Análisis forense de sistemas informáticos

La informática forense, o análisis forense digital, es la disciplina que se encarga, como parte de la demostración objetiva de la comisión de un delito, de la recopilación, recuperación y análisis de los datos contenidos en todo tipo de dispositivos con capacidad para almacenar datos digitales. Esta labor es importante en los procesos judiciales, pero también puede emplearse en el sector privado (por ejemplo, para las comprobaciones internas de las empresas o las investigaciones en caso de intrusión en la empresa y/o en su infraestructura informática)

El desarrollo de la informática forense, o análisis forense digital, está marcado por la aparición en el mercado de cada vez más tipos de dispositivos digitales. Ello exige la creación de nuevas herramientas de análisis de software diferentes. En cuanto a los contenidos de esta disciplina, la informática forense se rige por consideraciones jurídicas, ya que las leyes de cada país establecen en qué medida y hasta qué punto se pueden analizar los datos digitales (protección de datos, etc.). A continuación se ilustran los aspectos técnicos de la informática forense.

Procesos técnicos de la informática forense

La informática forense es una disciplina relativamente joven que empezó a practicarse en los años 80 con el análisis directo de los medios digitales. Para obtener pruebas, los investigadores examinaban la "vida interior" de los ordenadores con ayuda de las herramientas de administración del sistema (Sysadmin). No obstante, esa forma de proceder podía ocasionar la modificación de los datos, lo que a su vez podía dar lugar a alegaciones de falsificación de las pruebas.

Ello condujo a la adopción de otro enfoque, el análisis forense, que se compone de tres pasos:

  • Identificación y preservación de los datos con el fin de crear un duplicado forense, es decir, una copia exacta de los datos de un soporte digital, sin modificar los datos originales.
  • Análisis de los datos así protegidos por medio de un software especial y de métodos para la recopilación de pruebas. Medidas típicas son, por ejemplo, la búsqueda de contraseñas, la recuperación de archivos borrados, la obtención de información del registro de Windows (base de datos de registro), etc.
  • Elaboración de un informe por escrito sobre las evidencias descubiertas en el análisis y en el que se incluyan también las conclusiones extraídas del estudio de los datos y de la reconstrucción de los hechos o incidentes.

Para preservar y analizar datos en el contexto de una investigación se requiere un software muy especializado. Los jueces deben poder confiar en que las herramientas de análisis forense empleadas en la investigación son fiables y satisfacen los requisitos. En EE. UU. se emplea el estándar de Daubert para regular la admisibilidad de las herramientas y procesos forenses. Este estándar exige que la tecnología y las herramientas de software empleadas en una investigación sean sometidas a una prueba empírica y comprobadas por especialistas, y que los resultados obtenidos puedan ser reproducidos por otros expertos.

Los aspectos técnicos de la informática forense están determinados también por el tipo de soportes digitales que se investigue. Por ello, la informática forense se divide en varias ramas que se ocupan del análisis de ordenadores, redes, bases de datos y dispositivos móviles con fines forenses. Ésta última en especial tiene que hacer frente a los desafíos que se derivan de la naturaleza propietaria de los aparatos móviles.

Desarrollo de estándares y cuestiones sin resolver

Los análisis forenses y todos los aspectos legales relacionados con los mismos exigen mucho de las herramientas de software, lo que plantea la necesidad de su estandarización. No obstante, ello se complica debido a las numerosas cuestiones que aún quedan por resolver. Los expertos atribuyen este hecho a la creciente diversidad y capacidad de los soportes digitales, a la disponibilidad de mecanismos de codificación para consumidores finales, a la continua aparición de nuevos sistemas operativos y formatos de archivo, así como a las limitaciones y cuestiones jurídicas relevantes.

Herramientas de software forense de alta calidad

Las herramientas de software desarrolladas para la informática forense son muy especializadas. Existen herramientas de código abierto (por ejemplo, Helix, LiveView), pero no siempre disponen de un servicio de soporte directo inmediato. Las soluciones de software comerciales (por ejemplo, Blade, EnCase, FTK Manager) son bastante caras. Para garantizar la integridad de las investigaciones, estas herramientas de software deben estar correctamente registradas y contar con una licencia válida. En ocasiones es necesario también emplear varias herramientas.

Una gran parte de este software está protegido mediante dongles USB. Craig Wilson, de Digital Detective, un proveedor británico líder de soluciones de software de análisis forense de sistemas informáticos, explica a este respecto:

„En la informática forense se emplean cada vez más los dongles USB para la concesión de licencias de software. Los que se dedican a la práctica de esta disciplina tienen, por regla general, todas las licencias correspondientes a las herramientas de software que utilizan a diario. A ellas se suman no obstante un número cada vez mayor de herramientas que se emplean ad hoc, y si dichas herramientas son caras, a menudo un laboratorio sólo adquiere una licencia. Cuando la licencia para estas herramientas de software se concede mediante un dongle USB surge el problema de cómo custodiar de forma segura ese pequeño pedazo de plástico al tiempo que se garantiza que todo el que lo necesite pueda disponer de él.”

Nuestro servidor de dongles myUTN-80 es la solución perfecta para administrar de forma segura estas valiosas dongles y ponerlos a disposición de los usuarios que las necesiten.