Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
La Informática Forense en la resolución de delitos Azcoaga, Sofía; Benedetti, Santiago Simón; Berro, Camila; Terrazas, Nahuel; Kevorkian, Joaquín Universidad Tecnológica Nacional, Facultad Regional Buenos Aires {sofiaazc3@hotmail.com, santibene21@icloud.com, camiberro.cb@gmail.com, joaquinkevorkian@gmail.com, nterrazasalcocer@est.frba.utn.edu.ar} Abstract El objetivo del presente trabajo es comprender el área de la Informática Forense, de qué se trata, qué utilidad tiene y la metodología que utiliza para llevarse a cabo de manera correcta, concluyendo en la importancia de su estudio. Para lograr una buena aplicación de esta disciplina es necesario que se sigan una serie de pasos, los cuales tienen que ver con la recolección de datos, el análisis de ellos, y la realización de un reporte que permita preservar formalmente la información obtenida. Todos estos pasos utilizan una serie de herramientas que le permiten al especialista forense realizarlos de manera óptima. Palabras Clave Análisis Forense, informática, herramientas, TIC`s, metodología, organizaciones, empresas, avance tecnológico, delitos cibernéticos. 1. Introducción La Informática Forense hace referencia a una rama de la Informática que tiene sus inicios a fines de los ochenta. En ella se emplean métodos relacionados con el análisis de datos y pruebas digitales desde una máquina computacional, para la resolución o prevención de delitos, ya sean delitos de carácter informático o incluso de otros ámbitos [1]. Con el incremento en el uso de las nuevas Tecnologías de la Información y la Comunicación (TIC´s que ofrecen nuevas y mejores oportunidades que permiten diseñar, producir e innovar para aumentar la competitividad) [2], se pone en evidencia que, por más que los crímenes ocurridos no sean cibernéticos, suele existir algún dispositivo electrónico involucrado, del cual se pueden extraer pruebas [3]. En este contexto, el cómputo forense se basa en adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en soportes informáticos. Este método permite recuperar o rastrear datos que fueron eliminados o escondidos, lo que representa un avance significativo en las pericias cibernéticas [4]. La aplicación del análisis forense se realiza a través de variadas herramientas y metodologías, enfocándose en ciertas situaciones particulares, ya que no todos los casos son iguales y no todos se resuelven de la misma manera. En este contexto, el objetivo del presente trabajo (realizado en el marco de la cátedra o de cursada) es analizar el rol de la Informática Forense para la resolución de delitos. Para cumplir con el objetivo propuesto, el trabajo se estructura de la siguiente manera: en la sección 1, se define el concepto de análisis forense. En la sección 2, se analiza las ventajas y las desventajas de las TIC´s y cómo se relacionan con la Informática Forense. En la sección 3, se explican las diferentes metodologías y herramientas que permiten el análisis forense. Finalmente, en la sección 4, se detallan las conclusiones y futuras líneas de trabajo. 2. Informática Forense El Análisis Forense es un área de la Informática que trata de reconstruir cómo un sistema ha sido vulnerado tras un incidente de Seguridad mediante distintos métodos y herramientas. Este análisis permite determinar quién, desde dónde, cómo, cuándo y qué acciones ha llevado a cabo un intruso [3]. Forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en afirmar, entonces, que es la rama de la informática que interviene en la resolución de delitos por medio de la recolección, análisis y validación de pruebas digitales, convirtiéndose, así, en una disciplina auxiliar de la justicia moderna [6]. Esta ciencia permite identificar las violaciones cometidas contra los sistemas de información y mediante un análisis de los datos obtenidos es posible determinar la procedencia de las mismas, preservando los registros que luego pueden ser utilizados para conseguir justicia legal [7]. A su vez, en delitos no cibernéticos, la Informática Forense permite, de todas maneras, seguir el curso de información específica que pueda ser considerada útil como evidencia en un caso judicial, siempre y cuando la misma no haya sido alterada de ninguna manera y cualquier copia que se hubiera realizado fuera idéntica a la original. 2.1 Objetivos de la Informática Forense La Informática Forense (IF) persigue distintos objetivos: preventivos, correctivos, probatorios y auditores [8]. A continuación se detalla cada uno de ellos: Fines preventivos: ayudan a prevenir posibles delitos informáticos. Los encargados de seguridad de la empresa u organización utilizan las herramientas de la informática forense, realizando pruebas y cumple con lo deseado. Fines correctivos: si se encuentra un fallo en alguna prueba de seguridad, se utilizan las herramientas de la informática forense para corregirlo. Fines probatorios: se busca obtener información sobre la intrusión en el sistema, el traslado de datos, la creación y destrucción de archivos, etc. Se puede llegar a descubrir el o los causantes del delito, y con el conjunto de información obtenida, utilizarla como prueba con validez legal ante un juzgado. Fines auditores: relacionados con los fines correctivos, se programa una auditoría de seguridad para probar periódicamente si los sistemas de seguridad están funcionando correctamente. 2.2 Las TICs y la Informática Forense El uso de tecnologías basadas en las TIC´s (Tecnologías de Información y Comunicación) ocasiona la importante revolución económica denominada este proceso, se incrementan las relaciones entre los distintos países, lo cual permite la comunicación de las organizaciones alrededor de todo el mundo [9]. La aplicación de las TIC´s permite que, hoy en día, las empresas aprovechen los nuevos recursos tecnológicos para su propio crecimiento y les ofrece una mayor competitividad con respecto al resto de las organizaciones [10]. Las tecnologías tienen como finalidad brindar soluciones y mejoramiento para el funcionamiento óptimo de los procesos dentro de una organización, para que éstas puedan alcanzar los objetivos establecidos. El uso de las TIC´s puede ser ventajoso para las empresas. Esto es debido a su flexibilidad tanto funcional como operativa, su soporte a las necesidades de una organización y su capacidad de evolucionar constantemente [11]. Aunque parezca que las TIC´s solo tienen aplicaciones beneficiosas, éstas también poseen ciertas desventajas a tener en cuenta. Algunas de ellas son fuga de información, robo, modificación ilegal de datos, pérdida de capacidades de procesamiento y daño de equipos [12]. Una de las desventajas más significativas es la vulnerabilidad a delitos informáticos [13]. Es por ello que se deben tomar medidas preventivas para evitar que ocurran estos hechos delictivos. De todas formas, siempre existe la posibilidad de que ocurra dicha situación. El Análisis Forense es una herramienta que toma un rol muy importante a la hora de resolver este tipo de problemas [14]. El uso de las TIC´s ha ido aumentando durante los últimos años debido a que cada vez más dispositivos tecnológicos se encuentran involucrados en la sociedad o en una organización. Además, cada vez son más las empresas que están ligadas al uso de las TIC´s, lo que pone a las organizaciones en una situación de mayor vulnerabilidad a los ataques cibernéticos [15]. Entre los años 2011 y 2012, las víctimas de delitos informáticos aumentaron de un 10% a un 13% a nivel global (entre el 8% al 12% en algunos países, mientras que en casos extremos hasta un 40%) [16]. Es posible afirmar que el avance de las TIC´s en las organizaciones se encuentra en constante relación con elárea del Análisis Forense. El aumento de la aplicación de las tecnologías permite el avance y el crecimiento del área que se dedica al análisis de delitos relacionados con la información [4]. 3. Metodologías y herramientas de la Informática Forense La metodología en la cual se basa la IF consta de cuatro etapas: la primera se basa en la identificación de equipos que puedan contener evidencia y la recolección de la misma; la segunda, implica la preservación de los datos digitales y la garantía de que éstos no serán alterados o modificados; la tercera etapa se relaciona con el análisis de las copias de datos realizadas, en busca de evidencias que puedan resultar útiles; finalmente, debe realizarse un reporte de los datos utilizados, la pruebas halladas y las manipulaciones realizadas [8]. Si se tiene en cuenta lo que dice la IOCE (International Organization on Computer Evidence), hay cinco aspectos que deben ser tomados como principios para el manejo de la evidencia digital [17]: a. Sobre recolectar evidencia digital, las acciones tomadas no deben cambiar por ningún motivo esta evidencia. b. Cuando es necesario que una persona tenga acceso a evidencia digital original, esa persona debe ser un profesional forense. c. Toda la actividad referente a la recolección, el acceso, almacenamiento o a la transferencia de la evidencia digital debe ser documentada completamente, preservada y disponible para la revisión. d. Un individuo es responsable de todas las acciones tomadas con respecto a la evidencia digital mientras que esta esté en su posesión. e. Cualquier agencia que sea responsable de recolectar, tener acceso, almacenar o transferir evidencia digital es responsable de cumplir con estos principios. A continuación, se procede a desarrollar los procedimientos que sigue la metodología y las herramientas de las que se vale. En la subsección 3.1 se desarrollan las etapas de recolección y resguardo de datos. En la 3.2 se explica la etapa de análisis y confección del reporte, mientras que en la subsección 3.3 se enumeran las suites más utilizadas en este proceso. 3.1 Recolección y preservación de datos digitales Estas dos primeras etapas son una de las más críticas dentro del análisis forense, y es que el análisis posterior e investigación no serían válidos si el trabajo se realiza mal [2]. Las herramientas elegidas por los peritos para la recolección de los datos deben ajustarse a la naturaleza de los dispositivos sometidos, además de ser capaces de preservar la copia original de sus unidades de almacenamiento [18]. Para lograr esto, en algunos casos es posible emplear un aparato físico como lo es un dispositivo de bloqueo de escritura de hardware que imposibilita la alteración de un HDD mientras que también se trabaja sobre el mismo, por ejemplo, realizando su lectura y clonación. [19]. tiempo determinado, dependiendo de la actividad del equipo [20]. Es este el motivo por lo cual este tipo de información debe ser recopilado de manera inmediata y por lo que las máquinas no deben ser apagadas en caso de encontrarse en funcionamiento. Normalmente se encuentran en la memoria RAM, en la swap ó en la memoria virtual. Una vez hecha la copia, se debe verificar que los dispositivos de origen y destino sean idénticos para así confirmar la autenticidad de los datos [21]. Ninguno de estos procedimientos podría llevarse a cabo sin las herramientas correctamente aplicadas al caso específico. 3.2 Análisis e interpretación de datos Esta etapa se caracteriza por ser extensa debido a la gran variedad de herramientas, métodos, técnicas, o procesos que se llevan a cabo. Ya obtenidos los datos a analizar, se debe planificar el procedimiento a seguir dependiendo de qué es lo que realmente se está buscando [18]. El estudio de la línea de tiempo es el punto de partida para todo análisis, ya que con este se reconstruye todo lo que haya pasado en una máquina. Esto se logra buscando ficheros y registros que hayan sido recientemente modificados de algún modo en el último tiempo, incluyendo también nueva información, programas, la eliminación de ellos o cualquier tipo de dato anómalo. Generalmente, las fuentes principales de recogida de información son los siguientes: registro de los sistemas analizados, registro de los sectores de intrusión, registro de cortafuegos, ficheros del sistema analizado. Ejemplo de un posible análisis podría ser detectar la creación de ciertos archivos que no son posibles de encontrar, lo que lleva al perito a iniciar su búsqueda en archivos ocultos o, de ser necesario, la recuperación de éstos [8]. Una vez concluida esta etapa, se procede a finalizar con el reporte de la investigación y explicar los resultados obtenidos, donde debe constar todo procedimiento aplicado correctamente durante el peritaje realizado. 3.3 Herramientas de la Informática Forense Son variadas las aplicaciones que existen para la realización de un análisis forense. Cuando las aplicaciones se encuentran agrupadas en un mismo paquete el mismo es denominado suite. Algunas de las herramientas más utilizadas son: Encase: plataforma de investigación que recolecta datos e información digitales y realiza análisis. Encase Forensic produce una copia binaria exacta del dispositivo original y luego verifica generando valores hash MD5 de las imágenes y asignando valores CRC a los datos. Gracias a esto se puede comprobar si la información ha sido alterada o manipulada [22]. Autopsy: interfaz gráfica basada en HTML, permite analizar los discos de Windows y UNIX y sistemas de archivos. Permite búsquedas de palabras sobre todo el equipo. Extrae datos EXIF de las imágenes, permite visualizar miniaturas de estas, entre tantas otras herramientas. Al estar basada en HTML, se puede conectar con el servidor de Autopsy de cualquier plataforma con un navegador HTML [23]. Forensic Toolkit (FTK): plataforma de investigación digital aprobada por tribunales, traída al mercado por la empresa AccessData. Una de sus particularidades implica su funcionamiento con base de datos y no con memoria, lo que permite que ante cualquier dificultad, tal como apagón o crash, los avances conseguidos no se pierdan y los análisis continúen desarrollándose. Además, esta característica implica que los diferentes miembros del equipo puedan acceder a la información en simultáneo. Al igual que la mayoría de las suites, permite la recolección y análisis de evidencias, el descifrado de contraseñas, la recuperación de datos borrados, entre otras funciones [24]. Resultados Los resultados de la investigación muestran que por la gran cantidad de herramientas existentes y el grado de informatización al que se dirige la sociedad, la Informática Forense es de gran utilidad y está en pleno desarrollo. Es posible afirmar que la Informática Forense es una disciplina de amplia aplicación y ha sido de gran importancia en los Tribunales de Justicia. Se destaca, la existencia de una metodología avalada por una institución especializada (IOCE), que establece las etapas de las que no puede prescindir un análisis forense informático. Según una encuesta ad-hoc realizada en 2009 [25] se sabe que: -El 75% de empresas con proveedores en el exterior tiene conexión remota a los sistemas de información de la organización. -Tener proveedores en el exterior estimula el uso de la telefonía IP y teleconferencia/ videoconferencias. Respectivamente 50% y el 63% de las empresas con proveedores en el exterior las utiliza. -Todas las empresas declaran tener conexión a Internet. -Alrededor del 80% utiliza conexión a Internet en banda ancha. -Más del 50% utiliza conexiones inalámbricas. Ninguna utiliza conexión Dial-up. -Respecto al uso que hacen de Internet, del total de las empresas, al menos el 80% utiliza e-banking, alrededor del 40% comprabienes o servicios on-line. -Más del 80 % de las empresas posee redes de área local (LAN). El propósito de estos datos es dar a conocer la aplicación de las tecnologías de la información, en Argentina, para el año 2009. Se debe tener en consideración, a su vez, el crecimiento exponencial de estas en los últimos diez años. Conclusiones Es posible afirmar que resulta beneficioso estudiar la Informática Forense ya que, con el avance de la tecnología, fue creciendo a lo largo del tiempo y hoy en día es una herramienta fundamental a la hora de resolver delitos que involucren dispositivos electrónicos, sobre todo en organizaciones, las cuales son las más vulnerables a sufrir este tipo de ataques. También, es posible observar que la Informática Forense es una disciplina y, como en cualquier otra, surge la necesidad de seguir una metodología, que aplicada de la forma correcta permite que se logren los objetivos que se propone, entre los cuales se encuentran el de resolver delitos en el ámbito tecnológico y prevenirlos. Cuanto mejor se realicen las tareas relacionadas con esta área, más eficiente y eficazmente se desarrollarán las empresas. Esto es debido a que la Informática Forense se encuentra fuertemente ligada con las organizaciones, ya que permite que éstas tengan una ventaja a la hora de resolver problemas que se relacionan con la pérdida de información a causa de agentes externos no deseados. Como futuras líneas de trabajo, se buscará ampliar los estudios en lo que respecta a las herramientas existentes y sus aplicaciones en la Informática Forense, tanto herramientas hardware como herramientas software. Se estudiará también, acerca de las posibles aplicaciones en materia legal de las pericias obtenidas a causa de las herramientas de la Informática Forense. Referencias [1] Plácida Fernández/ Áudea Seguridad de la 2018. Disponible en: https://cutt.ly/ltYh8p. Última visita: 20/08/2019 [2] ESTRADA, Alex Canedo. La informática forense y los delitos informáticos. Revista Pensamiento Americano, 2010, no 4, p. 81-88. Disponible en: https://bit.ly/2JJUhNd. Última visita: 20/08/2019 [3] Pous, Helena Rifà; RUIZ, Jordi Serra; LÓPEZ, José Luis Rivas. Análisis forense de sistemas informáticos. Catalunya: Universidad Oberta de Catalunya, 2009. Disponible en: https://cutt.ly/etYzgK. Última visita: 20/08/2019 [4] Chaves, Michael Arias. Panorama general de la Informática forense y de los delitos Informáticos en costa rica. InterSedes, 2006, vol. 7, no 12. Disponible en: https://bit.ly/2LHdoKr. Última visita: 12/08/2019 [5] Federal Bureau of Investigation. (s.f.). Cyber Crime. Disponible en: https://www.fbi.gov/investigate/cyber. Última visita: 11/08/2019 [6] Solomon, M. G.; Rudolph, K.; Tittel, E.; Broom, N.; Barrett, D. Computer Forensics Jumpstart. (2011). Wiley Publishing, Inc. Second Edition. Última visita: 12/08/2019 [7] Lang Beebe, N.; Guynes Clark, J. Digital Investigation. (2005). The University of Texas at San Antonio, Department of Information Systems and Technology Management. Última visita: 01/09/2019 [8] López Delgado, Miguel. Análisis Forense Digital. 2007. Disponible en: https://bit.ly/2fs5GSo. Última visita: 25/08/2019 [9] SÁNCHEZ-TORRES, Jenny Marcela; GONZÁLEZ-ZABALA, Mayda Patricia; MUÑOZ, María Paloma Sánchez. La sociedad de la información: génesis, iniciativas, concepto y su relación con las TIC. Revista UIS Ingenierías, 2012, vol. 11, no 1, p. 113-128. Disponible en: https://bit.ly/2IEbPs5. Última visita: 4/08/2019 [10]GONZÁLEZ, Ricardo Monge; ALFARO- AZOFEIFA, Cindy; ALFARO-CHAMBERLAIN, José. TICs en las PYMES de Centroamérica: Impacto de la adopción de las tecnologías de la información y la comunicación en el desempeño de las empresas. Idrc, 2005. Disponible en: https://bit.ly/2XcExGs. Última visita: 27/07/2019 [11]APORTELA RODRÍGUEZ, Ivett M. Intranets: las tecnologías de información y comunicación en función de la organización. Acimed, 2007, vol. 16, no 4, p. 0-0. Disponible en: https://bit.ly/2ReCBLl. Última visita: 30/08/2019 [12] CASO, C. S. A. Y. D., DE ESTUDIO, D. L. A. E., JIMÉNEZ, M. D. G. M., & DEL ESTADO, L. V. (2010). Auditoría informática y gestión de tecnologías de información y comunicación (TICs). Compendium, 13(25). Disponible en: http://tiny.cc/8tsb7y. Última visita: 20/08/2019 [13]PEREYRA, Damián. Desarrollo de una Guía de Asistencia para el análisis forense informático en un ambiente piloto. En XVI Workshop de Investigadores en Ciencias de la Computación. 2014. Disponible en https://bit.ly/2Id3Y5Q. Última visita: 13/08/2019 [14] Gervilla Rivas, C. Metodología para un análisis forense. (2014). Universidad Abierta de Catalunya. Instituto Nacional de Ciberseguridad. Última visita: 5/07/2019 [15] AREN, Cano; JOSÉ, A.; BAENA ROJAS, José J. Retos en la implementación de las TIC para el proceso de negociación internacional. Cuadernos de Administración (Universidad del Valle), 2013, vol. 29, no 50, p. 153-163. Disponible en: https://bit.ly/2W2degA. Última visita: 12/08/2019 [16]TEMPERINI, Marcelo GI. Delitos informáticos en Latinoamérica: un estudio de derecho comparado. En XLIII Jornadas Argentinas de Informática e Investigación Operativa (43JAIIO)-XIV Simposio Argentino de Informática y Derecho (SID)(Buenos Aires, 2014). 2014. Disponible en: https://bit.ly/2IeRdYs. Última visita: 32/08/2019 [17] International Organization for Cooperation in Evaluation. (s.f.). Disponible en: http://bit.ly/2WJMpTA. Última visita: 23/08/2019 [18] Ariel Podestá, Bruno Costanzo, Julián Waimann, Martín Castellote, Rita Sansevero. 2012. Disponible en: https://bit.ly/2YVUrW2. Última visita: 01/08/2019 [19] Clever Files. 2018. Disponible en: https://bit.ly/2Zp8js9.Última visita: 26/08/2019 [20] Juan Esteban Castilla Guerra, Jonhattan Andreis Raquejo Romero. 2013. Disponible en: https://bit.ly/2WPfZHH.Última visita: 20/07/2019 [21] Andrés F. Álvarez Serna, Oscar D. Marín Rivera, Juan D. Victoria Morales. 2012. FRAMEWORK PARA LA COMPUTACIÓN FORENSE EN COLOMBIA. Disponible en: https://bit.ly/2QxXTU7. Última visita: 05/08/2019 [22] EnCase Forensic. User Guide. (2018). Versión 8.07. Última visita: 02/09/2019 [23]Sleuthkit, Autopsy forensic. Disponible en: http://bit.ly/31yDyms. Última visita: 02/09/2019 [24] AccessData Group, Forensic Toolkit Brochure. (2017). V. 6.3. Disponible en: http://bit.ly/2WF7P4m. . Última visita: 02/09/2019 [25] Jones Carola, Marchese Alicia, Nahirñak Paula. 2011.Tecnologías de Información y Comunicación e Integración Inter-organizacional de Sistemas. información. Estudio Preliminar en Empresas Industriales de las Regiones de Córdoba y Rosario. Disponible en: https://bit.ly/2Zp858T
Compartir