Informática Forense: Generalidades, Aspectos Técnicos y Herramientas

De un tiempo a esta parte se ha estado hablando de la Informática Forense, término del cual no se comprendía su verdadera importancia hasta el surgimiento del Internet que fue el punto donde cambió el concepto de seguridad electrónica. Las redes computacionales comenzaron a verse expuestas a intrusiones y el inicio de los "crímenes electrónicos". A partir de aquí podemos definir que la Informática Forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional.

1. Importancia:

Debido al incremento de crímenes informáticos se ha vuelto cada vez más importante para las empresas tener un control sobre sus activos y de su información. Conocido por todos es que los datos se han convertido en un activo intangible de suma importancia para las organizaciones, su valor es tan alto como lo pueden llegar a ser sus bienes tangibles y por ello se requieren nuevas formas de preservar y proteger los datos.

Por ejemplo, en el año 2014, el 67% de las instituciones financieras en Perú han experimentado incidentes de seguridad o privacidad, según un estudio realizado por Deloitte. Con este resultado, Perú tiene el segundo más alto porcentaje en la región, ubicándose solo después de Colombia (100%).

2. Objetivo:

La informática forense tiene 3 objetivos principales:

1. La compensación de los daños causados por los criminales.
2. La persecución y procesamiento judicial de los criminales.
3. La creación y aplicación de medidas para prevenir casos similares. 

Tal como sucede en el campo civil, luego de cometido un crimen, en el campo de la informática también se necesita recolectar evidencia.

3. Uso de la Informática Forense:

Existen varios usos, entre los más importantes:

• Prosecución criminal: la parte más importante del proceso, la presentación de las evidencias incriminatorias que permitan comprobar el crimen comentido.
• Litigación civil: casos en donde la informática forense ayuda en su resolución como pueden ser fraudes, acoso, divorcio, etc.
• Investigación de seguros: la información que se recupere de medios computacionales puede ayudar a las empresas de seguros en los reclamos de sus clientes.
• Temas corporativos: básicamente tiene que ver con el tema de espionaje industrial.
• Mantenimiento de la ley: la informática forense sirve de gran ayuda a las Fiscalías ya que les provee de medios y herramientas que permiten elaborar mejor las denuncias.

4. La Investigación Tecnológica:

Los investigadores utilizan gran cantidad de técnicas para descubrir evidencias, incluyendo herramientas de software que automatizan y aceleran el análisis.

• Evidencia Digital.- Es única, frágil y una copia de un documento almacenado en un archivo es idéntica al original. Sobre este punto, la IOCE (International Organization On Computer Evidence) define cinco puntos como los principios para el manejo y recolección de evidencia computacional: Sobre recolectar evidencia digital, las acciones tomadas no deben cambiar por ningún motivo esta evidencia. Cuando es necesario que una persona tenga acceso a evidencia digital original, esa persona debe ser un profesional forense. Toda la actividad referente a la recolección, el acceso, almacenamiento o a la transferencia de la evidencia digital, debe ser documentada completamente, preservada y disponible para la revisión. Un individuo es responsable de todas las acciones tomadas con respecto a la evidencia digital mientras que ésta esté en su posesión. Cualquier agencia que sea responsable de recolectar, tener acceso, almacenar o transferir evidencia digital es responsable de cumplir con estos principios.


• Grabación de medios Magnéticos.- Estos leen y escriben datos, para almacenar y recuperar datos en unidades de disco, de cinta y otros dispositivos. Aplicaciones en almacenamiento de datos: Cabezas de escritura, Cabezas de lectura y medios de almacenamiento.


• Análisis de Discos.- La clave de la computación forense es el análisis de discos duros, discos flexibles. Para este análisis se utiliza los file slack, archivo swap de Windows y unallocated file space que son generados por los mismos sistemas operativos.

5. Pasos para la Recopilación de Evidencia:

Existen unas guías básicas que pueden ayudar a cualquier investigador forense:

Hardware.- Es uno elementos que se deben tener en cuenta a la hora de la recolección de evidencia, debido a que puede ser usado como instrumento, como objeto del crimen.

Cuidados en el Recolección de Evidencia.- Este es un aspecto frágil porque requiere de práctica y cuidados como:

• Se debe proteger los equipos del daño.
• Se debe proteger la información contenida dentro de los sistemas de almacenamiento.
• En algunos casos, será imposible reconstruir la evidencia.

Algo muy importante: se deben contar con profesionales forenses certificados, este paso es muy importante y en el cual se debe evitar el error por todos los medios posibles.

6. Herramientas de Investigación Forense:
Existen cientos de herramientas, las cuales se pueden clasificar en cuatro grupos principales:

Para la Recolección de Evidencia.- Estas herramientas son utilizadas para recuperar evidencias, como por ejemplo el EnCase que copia archivos, hace búsquedas y análisis a los discos, etc.

Para el Monitoreo y/o Control de Computadores.- Estas herramientas con utilizadas para poder recolectar información. Existen algunos programas simples para recolectar las pulsaciones del teclado, otros que guardan imágenes de la pantalla o hasta casos donde la maquina es controlada remotamente. Una herramienta imprescindible en este punto es el KeyLogger que permite comprobar actividad sospechosa guardando los eventos generados por teclado.

Para el Marcado de Documentos.- Es utilizado para prevenir el robo de información esto está más centrado en la prevención de ataques.

De Hardware.- Debido a que la recolección debe ser precisa y no debe modificar la información se han diseñado varias herramientas como DIBS "Portable Evidence Recovery Unit".

7. Dificultades del Investigador Forense:

Se requiere de varias habilidades que no son fáciles de adquirir, es por eso que usualmente nos encontramos con las siguientes dificultados:

1. Carencia de software especializado.
2. Posible daño de los datos visibles o escondidos, aun sin darse cuenta.
3. Sera difícil encontrar toda la información valiosa.
4. Es difícil adquirir la categoría de “experto” para que el testimonio personal sea válido ante una corte.
5. Los errores cometidos pueden costar caro para la persona o la organización a la que representa.
6. Dificultad al conseguir el software y hardware para guardar, preservar y presentar los datos como evidencia.
7. Falta de experiencia para mostrar, reportar y documentar un incidente computacional.
8. Dificultad para conducir la investigación de manera objetiva.
9. Dificultad para hacer correctamente una entrevista con las personas involucradas.
10. Reglamentación que puede causar problemas legales a la persona.

Es por esto que antes de lanzarse a ser un investigador forense, se necesita bastante estudio y experiencia, entre otras cosas y si no se cumple con los requisitos, en caso de un accidente es aconsejable llamar a uno o varios expertos.

Mapa Mental - Informática Forense

Fuente: Óscar López, Haver Amaya, Ricardo León. (2001). Informática Forense: Generalidades, Aspectos Técnicos y Herramientas. Bogotá, Colombia: Universidad de los Andes.