Twitter Pinterest LinkedIn YouTube Google Maps E-mail RSS
formats

¿En qué consiste la Informática Forense?, herramientas asociadas.

Publicado en 22 julio, 2012, por en Varios.



Hace un años atrás, las computadoras eran máquinas colosales que sólo eran utilizadas por corporaciones multinacionales y agencias gubernamentales en países poderosos. Estas máquinas eran tan grandes y tan complejas, que inclusive requerían sus propios ambientes con temperatura controlada, para que los equipos funcionaran apropiadamente. Desde ese tiempo, podemos decir que han sufrido una metamorfosis hasta convertirse en equipos domésticos comunes, tan comunes que forman parte de nuestra vida cotidiana, como un teléfono o como un televisor.

En vista de que la mayoría de nosotros usamos las computadoras para comunicarnos, aprender, trabajar e inclusive para entretenimiento, llegamos a percibir a nuestros computadores como una extensión de nosotros mismos. Por esta razón, nuestras computadoras, en la mayoría de los casos, contienen información muy importante que puede ser usada como prueba o evidencia en procesos legales, tanto en materia penal como en civil, inclusive en el caso en que la evidencia no sea directamente relacionada con las computadoras.

El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.

La Informática forense permite la solución de conflictos tecnológicos relacionados con seguridad informática y protección de datos. Gracias a ella, las empresas obtienen una respuesta a problemas de privacidad,competencia desleal, fraude, robo de información confidencial y/o espionaje industrial surgidos a través de uso indebido de las tecnologías de la información.

Mediante sus procedimientos se identifican, aseguran, extraen, analizan y presentan pruebas generadas y guardadas electrónicamente para que puedan ser aceptadas en un proceso legal.

- ¿Para qué sirve?

Para garantizar la efectividad de las políticas de seguridad y la protección tanto de la información como de las tecnologías que facilitan la gestión de esa información.

- ¿En qué consiste?

Consiste en la investigación de los sistemas de información con el fin de detectar evidencias de la vulneración de los sistemas.

- ¿Cuál es su finalidad?

Cuando una empresa contrata servicios de Informática forense puede perseguir objetivos preventivos, anticipándose al posible problema u objetivos correctivos, para una solución favorable una vez que la vulneración y las infracciones ya se han producido.

- ¿Qué metodologías utiliza la Informática forense?

Las distintas metodologías forenses incluyen la recogida segura de datos de diferentes medios digitales y evidencias digitales, sin alterar los datos de origen. Cada fuente de información se cataloga preparándola para su posterior análisis y se documenta cada prueba aportada. Las evidencias digitales recabadas permiten elaborar un dictamen claro, conciso, fundamentado y con justificación de las hipótesis que en él se barajan a partir de las pruebas recogidas.

- ¿Cuál es la forma correcta de proceder? Y, ¿por qué?

Todo el procedimiento debe hacerse tenido en cuenta los requerimientos legales para no vulnerar en ningún momento los derechos de terceros que puedan verse afectados. Ello para que, llegado el caso, las evidencias sean aceptadas por los tribunales y puedan constituir un elemento de prueba fundamental, si se plantea un litigio, para alcanzar un resultado favorable.

En resumen, estamos hablando de la utilización de la informática con una finalidad preventiva, en primer término. Como medida preventiva sirve a las empresas para auditar, mediante la práctica de diversas pruebas técnicas, que los mecanismos de protección instalados y las condiciones de seguridad aplicadas a los sistemas de información son suficientes.

Asimismo, permite detectar las vulnerabilidades de seguridad con el fin de corregirlas. Cuestión que pasa por redactar y elaborar las oportunas políticas sobre uso de los sistemas de información facilitados a los empleados para no atentar contra el derecho a la intimidad de esas personas.

Por otro lado, cuando la seguridad de la empresa ya ha sido vulnerada, la informática forense permite recoger rastros probatorios para averiguar, siguiendo las evidencias electrónicas, el origen del ataque (si es una vulneración externa de la seguridad) o las posibles alteraciones, manipulaciones, fugas o destrucciones de datos a nivel interno de la empresa para determinar las actividades realizadas desde uno o varios equipos concretos.

La Informática Forense puede ser usada para descubrir evidencia potencial en una variedad de casos, incluyendo:

- Delitos contra la Propiedad Intelectual, en caso de Software Pirata o documentos con el debido registro de derechos de Autor.
- Robo de Propiedad Intelectual y Espionaje industrial (que aunque no se crea, sí existe en nuestro país).
- Blanqueo de Dinero, vía transferencia de fondos por Internet.
- Acoso Sexual (vía e-mail); Chantaje o amenazas (vía e-mail).
- Acceso no autorizado a propiedad intelectual.
- Corrupción.
- Destrucción de Información Confidencial.
- Fraude (en apuestas, compras, etc. Vía e-mail).
- Pornografía en todas sus formas, inclusive en la más devastadora: Pornografía infantil.

 

Veamos alguna utilidad práctica empleando software, para:


Recuperar archivos y correos borrados, rescatar las contraseñas, escarbar en cachés e historiales, buscar documentos y adjuntos de correo, buscar clasificar y recuperar imágenes, explorar disco duro y memoria, y alguna Suite: OSForensics y Windows File Analyzer.

 

Herramientas para recuperar contraseñas.

La contraseña es un sistema de protección usado por muchos sitios web, programas de mensajería y herramientas ofimáticas. Recolectar las claves existentes permite rescatar mucha información valiosa.

Mail Passview

Nirsoft y SecurityXploded tienen muchas herramientas dedicadas exclusivamente a la recuperación de contraseñas, casi todas ejecutables desde memorias USB. Conviene recordar que solo obtienen contraseñas almacenadas sin protección y que para romper el cifrado es necesario recurrir a ataques criptográficos (por ejemplo, con Cain & Abel)

Explorar el disco duro y la memoria

Al examinar un ordenador, necesitarás una visión global de carpetas y archivos; SpaceSnifferScanner o WinDirStat Portable ofrecen resúmenes rápidos del reparto de espacio en los discos duros. Para crear una base de datos de carpetas, usa getFolder y FileLister.

SpaceSniffer

Por último, puede darse el caso de que el ordenador al que has accedido esté todavía encendido y con programas abiertos. Comprueba qué archivos están en uso con OpenedFilesView y analiza la memoria con la ayuda de un editor hexadecimal (por ejemplo, WinHex o HxD).

Más avanzados son MoonSols Windows Memory Toolkit y Volatility Framework, que analizan volcados de memoria y ficheros de hibernación de Windows, trozos de memoria “congelados” que pueden contener información valiosa.

Recuperar archivos y correos borrados.

A menos que alguien lleve a cabo limpiezas periódicas del espacio vacío (por ejemplo, con Disk Wipe) o trabaje en entornos temporales (como Live-CD o máquinas virtuales), recuperar los archivos borrados no solo es posible, sino también muy sencillo.

DiskDigger

Algunas de las herramientas más eficaces para este cometido son DiskDiggerRecuvaPandora Recovery oTestDisk, que rescata incluso particiones perdidas y sectores de arranque.

Si los datos se encuentran en CD y DVD ilegibles, vale la pena intentar una lectura de bajo nivel con ISOBuster. Para correos borrados en Outlook Express, Format Recovery es una buena opción gratuita.

 

Keyloggers.

El software keylogger, también conocido como “Software de registro de actividades del Computador” o “keylogger”, es un programa que registra secretamente todas las actividades que tuvo lugar en un equipo, en redes de computadores, de manera individual o corporativa. Y cuando se dice “todas las actividades”, se refiere a cada golpe de teclado mecanografiados, el uso del internet, los sitios web visitados, las conversaciones de chat, palabras “claves”, documentos impresos, la creación o modificación de archivos, imágenes, correos enviados y recibidos, que dependiendo de la sofisticación del software keylogger que es usado, permiten realizar un análisis de lo que ocurre en un computador de un empleado en particular o en redes de computadoras en empresas de gran volumen.

1) REFOG

2)  Super Free Keylogger

3) Revealer Keylogger Free Edition

Free Keylogger

Suites

OSForensics es una suite de informática forense con una serie de utilidades únicas: buscador de texto, índice de contenidos del disco, analizador de actividad reciente, búsqueda de archivos borrados o discordantes y visor de memoria y disco.

OSForensics

La particularidad de OSForensics, además de concentrar varias herramientas en una sola ventana, es su gestor de casos, útil para organizar los datos de distintas investigaciones.

Más sencillo es Windows File Analyzer, que explora en las bases de datos de miniaturas (los archivos Thumbs.db), archivos de precarga (Prefetch), documentos recientes, historial de Internet Explorer y basura de la Papelera.

Windows File Analyzer

 

WinHex: Software para informática forense y recuperación de archivos, Editor Hexadecimal de Archivos, Discos y RAM

WinHex es un editor hexadecimal universal, y al mismo tiempo posiblemente la más potente utilidad de sistema jamás creada. Apropiado para informática forense, recuperación de archivos, peritaje informático, procesamiento de datos de bajo nivel y seguridad informática.

Capturas

Enlace de descarga :http://www.winhex.com/winhex/index-e.html

Autopsy Forensic Browser

Enlace de descarga: http://www.sleuthkit.org/autopsy/desc.php

OXYGEN FORENSIC SUITE

Esta suite es interesante para el análisis forense del iPhone: OXYGEN FORENSIC SUITE

http://www.oxygen-forensic.com/en/#unique

Para Android:  MOBILedit!Forensic

Para finalizar, ten en cuenta que algunas de herramientas se distribuyen libremente, pero la legitimidad de su uso depende exclusivamente de ti. A menos que estés autorizado para acceder a un equipo informático y extraer información, conviene que no las emplees.

No me hago responsable del mal uso, ni de los enlaces relacionados de los autores de las aplicaciones.

Espero que el tema os parezca interesante, Saludos.



Por favor, comparte conocimiento o si te ha gustado colabora con contribuciones publicitarias, muchas gracias …

Una respuesta

  1. Hud

    Excelente información, me a ayudado a esclarecer algunas dudas, Gracias.

Home Varios ¿En qué consiste la Informática Forense?, herramientas asociadas.
© Blog para compartir conocimientos ...