¿Qué es la informática forense?
Se trata de una disciplina que juega un papel fundamental en la investigación y persecución del (ciber)crimen. su objetivo es la obtención de evidencias relacionadas con un crimen en la que interviene un dispositivo digital.
La informática forense establece un conjunto de procedimientos y técnicas metodológicas para identificar, recolectar, preservar, extraer, interpretar, documentar y presentar las evidencias del equipamiento de computación de manera que estas evidencias sean aceptables durante un procedimiento legal o administrativo en un juzgado.
La informática es una parte vital en la investigación forense en el ámbito digital, pues está específicamente focalizada en los delitos cometidos mediante dispositivos de computación, como redes, ordenadores y medios de almacenamiento digital, especialmente en aquellos casos que involucran a la tecnología como fuente o víctima de un delito.
De tal modo que todo lo anterior se pueda admitir como prueba ante un juez. Ante una brecha de ciberseguridad, es clave la fase de recopilación de pruebas relevantes. El investigador forense buscará, sobre todo, una evidencia en particular, los llamados “datos latentes“. En el campo de la ciberseguridad, a este tipo de datos ambientales no se puede acceder fácilmente. Se necesita un nivel mucho más profundo de investigación por parte de expertos en informática forense. Unos ejemplos de lo que se consideran datos latentes son:
- Información en el almacenamiento del ordenador que no se menciona en las tablas de asignación de archivos.
- Información que el sistema operativo o las aplicaciones de software de uso común no pueden ver con facilidad.
- Datos eliminados deliberadamente y que se encuentran en espacios no asignados en el disco duro o en volcados de memoria.
Objetivos de la informática forense.
En caso de que haya una brecha de seguridad, los objetivos esenciales del uso de la computación forense serán:
- Ayudar a recuperar, analizar y preservar el ordenador y los materiales para presentarlos como evidencia en un tribunal de justicia.
- Ayudar a esclarecer el motivo del crimen y la identidad del culpable.
- Diseñar procedimientos que ayuden a garantizar que la evidencia digital obtenida no esté corrupta.
- Adquirir y duplicar datos.
- Identificar la evidencia rápidamente y estimar el impacto potencial de la actividad maliciosa.
- Elaborar un informe forense informático sobre el proceso de investigación.
- Preservar la evidencia siguiendo la cadena de custodia.
¿Dónde se aplica la informática forense?
Como hemos comentado anteriormente la informática forense es de ayuda cuando se producen delitos o incidentes de seguridad de la información que involucran sistemas o tecnologías de la información y las comunicaciones. A nivel empresarial, la mayoría de las organizaciones buscan en la informática forense:
- Prepararse contra los incidentes de ciberseguridad mediante la securización de sus mecanismos de defensa y subsanar las vulnerabilidades encontradas en ellos.
- Para asegurar el cumplimiento de las regulaciones y leyes al respecto que le son de aplicación.
- Reportar los incidentes de seguridad de la información de manera adecuada y detallada.
- Identificar las acciones necesarias de respuesta ante incidentes.
- Actuar contra el robo o la utilización ilegal de la propiedad intelectual.
- Resolver disputas entre los empleados o con ellos.
- Estimar o minimizar los daños sufridos en un incidente de seguridad.
- Crear las normas y/o procedimientos de investigación forense.
¿Cuál es el perfil de un informático forense?.
Un analista informático forense es un profesional especialmente capacitado que trabaja con las agencias de aplicación de la ley, así como con empresas privadas, para recuperar información de los dispositivos digitales. Los analistas forenses informáticos combinan sus conocimientos en ciencias de la computación junto con sus habilidades forenses para recuperar información de computadoras y dispositivos de almacenamiento. Además, son responsables de ayudar a los agentes del orden con delitos cibernéticos y también de recuperar pruebas.
Las funciones de un especialista en informática forense son:
- Identificar, obtener y preservar las evidencias o pruebas de un cibercrimen.
- Rastrear y enjuiciar a los culpables.
- Interpretar, documentar y presentar las evidencias para que sean admisibles judicialmente.
- Estimar el impacto potencial de la actividad maliciosa para la víctima o los activos.
- Encontrar vulnerabilidades o brechas de seguridad que ayudan a los atacantes.
- Entender las técnicas y métodos utilizados por los atacantes para evitar ser cazados.
- Recuperar archivos borrados, ocultos y datos temporales que pueden utilizarse como evidencias.
- Realizar la respuesta ante incidentes de seguridad de la información para prevenir la pérdida de información, económica y de reputación.
- Disponer de conocimiento sobre las leyes de aplicación en diferentes áreas y regiones relativas al crimen digital.
- Conocer el proceso de manipulación para la investigación forense de múltiples plataformas, tipos de datos y sistemas operativos.
- Manejar herramientas específicas de investigación forense.
La informática forense es un proceso clave para rastrear y enjuiciar a los culpables de haber cometido un crimen en el que se vean involucrados dispositivos de computación y también para los incidentes de seguridad de la información. Además, desde un punto de vista de ciberseguridad la informática forense ayuda también en la prevención y respuesta ante ciberincidentes.