Documente Academic
Documente Profesional
Documente Cultură
1 Introduccin
La informtica forense est adquiriendo una gran importancia dentro del rea de la
informacin electrnica, esto debido al aumento del valor de la informacin y/o al uso que se
le da a sta, al desarrollo de nuevos espacios donde es usada (por Ej. El Internet), y al
extenso uso de computadores por parte de las compaas de negocios tradicionales (por Ej.
bancos). Es por esto que cuando se realiza un crimen, muchas veces la informacin queda
almacenada en forma digital. Sin embargo, existe un gran problema, debido a que los
computadores guardan la informacin de informacin forma tal que no puede ser recolectada
o usada como prueba utilizando medios comunes, se deben utilizar mecanismos diferentes a
los tradicionales. Es de aqu que
surge el estudio de la computacin forense como una ciencia relativamente nueva.
Resaltando su carcter cientfico, tiene sus fundamentos en las leyes de la fsica, de la
electricidad y el magnetismo. Es gracias a fenmenos electromagnticos que la informacin
se puede almacenar, leer e incluso recuperar cuando se crea eliminada.
La informtica forense, aplicando procedimientos estrictos y rigurosos puede ayudar a
resolver grandes crmenes apoyndose en el mtodo cientfico, aplicado a la recoleccin,
anlisis y validacin de todo tipo de pruebas digitales.
En este escrito se pretende mostrar una panormica muy general de la Informtica Forense,
explicando en detalle algunos aspectos tcnicos muchas veces olvidados en el estudio de
esta ciencia.
2 Informtica Forense
Debe tenerse en cuenta que los datos digitales adquiridos de copias no se deben alterar de
los originales del disco, porque esto invalidara la evidencia; por esto los investigadores
deben revisar con frecuencia que sus copias sean exactas a las del disco del sospechoso,
para esto se utilizan varias tecnologas, como por ejemplo checksums o hash MD5.
La IOCE (International Organization On Computer Evidence)[3] define los siguientes cinco
puntos como los principios para el manejo y recoleccin de evidencia computacional:
1. Sobre recolectar evidencia digital, las acciones tomadas no deben cambiar por ningn
motivo esta evidencia.
2. Cuando es necesario que una persona tenga acceso a evidencia digital original, esa
persona debe ser un profesional forense.
3. Toda la actividad referente a la recoleccin, el acceso, almacenamiento o a la transferencia
de la evidencia digital, debe ser documentada completamente, preservada y disponible para
la revisin.
4. Un individuo es responsable de todas las acciones tomadas con respecto a la evidencia
digital mientras que sta est en su posesin.
5. Cualquier agencia que sea responsable de recolectar, tener acceso, almacenar o transferir
evidencia digital es responsable de cumplir con estos principios.
Adems definen que los principios desarrollados para la recuperacin estandarizada de
evidencia computarizada se deben gobernar por los siguientes atributos: [2]
1. Consistencia con todos los sistemas legales.
2. Permitir el uso de un leguaje comn.
3. Durabilidad.
4. Capacidad de cruzar lmites internacionales.
5. Capacidad de ofrecer confianza en la integridad de la evidencia.
6. Aplicabilidad a toda la evidencia forense.
Un reloj de regulacin est sincronizado con la rotacin del disco y existen celdas de bit para
cada tick del reloj; algunas de estas celdas de bits representarn un uno (una inversin en la
direccin magntica, tal como N cambiando a S o S cambiando a N) y otras representarn
ceros (polaridad N constante o S constante). Una vez escritos, los bits en la superficie del
disco quedan magnetizados permanentemente en una direccin o la otra, hasta que nuevos
patrones sean escritos sobre los viejos. Existe un campo magntico relativamente fuerte
directamente sobre la localizacin de los unos y su fuerza se desvanece rpidamente a
medida que la cabeza de grabacin se aleja. Un movimiento significativo en cualquier
direccin que se aleje de un uno causa una dramtica prdida en la fuerza del campo
magntico, lo que implica que para detectar bits de datos de manera confiable, es
extremadamente importante que las cabezas de lectura vuelen muy cerca de la superficie del
disco magnetizado.
cabezas GMR/Vlvula Spin son situadas muy cerca del disco de almacenamiento magntico
rotatorio, exponiendo el elemento GMR a los campos magnticos de bi previamente escritos
en la superficie del disco. Si la cabeza GMR se aleja ligeramente del disco (2 o 3
millonsimas de pulgada) la intensidad del campo cae por fuera de un nivel til, y los datos
magnticos no pueden ser recuperados fielmente.
Cuando una corriente atraviesa el elemento GMR, los cambios en la resistencia
(correspondientes a los cambios en los estados magnticos que surgen de los bits escritos N
y S) son detectados como cambios en el voltaje. Estas fluctuaciones de voltaje -es decir, la
seal- son conducidas a las terminales sensoras del GMR. Sin embargo, el ruido elctrico
est presente en todos los circuitos elctricos (las cabezas GMR no son la excepcin), por lo
que la seal combinada con el ruido de un lector GMR son enviados por medio de cables los
circuitos electrnicos de la unidad de disco, para decodificar la secuencia de tiempo de los
impulsos (y los espacios entre los impulsos) en unos y ceros binarios. El proceso de lectura,
incluyendo el indeseable
pero siempre presente ruido.
2.5.1 Hardware
El hardware es uno de los elementos que se deben tener en cuenta a la hora de la
recoleccin de evidencia, debido a que puede ser usado como instrumento, como objetivo del
crimen, o como producto del crimen (por Ej. contrabando o robo), es por eso que se deben
tener consideraciones especiales. Lo primero que se debe preguntar el investigador es qu
partes se deben buscar o investigar.
Existen una gran cantidad de herramientas para recuperar evidencia. El uso de herramientas
sofisticadas se hace necesario debido a:
2.6.1.1 EnCase
EnCase es un ejemplo de herramientas de este tipo. Desarrollada por Guidance Software Inc.
(http://www.guidancesoftware.com), permite asistir al especialista forense durante el
anlisis de un crimen digital.
Se escogi mostrar esta herramienta por tratarse del software lder en el mercado, el
producto ms ampliamente difundido y de mayor uso en el campo del anlisis forense.
Algunas de las caractersticas ms importantes de EnCase se relacionan a continuacin:
Copiado Comprimido de Discos Fuente. Encase emplea un estndar sin prdida (loss-less)
para crear copias comprimidas de los discos origen. Los archivos comprimidos resultantes,
pueden ser analizados, buscados y verificados, de manera semejante a los normales
(originales). Esta caracterstica ahorra cantidades importantes de espacio en el disco del
computador del laboratorio forense, permitiendo trabajar en una gran diversidad de casos al
mismos tiempo, examinando la evidencia y buscando en paralelo.
Bsqueda y Anlisis de Mltiples partes de archivos adquiridos. EnCase permite al
examinador buscar y analizar mltiples partes de la evidencia. Muchos investigadores
involucran una gran cantidad de discos duros, discos extrables, discos zip y otros tipos de
dispositivos de almacenamiento de la informacin. Con Encase, el examinador puede buscar
todos los datos involucrados en un caso en un solo paso. La evidencia se clasifica, si esta
comprimida o no, y puede ser colocada en un disco duro y ser examinada en paralelo por el
especialista. En varios casos la evidencia puede ser ensamblada en un disco duro grande o
un servidor de red y tambin buscada mediante EnCase en un solo paso.
Diferente capacidad de Almacenamiento. Los datos pueden ser colocados en diferentes
unidades, como Discos duros IDE o SCSI, drives ZIP, y Jazz. Los archivos pertenecientes a la
evidencia pueden ser comprimidos o guardados en CD-ROM manteniendo su integridad
forense intacta, estos archivos pueden ser utilizados directamente desde el CD-ROM evitando
costos, recursos y tiempo de los especialistas. Varios Campos de Ordenamiento, Incluyendo
Estampillas de tiempo. EnCase
permite al especialista ordenar los archivos de la evidencia de acuerdo a diferentes campos,
incluyendo campos como las tres estampillas de tiempo (cuando se cre, ltimo acceso,
ltima escritura), nombres de los archivos, firma de los archivos y extensiones.
Anlisis Compuesto del Documento. EnCase permite la recuperacin de archivos internos y
meta-datos con la opcin de montar directorios como un sistema virtual para la visualizacin
de la estructura de estos directorios y sus archivos, incluyendo el slack interno y los datos
del espacio unallocated.
Bsqueda Automtica y Anlisis de archivos de tipo Zip y Attachments de E-Mail. Firmas de
archivos, Identificacin y Anlisis. La mayora de las graficas y de los archivos de texto
comunes contiene una pequea cantidad de bytes en el comienzo del sector los cuales
constituyen una firma del archivo. EnCase verifica esta firma para cada archivo contra una
lista de firmas conocida de extensiones de archivos. Si existe alguna discrepancia, como en
el caso de que un sospechosos haya escondido un archivo o simplemente lo haya
2.6.2.1 KeyLogger
KeyLogger es un ejemplo de herramientas que caen en esta categora. Es una herramienta
que puede ser til cuando se quiere comprobar actividad sospechosa; guarda los eventos
generados por el teclado, por ejemplo, cuando el usuario teclea la tecla de retroceder, esto
es guardado en un archivo o enviado por e-mail. Los datos generados son complementados
con informacin relacionada con el programa que tiene el foco de atencin, con anotaciones
sobre las horas, y con los mensajes que generan algunas aplicaciones.
Existen dos versiones: la registrada y la de demostracin. La principal diferencia es que en la
versin registrada se permite correr el programa en modo escondido. Esto significa que el
usuario de la mquina no notar que sus acciones estn siendo registradas.
En el apndice B se puede observar un ejemplo de un log generado por este programa.