La palabra "forense" proviene del latín "forensis", que significa "perteneciente al foro" o “forum”. El foro en la antigua Roma era una plaza pública donde se llevaban a cabo diversas actividades legales, comerciales y sociales. Por lo tanto, "forense" originalmente se refería a todo lo relacionado con los tribunales o la administración de justicia.

En la actualidad, el término "forense" se utiliza para describir disciplinas y actividades relacionadas con la aplicación de principios científicos y técnicos en el ámbito legal y judicial. La informática forense, por ejemplo, es el proceso meticuloso de recopilar, analizar y preservar evidencia digital con el objetivo de revelar la verdad detrás de los crímenes cibernéticos. Implica la aplicación de técnicas y métodos científicos para la recopilación, preservación, análisis y presentación de evidencia digital en casos legales. 

Objetivos, Conocimientos y Alcances de la Informática Forense

En esta disciplina el investigador requiere de conocimientos avanzados de informática, pero no solo de software, también hardware o cualquier dispositivo tecnológico. La informática forense va más allá de la simple recuperación de archivos. Su objetivo fundamental es garantizar la integridad de la evidencia, ya sea en un caso de fraude en línea o en la investigación de un delito más complejo. Desde disputas laborales hasta crímenes cibernéticos, la informática forense tiene un alcance amplio y crucial.

Sin entrar en mayor detalle, la Informática Forense busca identificar, recopilar y preservar pruebas de ciberdelitos, permitiendo el rastreo efectivo, persecución legal y enjuiciamiento de los responsables. Su objetivo abarca la interpretación y presentación adecuada de evidencia en juicio, evaluación de impacto, descubrimiento de vulnerabilidades (aprender de ellas y protegerse en el futuro), recuperación de datos, respuesta a incidentes para prevenir pérdidas, conocimiento y aplicación de leyes digitales, manejo de diversas plataformas y tipos de datos, utilización de herramientas apropiadas, preparación para incidentes y garantía de integridad de la infraestructura. Además, busca asegurar la protección de datos, cumplimiento normativo, contrarresto de delitos en línea, minimización de pérdidas y respaldo en el enjuiciamiento de perpetradores de ciberdelitos.

¿Qué puede hacer un Forense Informático?

A muy grandes rasgos, un investigador forense, puede ser capaz de recuperar archivos eliminados de un sistema (Data Carving), obtener artefactos web (como marcadores en el navegador, historial de navegación) para identificar el comportamiento o intenciones de un ciber criminal, saber quién modificó un archivo, clonar sistemas de archivos completos para analizarlos después, recopilar metadatos de una fotografía hasta saber desde que ubicación fue tomada. Puede investigar correo electrónico recuperando archivos PST de Outlook o OST, analizar un servidor web para investigar un hackeo o definitivamente analizar el comportamiento completo de un Malware para establecer que es lo que hace e incluso, desde donde viene y sus motivaciones.

Para un forense informático, La integridad de la evidencia es bastante frágil, puesto que cualquier acción sobre algún archivo o sistema, podría comprometer su estado, incluso el echo de reiniciar un sistema comprometido, podría eliminar evidencia que se almacena de manera volátil (temporal), como la cache ARP, tablas de enrutamiento, archivos temporales, o la imposibilidad de tomar un volcado de memoria de la memoria RAM. Es por esto por lo que, el investigador forense debe tener una metodología de adquisición de datos bien establecida en función de la volatilidad de los datos.

Herramientas Utilizadas en Informática Forense:

En el arsenal de un forense digital, las herramientas especializadas son la clave. Desde software de análisis de disco hasta utilidades de análisis de memoria, estas herramientas permiten a los expertos examinar cada rincón del ciberespacio en busca de pistas digitales. Para ello National Institute of Standard and Technology (NIST) nos entrega un catalogo de herramientas para realzar análisis forense entre las más conocidas son:

• Autopsy: Una herramienta de código abierto para análisis forense de discos duros y sistemas operativos.
• Amped FIVE: Herramienta para analizar imágenes y videos.
• 4n6 Outlook Forensics Wizard: Herramienta para analizar archivos de correo Outlook.

Caso de Ejecución de un Análisis Forense

Situación:

Una empresa se ha visto afectada por un ataque de Ransomware que comprometió la seguridad de sus sistemas, cifró sus datos y además se solicita un rescate a cambio de dinero. Actualmente la empresa mantiene sus operaciones detenidas, lo que, en consecuencia, le está provocando una enorme perdida financiera.

La empresa se ve obligada a realizar un Análisis forense y los principales motivos son:

1. Identificación de la Fuente:

La empresa busca comprender cómo el ransomware ingresó a sus sistemas para cerrar posibles brechas de seguridad lo antes posible y prevenir futuros ataques similares.

1. Recuperación de Datos:

La pérdida de datos cruciales requiere una evaluación detallada para determinar qué información se ha comprometido y cómo se puede recuperar, lo cual, en el caso de un Ransomware, existe una posibilidad increíblemente baja de recuperar los datos.

1. Impacto Operativo:

El ataque ha interrumpido significativamente las operaciones comerciales, afectando la productividad y la capacidad de prestar servicios a clientes.

1. Exigencias Legales y Regulatorias:

La empresa está sujeta a regulaciones que requieren una respuesta específica ante violaciones de seguridad, lo que implica la necesidad de una investigación forense para cumplir con estos requisitos.

1. Evidencia para Acciones Legales:

La recopilación de pruebas durante el análisis forense es esencial para respaldar acciones legales contra los perpetradores y para la presentación de reclamaciones de seguros.

1. Amenaza a la Confidencialidad de Datos:

La seguridad de la información sensible de la empresa, incluidos datos de clientes y empleados, está en riesgo, lo que impulsa la necesidad de comprender la magnitud de la exposición.

1. Reputación de la Empresa:

La reputación de la empresa está en juego, ya que la pérdida de datos y la interrupción de servicios pueden afectar la confianza de los clientes y socios comerciales, por lo que, dentro de poco, provocará una migración masiva de clientes.

1. Riesgo Financiero:

La evaluación del impacto financiero del incidente es crítica para planificar la asignación de recursos, considerando costos de recuperación, pérdida de ingresos y posibles sanciones regulatorias.

Este tipo de análisis se pueden fortalecer con soluciones robustas, tales como Sophos Data Leak, en conjunción con soluciones Sophos XDR, Sophos Data Lake procesa información como nombres de usuario, direcciones IP, direcciones MAC, procesos, aplicaciones, entre otros, con el propósito de realizar servicios de detección y respuesta a amenazas, así como para futuras innovaciones o análisis.

Importancia de la Informática Forense en la Resolución de Crímenes Cibernéticos:

Históricamente, hemos visto cómo la informática forense ha desempeñado un papel crucial en la identificación y enjuiciamiento de delincuentes cibernéticos. Casos notorios, como el seguimiento de actividades maliciosas en línea, demuestran la importancia de estas técnicas para la seguridad digital.

La informática forense persigue tres metas fundamentales:

• Compensación de Daños: Busca reparar los perjuicios causados por intrusiones o actividades delictivas en entornos informáticos. Este objetivo se centra en mitigar y revertir los efectos negativos sufridos por individuos o entidades como resultado de incidentes cibernéticos.

• Persecución y Procesamiento Judicial: Orientada a identificar, rastrear y llevar ante la justicia a los responsables de actividades criminales en el ámbito digital. La informática forense proporciona las pruebas y análisis necesarios para respaldar investigaciones legales y procesamientos judiciales relacionados con delitos informáticos.

• Prevención y Medidas de Seguridad: Tiene como objetivo último la prevención de futuros incidentes. La informática forense contribuye a la formulación y aplicación de medidas proactivas para fortalecer la seguridad cibernética, reduciendo la probabilidad de casos similares en el futuro. Este enfoque preventivo incluye el análisis de vulnerabilidades, la implementación de políticas de seguridad y la sensibilización sobre las mejores prácticas en ciberseguridad.

La informática forense es fundamental para abordar y contrarrestar los desafíos en el mundo digital. Desde la compensación de daños hasta la persecución judicial y la implementación de medidas preventivas, estas técnicas se han convertido en un pilar esencial para preservar la integridad digital y salvaguardar la seguridad en línea. 

Escrito por Giovanni Díaz 

Analista de Ciberseguridad