De forensia digital y los menesteres de la recuperacin d...

http://www.bsecure.com.mx/featured/de-forensia-digital-y...

Reciba nuestro newsletter

Suscrbase a nuestras revistas

Podcast

BriengCenters

Analytics

RSS Otros sitios de Netmedia Netmedia

InformationWeek

18 July, 2013

De forensia digital y los menesteres de la recuperacin de archivos

Por Andrs Velzquez
Email | Desea imprimir? Regstrese ahora

Follow @bsecuremagazine Sigue a Andrs en Twitter en @cibercrimen Recientemente varias personas me han comentado que se est produciendo una serie de confusiones en el mercado mexicano respecto a los servicios de forensia digital. Esto se debe a que si bien hay varias empresas que, en teora, se dedican a lo mismo, muchas ofrecen servicios principalmente de recuperacin de informacin, sin darse cuenta de que la forensia digital es un proceso ms complejo y sosticado, que utiliza en alguna parte la recuperacin de datos, pero slo como un elemento de un largo trabajo de investigacin. Cul es la diferencia? Para empezar, la recuperacin de informacin de un disco duro o memoria informtica es un procedimiento tcnico que termina justo en el momento en que se pudieron extraer los archivos que se estaban buscando, mientras que el trabajo de un forense digital inicia en el momento en que hemos recuperado los datos, cuando iniciamos la vinculacin de hechos en torno al dispositivo en el que trabajamos. Adems, los forenses digitales tenemos que seguir un protocolo estricto y tratar cada dispositivo que vamos a analizar (sean desde celulares y USB, hasta computadoras y servidores) como escenas de un crimen, pues la idea es que lo que encontremos sirva como pruebas vlidas en un proceso legal. Adicionalmente, los forenses no analizamos la memoria original donde se encuentran los documentos, sino que, para preservar las pruebas originales, primero hacemos una copia forense del disco o memoria, bit a bit, y esa copia es la que se analiza. De esta manera, analizamos log por log, archivo por archivo, para encontrar las pruebas que buscamos. Una vez que encontramos una pista, le seguimos el rastro para reunir la mayor evidencia posible. Reconstruimos el camino que siguieron los acontecimientos del cibercrimen (cuando se trata de un fraude, un robo de informacin o un ataque), para encontrar al responsable y lo hacemos con el mximo cuidado posible para asegurar que la informacin en la memoria del sistema se conserva intacta, ya que la evidencia digital es sumamente frgil. Por este motivo tambin, el anlisis forense digital se realiza en un laboratorio forense, que cuente con un ambiente adecuado y con las herramientas que permitan realizar las imgenes forenses y su anlisis con la mnima invasin, asegurando la integridad de la evidencia. Es as como logramos recuperar conversaciones de mensajera instantnea, mensajes de texto, fotos, audios, videos, correos electrnicos, y podemos saber quin se rob qu archivo, usando qu memoria USB, qu conectaron a qu hora y desde qu mquina. Todo esto requiere que los investigadores forenses estn altamente especializados: adems de la base de estudios en sistemas de cmputo, deben tener certicaciones en seguridad, en forensia digital como tal, y en procedimientos de investigacin. Como los forenses tambin tenemos que explicar nuestros informes a los clientes y a las autoridades de una manera que se entienda, es necesario aprender cierto nivel de oratoria y tener conocimientos legales para raticar los periciales ante un juez, en un proceso legal, de ser necesario. En resumen, un forense no nada ms se mete a un disco a recuperar informacin. Analiza la informacin de un disco aplicndole tcnicas forenses, cientcas y analticas para ver qu es lo que necesita recuperar (las pruebas) y cmo tiene que hacerlo para no alterar los archivos, luego crea un patrn de comportamiento, asegura el dispositivo siguiendo una cadena de custodia, revisa el entorno legal que protege el bien y presenta un informe con los resultados obtenidos. Ahora que ya sabe lo que puede hacer un verdadero forense, recurdelo: Si alguna persona o empresa le dice que ofrece servicios de forensia digital porque puede recuperar la informacin que hayan borrado de un sistema de cmputo, o que est guardada en un disco duro daado, no se deje engaar. Eso es solo recuperacin de informacin, no forensia digital. Lo que obtendr ser cualquier archivo que pueda ser recuperado, y ya. Pero no tendr un perl con las pruebas de quin le rob sus secretos y cmo lo hizo, por ejemplo, o quin puede estarlo extorsionando y si alguien ms le ayuda. Ms importante an, este tipo de empresas no podr soportar los archivos encontrados como pruebas en un procedimiento legal.

1 de 2

23/07/13 07:57

De forensia digital y los menesteres de la recuperacin d...

http://www.bsecure.com.mx/featured/de-forensia-digital-y...

Andrs Velzquez es un especialista mexicano en delitos informticos, presidente y fundador de MaTTica; cuenta con las certicaciones CISSP, GCFA, ACE, IAM, IEM y BS7799.

Artculos relacionados
Descubren malware que obliga a equipos a robar dinero digital La importancia de la evidencia y el anlisis forense digital Conanza digital como elemento legal

Tweet

2 de 2

23/07/13 07:57