléfonos inteligentes, por nombrar algunos. Los medios digitales incluyen CD, DVD, unidades de memoria flash USB y almacenamiento externo.

Surgen algunas preguntas:

– ¿Cómo debe la policía recolectar evidencia digital, como teléfonos inteligentes y computadoras portátiles?

– ¿Cuáles son los procedimientos a seguir si la computadora y el teléfono inteligente están funcionando?

– ¿Cómo transferir la evidencia digital?

– ¿Existen ciertas mejores prácticas a seguir al mover computadoras, por ejemplo?

– ¿Cómo analizar la evidencia digital recolectada?

El almacenamiento de dispositivos personales varía entre decenas de megabytes, gigabytes y hasta terabytes. ¿Cómo se puede analizar esto?

Recientemente hubo un incidente de seguridad en la oficina del Ayuntamiento de Sevilla. Al parecer aprovechando los días festivos de las fechas navideñas, unos delincuentes aprovecharon una venta abierta de la segunda planta, para introducirse dentro de las oficinas del ayuntamiento y robar algunos documentos. También se encontró el ordenador del jefe de servicio de informática apagado, cuando normalmente siempre lo deja encendido.

Si bien la policía local hizo un buen trabajo, tuvieron que llamar a los expertos forenses para analizar mejor la escena del crimen.

Introducción a la informática forense

Bienvenido al apasionante mundo del análisis forense, hay muchas formas de enfocar este curso, pero para los que no han tenido experiencia con esta disciplina es recomendable empezar por la definición:

“El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examen forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructuras tecnológicas que permiten identificar, preservar, analizar y presentar datos válidos dentro de un proceso legal. Dichas técnicas incluyen reconstruir elementos informáticos, examinar datos residuales, autenticar datos y explicar las características técnicas del uso de datos y bienes informáticos.” Fuente: Wikipedia

Esta disciplina no sólo hace uso de tecnologías de punta para mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados de informática y sistemas para identificar lo que ha ocurrido dentro de cualquier dispositivo electrónico. La formación de un informático forense abarca no sólo el conocimiento del software, sino también de hardware, redes, seguridad, hacking y recuperación de información.

La informática forense ayuda a detectar pistas sobre ataques informáticos, robos de información, conversaciones o para recolectar evidencias en correos electrónicos y chats.

La evidencia digital o electrónica es sumamente frágil, de ahí la importancia de mantener su integridad; por ejemplo, el simple hecho de pulsar dos veces en un archivo modificaría la última fecha de acceso del mismo.

Así que en resumen si hablamos de computación forense, no es otra cosa que una serie de procedimientos en relación a la evidencia para descubrir e interpretar la información en los medios informáticos, con el fin de establecer hipótesis o hechos relacionados con un caso.

Fases del análisis forense

Como podrás imaginar el ámbito de aplicación es muy amplio, dentro de la disciplina de la informática forense, se pueden encontrar varias especialidades, como la informática forense aplicada a drones, informática forense de redes, informática forense de móviles, informática forense de IoT, informática forense industrial, informática forense de impresoras, informática forense de software, entre otros.

Independientemente de la especialización que se tenga, toda la informática forense comparte una serie de procedimientos o “procesos de cómputo forense”. 

Usualmente el procedimiento es pido en cinco fases que nos ayudan a mantener un estudio estructurado, facilitando la verificabilidad, la reproducibilidad del análisis, entre los cuales podemos encontrar:

1. Adquisición:

En esta fase se obtienen copias de la información que se sospecha que puede estar vinculada con algún incidente. De este modo, hay que evitar modificar cualquier tipo de dato utilizando siempre copias bite a bite con las herramientas y dispositivos adecuados. Cabe aclarar este tipo de copia es imprescindible, debido a que nos dejara recuperar archivos borrados o particiones ocultas, arrojando como resultado una imagen de igual tamaño al disco estudiado.

Una vez realizado, es necesario etiquetar el medio con fecha y hora acompañado de la persona responsable, las muestras deberán ser aisladas en recipientes que no permitan el deterioro ni el contacto con el medio. En muchos casos, esta etapa es complementada con el uso de fotografías con el objetivo de plasmar el estado de los equipos y sus componentes electrónicos. Si la situación lo requiere, este acto se suele hacer ante un fedatario público o similar para garantizar que la evidencia no es alterada, ni se añade o modifica nada.

En este proceso, se recomienda la utilización de guantes, bolsas antiestáticas y jaulas de Faraday para depositar dispositivos que puedan interaccionar con ondas electromagnéticas como son los celulares.

La adquisición de muestras debe respetar una regla fundamental que está ligada a la volatilidad de las muestras, por lo que se deberán recolectar en el orden de la más volátil en primera instancia a la menos, sobre el final. A modo de ejemplo, podríamos indicar que primero deberíamos recolectar datos relevantes a la memoria, contenidos del caché y como último paso recolectar el contenido de documentos o información que esté disponible en el soporte de almacenamiento.

Hay que recordar que las RFC son un conjunto de documentos que sirven de referencia para estandarizaciones, normalizaciones en comunicaciones y tecnología. De esta forma consultando la RFC 3227, podremos relevar con mayor profundidad todo lo que compete a esta etapa.

Como ejercicio te recomendamos que visites este link: https://www.rfc-editor.org/rfc/rfc3227.html

Acciones que deben evitarse:

Se deben evitar las siguientes acciones con el fin de no invalidar el proceso de recolección de información, ya que debe preservarse su integridad con el fin de que los resultados obtenidos puedan ser utilizados en un juicio en el caso de que sea necesario:

• No apagar el ordenador hasta que se haya recopilado toda la información.
• No confiar en la información proporcionada por los programas del sistema ya que pueden haberse visto comprometidos. Se debe recopilar la información mediante programas desde un medio protegido como se explicará más adelante.
• No ejecutar programas que modifiquen la fecha y hora de acceso de todos los ficheros del sistema.

Consideraciones sobre la privacidad:

• Es muy importante tener en consideración las pautas de la empresa en lo que a privacidad se refiere. Es habitual solicitar una autorización por escrito de quien corresponda para poder llevar a cabo la recolección de evidencias. Este es un aspecto fundamental ya que puede darse el caso de que se trabaje con información confidencial o de vital importancia para la empresa, o que la disponibilidad de los servicios se vea afectada.
• No hay que entrometerse en la privacidad de las personas sin una justificación. No se deben recopilar datos de lugares a los que normalmente no hay razón para acceder, como ficheros personales, a menos que haya suficientes indicios.

2. Preservación

En esta etapa se debe garantizar la información recopilada con el fin de que no se destruya o sea transformada. Es decir que nunca debe realizarse un análisis sobre la muestra incautada, sino que deberá ser copiada y sobre la copia se deberá realizar la pericia. De este modo, aparece el concepto de cadena de custodia, la cual es un acta en donde se registra el lugar, fecha, analista y demás actores que manipularon la muestra. En muchos casos deberemos utilizar las técnicas de Hashes para identificar de forma unívoca determinados archivos que podrían ser de gran utilidad para la investigación.

3. Análisis

Una vez obtenida la información y preservada, se pasa a la parte más compleja. Sin duda, es la fase más técnica, donde se utilizan tanto hardware como software específicamente diseñados para el análisis forense. Si bien existen métricas y metodologías que ayudan a estructurar el trabajo de campo, se podrán obtener grandes diferencias dependiendo de las herramientas que se utilicen, las capacidades y experiencia del analista, en este curso veremos algunas de las más populares.

Recuerda que la ciencia forense, por lo general busca contestar una serie de cuestiones. Las más clásicas son: ¿Cómo pasó?, ¿Cuándo pasó?, ¿quién es el autor?, etc. Una vez que tengamos claro qué estamos buscando, esto dará un enfoque más claro a la hora de ir a buscar pruebas. Sin embargo, el estudio de la línea de tiempo (timeline), logs de accesos y una descarga de la memora RAM será muy útil para la mayoría de las pericias. Pero esto no tiene que ser siempre así en casos como por ejemplo que han sucedido hace ya bastante tiempo. Donde toda la información “volátil” no aporta nada al caso. Ese es el gran dilema de los forenses, si actuar “en caliente” o “en frio”. Hay que tener en cuenta que, al actuar con un dispositivo en caliente, corremos el riesgo de alterar el estado de la evidencia, ya que interactuar con el dispositivo, estamos modificando elementos del mismo. Por eso, es muy importante en esta instancia la evaluación de criticidad del incidente, el tipo de incidente y lo que buscamos.

4. Documentación

Si bien esta es una etapa final, no deja de ser fundamental donde hay que ir documentando todas las acciones, en lo posible, a medida que vayan ocurriendo. Aquí ya debemos tener claro por nuestro análisis qué fue lo sucedido, e intentar poner énfasis en cuestiones críticas y relevantes a la causa. Debemos citar y adjuntar toda la información obtenida, estableciendo una relación lógica entre las pruebas obtenidas y las tareas realizadas, asegurando la repetibilidad de la investigación. Recordar que la ciencia forense digital es una ciencia y por lo tal debe ser reproducible y cualquier perito que repita los mismos pasos, deberá llegar a las mismas conclusiones.

5. Presentación

Normalmente se suelen usar varios modelos para la presentación de esta documentación. Por un lado, se entrega un informe ejecutivo mostrando los rasgos más importantes de forma resumida y ponderando por criticidad en la investigación sin entrar en detalles técnicos. Este informe debe ser muy claro, certero y conciso, dejando afuera cualquier cuestión que genere algún tipo de duda. Un segundo informe llamado “Informe Técnico” es una exposición que nos detalla en mayor grado y precisión todo el análisis realizado, resaltando técnicas y resultados encontrados, poniendo énfasis en modo de observación y dejando de lado las opiniones personales.

Si bien podemos encontrar muchas metodologías y subvariantes. Estos son los pasos más generales. Pero si queremos ir más al detalle, podemos detallarlo de la siguiente manera.

Conclusiones

Todo reporte, informe forense debe cerrarse con una conclusión. En donde debería de empezar con frases como: “A juicio del perito, basado en las evidencias analizados se concluye que…” Y se llega así a una serie de conclusiones que a menudo están relacionadas con las interrogantes del caso. Intentando contestar en esas conclusiones las preguntas que motivaron la acción forense. Por ejemplo, en un caso de un incidente, se podría concluir, la fecha que fue comprometido el dispositivo, el origen del ataque, la última persona que tuvo acceso y concluir indicando los siguiente. El equipo fue comprometido el 3 de enero de 2023 a las 14:15 horas mediante una conexión remota desde la IP: 172.20.3.4 autenticándose con el usuario “dbk”, el cual una vez dentro ejecutó el archivo hackrocks.exe cifrando todos los documentos.

Como hemos podido observar, la ciencia forense es fundamental para explicar qué ha sucedido en un sistema informático. Y recuerda, el proceso de análisis forense siempre deberá de cumplir con las siguientes características:

• Verificable
• Reproducible
• Documentado
• Independiente