• Fecha: Jul 15, 2005
  • Comentarios: no hay comentarios
  • Categorias: Sin categoría

Fuente: Revista Contaduría Pública Autor: Andrés Velázquez, CISSP

Cada crimen tiene una “escena del crimen” que puede llegar a ser asegurada para buscar evidencia; pero algunas veces, la evidencia que se tiene que analizar no es una gota de sangre, una huella digital o la fibra de una alfombra. Son los bits y los bytes contenidos en un disco duro de una máquina. En estos casos, los investigadores necesitan tener el conocimiento necesario y la experiencia para poder obtener evidencia que puede estar dentro de la computadora, pero otras veces se encuentra escondida dentro de la misma.

En el caso que el crimen se haya cometido, es necesario hacer la investigación de lo que sucedió con esa computadora, pero si el crimen todavía no se comete; los investigadores deben de obtener evidencias y poder mantener una vigilancia para poder encontrar al sospechoso.

Pareciera cosa de un programa de investigación de la televisión o el cine; pero esta es la realidad. Hoy en día, por medio del cómputo forense, se pueden llegar a descifrar muchos delitos informáticos; delitos que son realizados usando la computadora como un medio para cometer el delito o simplemente cuando alguien ataca una computadora para poder sustraer información de ella, algo que conocemos como robo de secretod industriales o de información confidencial.

En México, se han realizado fraudes por cerca de $1.38 millones de pesos en un año por medio de Internet; según estadísticas de la Policía Federal Preventiva, quien cuenta con la Policía Cibernética para poder seguir delitos principalmente de pornografía infantil y asesorar a la ciudadanía en cuestión de fraudes en Internet.

El cómputo forense es una disciplina que permite identificar, analizar, preservar y presentar evidencia digital obtenida de infraestructura tecnológica de tal manera que sea válida en un proceso legal, pero muchas de las veces el proceso se convierte únicamente en interno, ya que muchas empresas deciden el no denunciar al respecto, pero también hay muchas que sí lo hacen.

Esta infraestructura tecnológica puede ser desde un teléfono celular, una cámara digital, una computadora, una impresora, una memoria digital o hasta una agenda o asistente personal (PDA). Todos estos elementos hoy en día tienen memoria, dispositivos que poco a poco se convierten en computadoras, ya que por ejemplo en un celular ya podemos tomar fotografías y almacenarlas en el mismo teléfono.

Delitos como el secuestro, fraude en portales financieros, fraudes en general, pornografía infantil, narcotráfico y pornografía son hoy por hoy investigados por personas especialistas en el área en todo el mundo. Pero no nada mas el cómputo forense se realiza de manera judicial o pericial para poder presentarlo ante la ley; el cómputo forense también puede ser utilizado como herramienta dentro de las empresas para poder determinar si alguien está realizando un fraude, ha robado información propietaria o secretos industriales. En pocas palabras, para poder determinar qué fue lo que pasó en la computadora o infraestructura de cómputo.

A diferencia con la disciplina forense tradicional, tenemos también una escena del crimen, la cual puede ser una computadora o un archivo. Uno de características principales de la investigación de infraestructura tecnológica es la fragilidad de la evidencia. Por ejemplo, al abrir un archivo de texto, con el simple hecho de darle doble clic a el archivo, se modifica la última fecha de acceso al mismo, por lo tanto, ¿cómo podemos mantener la evidencia sin ningún cambio?

Esta es una de las partes más difíciles dentro de la investigación, ya que con un simple cambio a la evidencia digital, ésta puede ser descartada por el mal manejo que haya tenido el investigador.

Si seguimos con la analogía con un caso normal, el arma dentro de una computadora puede llegar a ser una acción, o un flujo de datos que al llegar a la computadora desaparece y no es posible saber de ella. Por lo mismo, son muchos elementos los que hay que tomar en cuenta para poder hacerla investigación.

El cómputo forense se divide en cuatro pasos principales: Identificación, Preservación, Análisis y Presentación.

Identificación

En este paso, es necesario poder identificar lo que tenemos que investigar, desde computadoras, CDROM’s, memorias, e incluso papeles que pudieran estar cerca de la computadora. Muchas veces en esos papeles podemos encontrar información que puede llegar a servir para poder completar ciertos procesos de investigación.

En algunos casos, no es necesario ir hasta la escena del crimen, dado a que la misma escena es únicamente la computadora, por lo cual es necesario obtener la computadora.

Si la computadora fue asignada a una persona diferente una vez que se cometió el delito y la otra persona hace uso de la computadora por un período de tiempo, no es posible regresar o poder hacer la comprobación de que la información contenida en esa máquina fue de esa persona.

Es por ello que es muy importante que una vez que se detecta el fraude o el posible delito, aislar la máquina para que el investigador la pueda obtener sin ninguna alteración.

Preservación

Es uno de los pasos clave dentro de la investigación. Como lo comentaba anteriormente, es necesario mantener la integridad de la evidencia digital, y para ello usamos varios mecanismos que van desde generar un “clon” de el disco, llamado “Imagen Forense” para poder trabajar sobre él y no sobre la evidencia original. Pero aún así, hay una pregunta clave: ¿cómo podemos asegurar que lo que se recolectó como evidencia digital es exactamente igual a lo que se analiza y a lo que se entrega al finalizar el proceso?

Por medio de una función matemática, podemos generar algo muy parecido a una huella digital de un disco duro. Si un bit (mínima expresión de almacenamiento en medios magnéticos) es alterado, entonces la huella digital del disco duro cambiará.

Análisis

Una vez que se generó la imagen forense de los medios de almacenamiento se procede a realizar la investigación, la cual puede llegar a ser tan cansado como el mismo caso. He tenido casos donde se resuelven en una semana y algunas veces se realizan hasta seis u ocho meses de trabajo en un solo caso. Imagine que tiene una computadora normal, que tiene 60 GB (Gigabytes) de disco duro, eso es aproximadamente, haciendo una analogía con papel, como 51 millones y medio de hojas de papel impresas.

En esta etapa, se utilizan diferentes mecanismos y metodologías para poder llegar a obtener evidencia, por ejemplo, si alguna persona guardó un archivo en una memoria externa de USB o si alguien mandó un correo (aunque haya sido borrado).

La recuperación de los archivos borrados dentro de la computadora es un elemento clave dentro de la investigación. Ya que normalmente pensamos como usuarios que el borrar o “formatear” la computadora va a evitar que los demás accedan a la información. Esto es completamente falso, ya que al borrar un archivo simplemente quitamos el índice donde se encontraba, pero el archivo sigue en la computadora y es completamente recuperable. La única manera de no recuperar el archivo es si es sobrescrito ya sea por un proceso o por otro archivo que se alojará en el mismo espacio.

Se puede llegar en algunos casos hasta obtener todas las acciones que el usuario de la máquina ejecutó en los últimos días, como por ejemplo, las acciones en Internet, los archivos de sonido, los correos electrónicos, etc.

Reporte

Es una de las partes más difíciles que uno se puede llegar a enfrentar como investigador, y esto sucede porque al generar un reporte para poder explicar qué fue lo que pasó dentro de la computadora, normalmente estos reportes llegan a personas que no conocen de computadoras y es por ello que hay que realizarlo en un lenguaje coloquial, sin hacer uso de tecnicismos.

Por medio de este disciplina se han podido resolver casos como la identificación y comprobación de personal que esta realizando fraudes internos, personas que han atacado a sistemas federales, pedófilos que venden fotografías por medio de Internet, e incluso identificar cuando los bancos son defraudados por medio de Internet.

Una parte fundamental del cómputo forense es el establecer la cadena de custodia, un procedimiento para poder comprobar todo lo que el examinador o investigador ha realizado a la evidencia desde el momento en que identificó la evidencia hasta su presentación. Esta cadena de custodia permite que si es necesario que otro investigador realice el mismo proceso, debe llegar al mismo resultado.

Pero, entonces, ¿porqué no hay mucha información acerca de esta disciplina?

La respuesta es muy sencilla, para poder realizar esto es necesario tener un marco legal que lo soporte de una mejor manera. En estos momentos, en México contamos con muy poca legislación al respecto.

En México podemos identificar y aceptar medios electrónicos como pruebas dentro de una denuncia, pero muchas veces la tipificación directa de un delito informático no se encuentra.

Durante un proceso legal, el cómputo forense puede ser utilizado como peritaje para poder brindar evidencia acerca de acciones que se encontraron dentro de una computadora.

Como ya lo dijimos, quienes van a requerir de esta disciplina van a ser las fuerzas policiacas, los abogados para poder realizar los peritajes de sus clientes, las agencias federales y las empresas. Pero también algo que ha empezado a cambiar dentro de el mundo de la tecnología son las aseguradoras, quienes ya cuentan con seguros para la protección de información o los famosos “Seguros contra Hackers”, es por eso que para poder comprobar que la información fue alterada y que fue por un tercero se llega a hacer uso del cómputo forense.

Pero el cómputo forense no solo se realiza a computadoras como lo dijimos, en México en los últimos años ha venido incrementándose la difamación por medio de correo electrónico, el cual es rastreable por medio de esta disciplina.

El Cómputo forense es una disciplina nueva, muy interesante y que poca gente ha iniciado en ella dado a que se requiere conocimiento en diferentes sistemas, un poco de criminalística, técnicas investigativas y legislación. Pero a diferencia de las demás áreas de la seguridad informática, este es un proceso totalmente reactivo, ya que se ejecuta cuando algo ha sucedido dentro de la computadora y es necesario volver al pasado por medio de estas técnicas para descifrar lo que ha pasado.

Esperemos que esta disciplina cobre mayor auge en México y que la legislación que requerimos para poder realizarla se pueda concluír.

Compartir:

No Comments Yet.

Deja un comentario

Your email address will not be published.