Análisis forense digital

Foto aérea de FLETC, donde se desarrollaron los estándares forenses digitales de EE. UU. en las décadas de 1980 y 1990.

La ciencia forense digital (a veces conocida como criminalística digital ), es una ciencia forense en la que los expertos estudian los dispositivos digitales para ayudar a resolver los delitos. Entre ellos se incluyen los teléfonos móviles.[1]​ A los expertos a los que se encarga realizar una “investigación” sobre un ordenador o cualquier otro tipo de análisis forense digital se les denomina “analistas forenses” o “investigadores forenses” .

Una investigación forense digital se lleva a término cuando alguien es culpado por un crimen que incluye el uso de una computadora o dispositivo digital, o cuando las pruebas de ese delito pueden hallarse en instrumentos digitales.[2]​ El experto buscará pruebas sobre el crimen. Tratarán de probar si la persona tiene la culpa o no.

Descripción

Es una rama de la ciencia forense que abarca la recuperación, investigación, examen y análisis de material encontrado en dispositivos digitales, a menudo en relación con dispositivos móviles y delitos informáticos .[3][4]​ El término "criminalística digital" se utilizó originalmente como sinónimo de informática forense, pero se ha ampliado para abarcar la investigación de todos los dispositivos capaces de almacenar datos digitales .[3]​ Con raíces en la revolución de la informática personal de finales de los años 1970 y principios de los 1980, la disciplina evolucionó de manera desordenada durante los años 1990, y no fue hasta principios del siglo XXI que surgieron políticas nacionales. .

Las investigaciones forenses digitales tienen una variedad de aplicaciones. Lo más común es apoyar o refutar una hipótesis ante tribunales penales o civiles . Los casos penales implican la presunta infracción de leyes definidas por la legislación, aplicadas por la policía y perseguidas por el Estado, como asesinato, robo y agresión contra la persona. Los casos civiles, por otro lado, tratan de la protección de los derechos y la propiedad de las personas (a menudo asociados con disputas familiares), pero también pueden estar relacionados con disputas contractuales entre entidades comerciales en las que se utiliza una forma de análisis forense digital denominado descubrimiento electrónico (ediscovery). puede estar implicado.

Los análisis forenses también pueden aparecer en el sector privado, como durante las investigaciones corporativas internas o las investigaciones de intrusión (una investigación especial sobre la naturaleza y el alcance de una intrusión no autorizada en la red ).

El aspecto técnico de una investigación se divide en varias subramas relacionadas con el tipo de dispositivos digitales involucrados: informática forense, investigación forense de redes, análisis de datos forenses y investigación forense de dispositivos móviles .[5]​ El proceso forense típico abarca la incautación, la obtención de imágenes forenses (adquisición) y el análisis de medios digitales, seguido de la producción de un informe de las "pruebas recopiladas.

Además de identificar pruebas directas de un delito, la ciencia forense digital se puede utilizar para atribuir pruebas a sospechosos específicos, confirmar coartadas o declaraciones, determinar la intención, identificar fuentes (por ejemplo, en casos de derechos de autor) o autenticar documentos.[6]​ Las investigaciones tienen un alcance mucho más amplio que otras áreas del análisis forense (donde el objetivo habitual es proporcionar respuestas a una serie de preguntas más simples), y a menudo involucran líneas de tiempo o hipótesis complejas.[7]

Historia

Antes de la década de 1970, los delitos relacionados con computadoras se resolvían utilizando las leyes existentes. Los primeros delitos informáticos fueron reconocidos en la Ley de Delitos Informáticos de Florida de 1978,[8]​ que incluía legislación contra la modificación o eliminación no autorizada de datos en un sistema informático.[9]​ Durante los años siguientes, la variedad de delitos informáticos cometidos aumentó y se aprobaron leyes para combatirlos. con cuestiones de derechos de autor, privacidad/acoso (por ejemplo, acoso cibernético, malos tratos, acoso cibernético y depredadores en línea ) y pornografía infantil .[10][11]​ No fue hasta la década de 1980 que las leyes federales comenzaron a incorporar delitos informáticos. Canadá fue el primer país en aprobar una legislación en 1983.[9]​ A esto le siguieron la Ley Federal de Abuso y Fraude Informático de EE. UU. en 1986, las enmiendas australianas a sus leyes penales en 1989 y la Ley británica sobre uso indebido de computadoras en 1990.[9][11]

Décadas de 1980 a 1990: crecimiento del campo

El crecimiento de los delitos informáticos durante las décadas de 1980 y 1990 hizo que los organismos encargados de hacer cumplir la ley comenzaran a establecer grupos especializados, generalmente a nivel nacional, para manejar los aspectos técnicos de las investigaciones. Por ejemplo, en 1984, el FBI creó un Equipo de Respuesta y Análisis Informático y al año siguiente se creó un departamento de delitos informáticos dentro de la brigada antifraude de la Policía Metropolitana Británica. Además de ser profesionales encargados de hacer cumplir la ley, muchos de los primeros miembros de estos grupos también eran aficionados a la informática y se convirtieron en responsables de la investigación y dirección inicial del campo.[12][13]

Uno de los primeros ejemplos prácticos (o al menos publicitados) de análisis forense digital fue la persecución del hacker Markus Hess por parte de Cliff Stoll en 1986. Stoll, cuya investigación utilizó técnicas forenses informáticas y de redes, no era un examinador especializado.[14]​ Muchos de los primeros exámenes forenses siguieron el mismo perfil.[15]

A lo largo de la década de 1990, hubo una gran demanda de estos recursos de investigación nuevos y básicos. La presión sobre las unidades centrales llevó a la creación de grupos a nivel regional, e incluso local, para ayudar a manejar la carga. Por ejemplo, la Unidad Nacional Británica contra Delitos de Alta Tecnología se creó en 2001 para proporcionar una infraestructura nacional para los delitos informáticos, con personal ubicado tanto en el centro de Londres como en las diversas fuerzas policiales regionales (la unidad se incorporó a la Agencia contra el Crimen Organizado Serio). (SOCA) en 2006).[13]

Durante este período, la ciencia forense digital surgió a partir de las herramientas y técnicas ad hoc desarrolladas por estos aficionados. Esto contrasta con otras disciplinas forenses, que se desarrollaron a partir del trabajo de la comunidad científica.[3][16]​ No fue hasta 1992 que el término "informática forense" se utilizó en la literatura académica (aunque antes de esto, había tenido un uso informal) ; Un artículo de Collier y Spaul intentó justificar esta nueva disciplina ante el mundo de la ciencia forense.[17][18]​ Este rápido desarrollo resultó en una falta de estandarización y capacitación. En su libro de 1995, Crimen de alta tecnología: investigación de casos que involucran computadoras, K. Rosenblatt escribió lo siguiente:

Década de 2000: desarrollo de estándares

Desde el año 2000, en respuesta a la necesidad de estandarización, varios organismos y agencias han publicado directrices para la ciencia forense digital. El Grupo de Trabajo Científico sobre "pruebas Digitale (SWGDE) produjo un artículo en 2002, Mejores prácticas para la informática forense, al que siguió, en 2005, la publicación de una norma ISO ( ISO 17025, Requisitos generales para la competencia de los laboratorios de pruebas y calibración ). .[9][19][20]​ En 2004 entró en vigor un tratado internacional liderado por Europa, el Convenio sobre la Ciberdelincuencia, con el objetivo de conciliar las leyes sobre delitos informáticos, técnicas de investigación y cooperación internacional. El tratado ha sido firmado por 43 naciones (incluidos Estados Unidos, Canadá, Japón, Sudáfrica, Reino Unido y otras naciones europeas) y ratificado por 16.

También recibió atención la cuestión de la formación. Las empresas comerciales (a menudo desarrolladores de software forense) comenzaron a ofrecer programas de certificación y el análisis forense digital se incluyó como tema en Centrex, el centro de formación de investigadores especializados del Reino Unido.[9][13]

A finales de la década de 1990, los dispositivos móviles estuvieron más disponibles, fueron más allá de los simples dispositivos de comunicación y se descubrió que eran formas ricas de información, incluso para delitos no asociados tradicionalmente con la ciencia forense digital.[21]​ A pesar de esto, el análisis digital de los teléfonos se ha quedado atrás con respecto a los medios informáticos tradicionales, en gran parte debido a problemas relacionados con la naturaleza patentada de los dispositivos.[22]

La atención también se ha desplazado hacia los delitos en Internet, en particular el riesgo de guerra cibernética y terrorismo cibernético . Un informe de febrero de 2010 del Comando de Fuerzas Conjuntas de los Estados Unidos concluyó lo siguiente:

El campo de la ciencia forense digital todavía enfrenta problemas sin resolver. Un artículo de 2009, "Investigación forense digital: lo bueno, lo malo y lo no abordado" de Peterson y Shenoi, identificó un sesgo hacia los sistemas operativos Windows en la investigación forense digital.[23]​ En 2010, Simson Garfinkel identificó los problemas que enfrentarán las investigaciones digitales en el futuro, incluido el tamaño cada vez mayor de los medios digitales, la amplia disponibilidad de cifrado para los consumidores, una creciente variedad de sistemas operativos y formatos de archivos, una número cada vez mayor de personas que poseen múltiples dispositivos y limitaciones legales para los investigadores. El documento también identificó problemas de capacitación continua, así como el costo prohibitivamente alto de ingresar al campo.[14]

Desarrollo de herramientas forenses.

Durante la década de 1980, existían muy pocas herramientas forenses digitales especializadas. En consecuencia, los investigadores a menudo realizaban análisis en vivo de los medios, examinando las computadoras desde el sistema operativo utilizando herramientas de administrador de sistemas existentes para extraer "pruebas. Esta práctica conllevaba el riesgo de modificar datos en el disco, ya sea sin darse cuenta o de otra manera, lo que dio lugar a denuncias de manipulación de pruebas. A principios de la década de 1990 se crearon una serie de herramientas para abordar el problema.

La necesidad de dicho software se reconoció por primera vez en 1989 en el Centro Federal de Capacitación para el Cumplimiento de la Ley, lo que resultó en la creación de IMDUMP[24]​(por Michael White) y en 1990, SafeBack[25]​(desarrollado por Sydex). En otros países se desarrolló software similar; DIBS (una solución de hardware y software) se lanzó comercialmente en el Reino Unido en 1991, y Rob McKemmish lanzó la imagen de disco fijo de forma gratuita para las autoridades australianas.[12]​ Estas herramientas permitieron a los examinadores crear una copia exacta de un medio digital para trabajar, dejando el disco original intacto para su verificación. A finales de la década de 1990, a medida que crecía la demanda de "pruebas digitales, se desarrollaron herramientas comerciales más avanzadas, como EnCase y FTK, que permitían a los analistas examinar copias de medios sin utilizar ningún análisis forense en vivo.[9]​ Más recientemente, ha crecido una tendencia hacia la "memoria forense viva", lo que ha resultado en la disponibilidad de herramientas como WindowsSCOPE .

Más recientemente, se ha producido la misma progresión en el desarrollo de herramientas para dispositivos móviles ; Inicialmente, los investigadores accedían a los datos directamente en el dispositivo, pero pronto aparecieron herramientas especializadas como XRY o Radio Tactics Aceso.[9]

Proceso forense

Un "write-blocker" portátil conectado a un disco duro

Una investigación forense digital comúnmente consta de 3 etapas:

Idealmente, la adquisición implica capturar una imagen de la memoria volátil (RAM) de la computadora[28]​ y crear un duplicado exacto a nivel de sector (o "duplicado forense") del medio, a menudo usando un dispositivo de bloqueo de escritura para evitar modificaciones. del original. Sin embargo, el crecimiento del tamaño de los medios de almacenamiento y avances como la computación en la nube[29]​ han llevado a un mayor uso de adquisiciones "en vivo", mediante las cuales se adquiere una copia "lógica" de los datos en lugar de una imagen completa. del dispositivo de almacenamiento físico.[26]​ Tanto la imagen adquirida (o copia lógica) como los medios/datos originales se procesan mediante hash (utilizando un algoritmo como SHA-1 o MD5 ) y los valores se comparan para verificar que la copia sea precisa.[30]

Un enfoque alternativo (y patentado) (que ha sido denominado 'forense híbrido'[31]​ o 'forense distribuido'[32]​) combina procesos forenses digitales y descubrimiento electrónico. Este enfoque se plasmó en una herramienta comercial llamada ISEEK que se presentó junto con los resultados de las pruebas en una conferencia en 2017.[31]

Durante la fase de análisis, un investigador recupera material de "pruebas utilizando varias metodologías y herramientas diferentes. En 2002, un artículo del International Journal of Digital Evidence se refirió a este paso como "una búsqueda sistemática y profunda de pruebas relacionadas con el presunto delito".[3]​ En 2006, el investigador forense Brian Carrier describió un "procedimiento intuitivo" en el que primero se identifica la "prueba" obvia y luego "se realizan búsquedas exhaustivas para comenzar a llenar los agujeros".[7]

El proceso real de análisis puede variar entre investigaciones, pero las metodologías comunes incluyen realizar búsquedas de palabras clave en los medios digitales (dentro de archivos, así como en espacio no asignado y disponible ), recuperar archivos eliminados y extraer información de registro (por ejemplo, para enumerar cuentas de usuario, o dispositivos USB conectados).

Las pruebas recuperadas se analizan para reconstruir hechos o acciones y llegar a conclusiones, trabajo que muchas veces puede ser realizado por personal menos especializado.[3]​ Cuando se completa una investigación, los datos se presentan, normalmente en forma de informe escrito, en términos sencillos .[3]

Aplicaciones

Un ejemplo de metadatos Exif de una imagen que podrían usarse para probar su origen

La ciencia forense digital se utiliza comúnmente tanto en derecho penal como en investigación privada. Tradicionalmente se ha asociado al derecho penal, donde se recopilan pruebas para apoyar o refutar una hipótesis ante los tribunales. Como ocurre con otras áreas de la ciencia forense, esto suele ser parte de una investigación más amplia que abarca varias disciplinas. En algunos casos, las pruebas recopiladas se utilizan como una forma de recopilación de inteligencia, con fines distintos de los procedimientos judiciales (por ejemplo, para localizar, identificar o detener otros delitos). Como resultado, la recopilación de inteligencia a veces se somete a estándares forenses menos estrictos.

En litigios civiles o asuntos corporativos, la ciencia forense digital forma parte del proceso de descubrimiento electrónico (o eDiscovery). Los procedimientos forenses son similares a los utilizados en las investigaciones criminales, a menudo con requisitos y limitaciones legales diferentes. Fuera de los tribunales, la ciencia forense digital puede formar parte de investigaciones corporativas internas.

Un ejemplo común podría ser el siguiente de una intrusión no autorizada en la red. Se realiza un examen forense especializado en la naturaleza y el alcance del ataque como ejercicio de limitación de daños, tanto para establecer el alcance de cualquier intrusión como para intentar identificar al atacante.[6][7]​ Estos ataques se realizaban comúnmente a través de líneas telefónicas durante la década de 1980, pero en la era moderna generalmente se propagan a través de Internet.[33]

El objetivo principal de las investigaciones forenses digitales es recuperar "pruebas objetivas de una actividad delictiva (denominada actus reus en el lenguaje legal). Sin embargo, la diversa gama de datos contenidos en dispositivos digitales puede ayudar en otras áreas de investigación.[6]

Atribución
Se pueden utilizar metadatos y otros registros para atribuir acciones a un individuo. Por ejemplo, los documentos personales en la unidad de una computadora pueden identificar a su propietario.
Coartadas y declaraciones
La información proporcionada por los involucrados se puede cotejar con las "pruebas digitales. Por ejemplo, durante la investigación de los asesinatos de Soham, la coartada del delincuente fue refutada cuando los registros del teléfono móvil de la persona con la que afirmaba estar mostraban que ella estaba fuera de la ciudad en ese momento.
Intención
Además de encontrar pruebas objetivas de la comisión de un delito, las investigaciones también pueden utilizarse para demostrar la intención (conocido con el término legal mens rea ). Por ejemplo, la historia en Internet del asesino convicto Neil Entwistle incluía referencias a un sitio que analizaba Cómo matar gente .
Evaluación de fuente
Se pueden utilizar artefactos de archivos y metadatos para identificar el origen de un dato en particular; por ejemplo, las versiones anteriores de Microsoft Word incorporaban un identificador único global en los archivos que identificaba la computadora en la que se había creado. Puede ser muy importante demostrar si un archivo se produjo en el dispositivo digital que se está examinando o si se obtuvo de otro lugar (por ejemplo, Internet).[6]
Autenticación de documentos
En relación con la "Evaluación de la fuente", los metadatos asociados con documentos digitales se pueden modificar fácilmente (por ejemplo, al cambiar el reloj de la computadora se puede afectar la fecha de creación de un archivo). La autenticación de documentos se refiere a detectar e identificar la falsificación de dichos detalles.

Limitaciones

Una limitación importante de una investigación forense es el uso de cifrado; esto interrumpe el examen inicial donde se podrían ubicar las pruebas pertinentes utilizando palabras clave. Las leyes que obligan a las personas a revelar claves de cifrado son todavía relativamente nuevas y controvertidas.[14]​ Pero cada vez con mayor frecuencia existen soluciones para forzar contraseñas con fuerza bruta o evitar el cifrado, como en los teléfonos inteligentes o en las PC, donde mediante técnicas de gestor de arranque se puede primero adquirir el contenido del dispositivo y luego forzarlo a ordenar. para encontrar la contraseña o clave de cifrado.

Consideraciones legales

El examen de los medios digitales está cubierto por la legislación nacional e internacional. En el caso de las investigaciones civiles, en particular, las leyes pueden restringir la capacidad de los analistas para realizar exámenes. A menudo existen restricciones contra el monitoreo de la red o la lectura de comunicaciones personales.[34]​ Durante la investigación criminal, las leyes nacionales restringen la cantidad de información que se puede confiscar.[34]​ Por ejemplo, en el Reino Unido la incautación de pruebas por parte de las fuerzas del orden se rige por la ley PACE .[9]​ Durante sus inicios en el campo, la "International Organization on Computer Evidence" (IOCE) fue una agencia que trabajó para establecer estándares internacionales compatibles para la incautación de pruebas.[35]

En el Reino Unido, las mismas leyes que cubren los delitos informáticos también pueden afectar a los investigadores forenses. La Ley de Uso Indebido de Computadoras de 1990 legisla contra el acceso no autorizado a material informático. Esta es una preocupación particular para los investigadores civiles que tienen más limitaciones que las fuerzas del orden.

El derecho de un individuo a la privacidad es un área de la ciencia forense digital que los tribunales aún no han decidido en gran medida. La Ley de Privacidad de las Comunicaciones Electrónicas de EE. UU. impone limitaciones a la capacidad de las fuerzas del orden o de los investigadores civiles para interceptar y acceder a las pruebas. La ley distingue entre comunicación almacenada (por ejemplo, archivos de correo electrónico) y comunicación transmitida (como VOIP ). Esto último, al considerarse más bien una invasión de la privacidad, es más difícil de obtener una orden judicial.[9][36]​ La ECPA también afecta la capacidad de las empresas para investigar las computadoras y las comunicaciones de sus empleados, un aspecto que aún está en debate sobre hasta qué punto una la empresa puede realizar dicho seguimiento.[9]

El artículo 5 del Convenio Europeo de Derechos Humanos afirma limitaciones de privacidad similares a las de la ECPA y limita el procesamiento y el intercambio de datos personales tanto dentro de la UE como con países externos. La capacidad de las autoridades del Reino Unido para realizar investigaciones forenses digitales está regulada por la Ley de Regulación de Poderes de Investigación .[9]

Prueba digital

Una prueba digital puede presentarse en varios formatos

Cuando se utiliza en un tribunal de justicia, la "prueba" digital se rige por las mismas pautas legales que otras tipos de "pruebas, ya que los tribunales generalmente no exigen pautas más estrictas.[9][37]​ En los Estados Unidos, las Reglas Federales de "pruebas se utilizan para evaluar la admisibilidad de las "pruebas digitales. Las leyes PACE y Civil Evidence del Reino Unido tienen directrices similares y muchos otros países tienen sus propias leyes. Las leyes federales de Estados Unidos restringen las incautaciones a artículos que sólo tienen un valor probatorio obvio. Se reconoce que esto no siempre es posible establecerlo con medios digitales antes de un examen.[34]

Las leyes que tratan sobre pruebas digitales se ocupan de dos cuestiones:

  • Integridad - es garantizar que el acto de incautar y adquirir medios digitales no modifique la "prueba" (ya sea el original o la copia).
  • Autenticidad: se refiere a la capacidad de confirmar la integridad de la información; por ejemplo, que las imágenes de los medios coincidan con la "prueba" original.[34]

La facilidad con la que se pueden modificar los medios digitales significa que documentar la cadena de custodia desde la escena del crimen, pasando por el análisis y, en última instancia, hasta el tribunal (una forma de pista de auditoría ) es importante para establecer la autenticidad de la "prueba".[9]

Los abogados han argumentado que debido a que, en teoría, la "prueba" digital se puede alterar, esto socava la confiabilidad de la propia "prueba". Los jueces estadounidenses están empezando a rechazar esta teoría; en el caso US v. Bonallo, el tribunal dictaminó que "el hecho de que sea posible alterar los datos contenidos en una computadora es claramente insuficiente para establecer que no es fiable".[9][38]​ En el Reino Unido, se siguen pautas como las emitidas por ACPO para ayudar a documentar la autenticidad e integridad de las pruebas.

Los investigadores digitales, particularmente en investigaciones criminales, deben asegurarse de que las conclusiones se basen en pruebas fácticas y en sus propios conocimientos expertos.[9]​ En los EE. UU., por ejemplo, las Reglas Federales de pruebas, establecen que un experto calificado puede testificar “en forma de opinión o de otro modo” siempre que:

Cada una de las subramas de la ciencia forense digital puede tener sus propias directrices específicas para la realización de investigaciones y el manejo de pruebas. Por ejemplo, es posible que sea necesario colocar los teléfonos móviles en un escudo de Faraday durante la incautación o adquisición para evitar un mayor tráfico de radio hacia el dispositivo. En el Reino Unido, el examen forense de ordenadores en asuntos penales está sujeto a las directrices de la ACPO .[9]​ También existen enfoques internacionales para brindar orientación sobre cómo manejar las pruebas electrónicas. La "Guía de pruebas electrónicas" del Consejo de Europa ofrece un marco para las autoridades judiciales y policiales de los países que buscan establecer o mejorar sus propias directrices para la identificación y el manejo de pruebas electrónicas.[39]

Herramientas de investigación

La admisibilidad de una "prueba" digital depende de las herramientas utilizadas para extraerla. En Estados Unidos, las herramientas forenses están sujetas al estándar Daubert, donde el juez es responsable de garantizar que los procesos y el software utilizados sean aceptables.

En un artículo de 2003, Brian Carrier argumentó que las directrices de Daubert requerían que el código de herramientas forenses fuera publicado y revisado por pares. Concluyó que "las herramientas de código abierto pueden cumplir de forma más clara y exhaustiva los requisitos de las directrices que las herramientas de código cerrado".[40]

En 2011, Josh Brunty afirmó que la validación científica de la tecnología y el software asociados con la realización de un examen forense digital es fundamental para cualquier proceso de laboratorio. Sostuvo que "la ciencia forense digital se basa en los principios de procesos repetibles y "pruebas de calidad, por lo que saber cómo diseñar y mantener adecuadamente un buen proceso de validación es un requisito clave para que cualquier examinador forense digital defienda sus métodos ante los tribunales".[41]

Ramas

La investigación forense digital no se limita a recuperar datos simplemente de la computadora, ya que los delincuentes violan las leyes y ahora se utilizan ampliamente pequeños dispositivos digitales (por ejemplo, tabletas, teléfonos inteligentes, unidades flash). Algunos de estos dispositivos tienen memoria volátil mientras que otros tienen memoria no volátil. Hay suficientes metodologías disponibles para recuperar datos de la memoria volátil; sin embargo, falta una metodología detallada o un marco para la recuperación de datos de fuentes de memoria no volátil.[42]​ Dependiendo del tipo de dispositivos, medios o artefactos, la investigación forense digital se divide en varios tipos.

Informática forense

Private Investigator & Certified Digital Forensics Examiner generando imágenes de un disco duro para un análisis forense.

El objetivo de la informática forense es explicar el estado actual de un artefacto digital; como un sistema informático, medio de almacenamiento o documento electrónico.[43]​ La disciplina generalmente cubre computadoras, sistemas integrados (dispositivos digitales con potencia informática rudimentaria y memoria integrada) y memorias estáticas (como memorias USB).

La informática forense puede manejar una amplia gama de información; desde registros (como el historial de Internet) hasta los archivos reales en la unidad. En 2007, los fiscales utilizaron una hoja de cálculo recuperada del ordenador de Joseph Edward Duncan para demostrar premeditación y garantizar la pena de muerte .[6]​ El asesino de Sharon Lopatka fue identificado en 2006 después de que se encontraran en su computadora mensajes de correo electrónico suyos que detallaban torturas y fantasías de muerte.[9]

Análisis forense de dispositivos móviles

Teléfonos móviles en una bolsa de pruebas del Reino Unido

La ciencia forense de dispositivos móviles es una subrama de la ciencia forense digital relacionada con la recuperación de "pruebas o datos digitales de un dispositivo móvil . Se diferencia de la informática forense en que un dispositivo móvil tendrá un sistema de comunicación incorporado (por ejemplo, GSM ) y, normalmente, mecanismos de almacenamiento propietarios. Las investigaciones suelen centrarse en datos simples, como datos de llamadas y comunicaciones (SMS/correo electrónico), en lugar de una recuperación en profundidad de datos eliminados.[9][44]​ Los datos SMS de una investigación sobre dispositivos móviles ayudaron a exonerar a Patrick Lumumba del asesinato de Meredith Kercher .[6]

Los dispositivos móviles también son útiles para proporcionar información de ubicación; ya sea desde GPS incorporado/rastreo de ubicación o mediante registros del sitio celular, que rastrean los dispositivos dentro de su alcance. Esta información se utilizó para localizar a los secuestradores de Thomas Onofri en 2006.[6]

Para llevar a cabo análisis forenses en dispositivos móviles, existen herramientas especializadas que permiten la extracción, análisis y preservación de datos. Algunas de las más destacadas incluyen:

Herramientas gratuitas

1. Autopsy Mobile Modules: Extiende la funcionalidad de la plataforma Autopsy para analizar datos extraídos de dispositivos móviles.

2. Cellebrite Reader: Herramienta gratuita para visualizar y analizar informes generados por herramientas Cellebrite.

3. AFLogical: Una solución de código abierto que permite extraer datos básicos de dispositivos Android.

4. Oxygen Forensic Viewer: Permite explorar y analizar los informes creados con otras herramientas Oxygen.

5. ADB (Android Debug Bridge): Herramienta gratuita de línea de comandos para extraer datos desde dispositivos Android compatibles.

Herramientas de pago o suscripción

1. Cellebrite UFED: Uno de los estándares de la industria para la extracción y análisis de datos en dispositivos móviles.

2. Magnet AXIOM: Permite el análisis integral de dispositivos móviles, con capacidades avanzadas de recuperación de datos eliminados.

3. Oxygen Forensic Detective: Solución completa para la extracción, análisis y reporte de datos de dispositivos móviles.

4. XRY (MSAB): Herramienta confiable para la recuperación de datos en profundidad desde múltiples dispositivos móviles.

5. BlackLight (BlackBag): Ofrece capacidades avanzadas para analizar datos móviles y de dispositivos conectados.

Estas herramientas, combinadas con una metodología rigurosa, son esenciales para garantizar que las pruebas digitales sean preservadas y analizadas adecuadamente, contribuyendo de manera significativa a las investigaciones legales.


Análisis forense de redes

La ciencia forense de redes se ocupa del seguimiento y análisis del tráfico de la red informática, tanto local como WAN / Internet, con el fin de recopilar información, recopilación de pruebas o detección de intrusiones.[45]​ El tráfico suele ser interceptados a nivel de paquete y almacenados para su posterior análisis o filtrados en tiempo real. A diferencia de otras áreas de la ciencia forense digital, los datos de la red suelen ser volátiles y rara vez se registran, lo que hace que la disciplina sea a menudo reaccionaria.

En 2000, el FBI atrajo a los piratas informáticos Aleksey Ivanov y Gorshkov a Estados Unidos para una entrevista de trabajo falsa. Al monitorear el tráfico de red desde las computadoras de la pareja, el FBI identificó contraseñas que les permitieron recolectar "pruebas directamente desde computadoras con sede en Rusia.[9][46]

Análisis de datos forenses

El análisis de datos forenses es una rama de la ciencia forense digital. Examina datos estructurados con el objetivo de descubrir y analizar patrones de actividades fraudulentas resultantes de delitos financieros.[46]

Análisis forense de imágenes digitales

La criminalística de imágenes digitales (o análisis forense de imágenes ) es una rama de la criminalística digital que se ocupa del examen y verificación de la autenticidad y el contenido de una imagen.[47]​ Las imágenes pueden variar desde fotografías retocadas con aerógrafo de la era de Stalin hasta elaborados videos deepfake .[48][49]​ Esto tiene amplias implicaciones para una amplia variedad de delitos, para determinar la validez de la información presentada en juicios civiles y penales, y para verificar imágenes e información que circulan a través de noticias y redes sociales.[48][50][51][49]

Análisis forense de bases de datos

La ciencia forense de bases de datos es una rama de la ciencia forense digital relacionada con el estudio forense de bases de datos y sus metadatos .[52]​ Las investigaciones utilizan contenidos de bases de datos, archivos de registro y datos en RAM para crear una línea de tiempo o recuperar información relevante.

Análisis forense de IoT

La ciencia forense de IoT es una rama de la ciencia forense digital que tiene el objetivo de identificar y extraer información digital de dispositivos pertenecientes al campo de Internet de las cosas, para utilizarla en investigaciones forenses como posible fuente de "pruebas.[53]

Referencias

  1. «Análisis forense digital». 
  2. Chas, Guillermo (5 de noviembre de 2021). «La relevancia de las pruebas digitales y la modernización de la justicia». «Este ejemplo es muy interesante, porque demuestra la importancia que tienen hoy en día las pruebas que puedan obtenerse a través de los medios electrónicos, ya que son espacios donde pueden dejarse rastros de hechos que pueden constituir un delito penal.» 
  3. a b c d e f M Reith; C Carr; G Gunsch (2002). An examination of digital forensic models. International Journal of Digital Evidence. 
  4. Carrier, B (2001). «Defining digital forensic examination and analysis tools». International Journal of Digital Evidence 1: 2003. 
  5. «The Different Branches of Digital Forensics». BlueVoyant. 8 de marzo de 2022.  AzulVoyant . 2022-03-08.
  6. a b c d e f g Various (2009). Eoghan Casey, ed. Handbook of Digital Forensics and Investigation. Academic Press. p. 567. ISBN 978-0-12-374267-4. 
  7. a b c Carrier, Brian D (7 de junio de 2006). «Basic Digital Forensic Investigation Concepts». Archivado desde el original el 26 de febrero de 2010. 
  8. «The Florida Computer Crimes Act, Probably the First U. S. Legislation against Computer Crimes, Becomes Law». History of Information. 1978. Archivado desde el original el 12 de junio de 2010.  Historia de la Información . 1978. Archivado desde el original el 12 de junio de 2010.
  9. a b c d e f g h i j k l m n ñ o p q r s Casey, Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 978-0-12-163104-8. 
  10. Aaron Phillip; David Cowen; Chris Davis (2009). Hacking Exposed: Computer Forensics. McGraw Hill Professional. p. 544. ISBN 978-0-07-162677-4. Consultado el 27 de agosto de 2010. 
  11. a b M, M. E. «A Brief History of Computer Crime: A». Norwich University. Archivado desde el original el 21 de agosto de 2010. Consultado el 30 de agosto de 2010. 
  12. a b Mohay, George M. (2003). Computer and intrusion forensics. Artechhouse. p. 395. ISBN 978-1-58053-369-0. 
  13. a b c Peter Sommer (January 2004). «The future for the policing of cybercrime». Computer Fraud & Security 2004 (1): 8-12. ISSN 1361-3723. doi:10.1016/S1361-3723(04)00017-X. 
  14. a b c Simson L. Garfinkel (August 2010). «Digital forensics research: The next 10 years». Digital Investigation 7: S64–S73. ISSN 1742-2876. doi:10.1016/j.diin.2010.05.009. 
  15. Linda Volonino; Reynaldo Anzaldua (2008). Computer forensics for dummies. For Dummies. p. 384. ISBN 978-0-470-37191-6. 
  16. GL Palmer; I Scientist; H View (2002). «Forensic analysis in the digital world». International Journal of Digital Evidence. Consultado el 2 de agosto de 2010. 
  17. Wilding, E. (1997). Computer Evidence: a Forensic Investigations Handbook. London: Sweet & Maxwell. p. 236. ISBN 978-0-421-57990-3. 
  18. Collier, P.A.; Spaul, B.J. (1992). «A forensic methodology for countering computer crime». Computers and Law. 
  19. «Best practices for Computer Forensics». SWGDE. Archivado desde el original el 27 de diciembre de 2008. Consultado el 4 de agosto de 2010. 
  20. «ISO/IEC 17025:2005». ISO. Archivado desde el original el 5 de agosto de 2011. Consultado el 20 de agosto de 2010. 
  21. SG Punja (2008). «Mobile device analysis». Small Scale Digital Device Forensics Journal. Archivado desde el original el 28 de julio de 2011. 
  22. Rizwan Ahmed (2008). «Mobile forensics: an overview, tools, future trends and challenges from law enforcement perspective». 6th International Conference on E-Governance. Archivado desde el original el 3 de marzo de 2016. 
  23. Peterson, Gilbert; Shenoi, Sujeet (2009). «Digital Forensic Research: The Good, the Bad and the Unaddressed». Advances in Digital Forensics V. IFIP Advances in Information and Communication Technology 306. Springer Boston. pp. 17-36. Bibcode:2009adf5.conf...17B. ISBN 978-3-642-04154-9. doi:10.1007/978-3-642-04155-6_2. 
  24. Mohay, George M. (2003). Computer and Intrusion Forensics. Artech House. ISBN 9781580536301.  Análisis forense informático y de intrusiones . Casa Artech. ISBN 9781580536301 .
  25. Fatah, Alim A.; Higgins, Kathleen M. (February 1999). Forensic Laboratories: Handbook for Facility Planning, Design, Construction and Moving. DIANE Publishing. ISBN 9780788176241.  Laboratorios forenses: manual para la planificación, el diseño, la construcción y el traslado de instalaciones . Editorial DIANE. ISBN 9780788176241 .
  26. a b Adams, Richard (2013). «'The Advanced Data Acquisition Model (ADAM): A process model for digital forensic practice». Murdoch University. Archivado desde el original el 14 de noviembre de 2014. 
  27. «'Electronic Crime Scene Investigation Guide: A Guide for First Responders». National Institute of Justice. 2001. Archivado desde el original el 15 de febrero de 2010. 
  28. «Catching the ghost: how to discover ephemeral evidence with Live RAM analysis». Belkasoft Research. 2013. 
  29. Adams, Richard (2013). «'The emergence of cloud storage and the need for a new digital forensic process model». Murdoch University. 
  30. Maarten Van Horenbeeck (24 de mayo de 2006). «Technology Crime Investigation». Archivado desde el original el 17 de mayo de 2008. Consultado el 17 de agosto de 2010. 
  31. a b Richard, Adams; Graham, Mann; Valerie, Hobbs (2017). ISEEK, a tool for high speed, concurrent, distributed forensic data acquisition.  "ISEEK, una herramienta para la adquisición de datos forenses distribuidos, simultáneos y de alta velocidad" . {{ cite journal }} : Citar diario requiere | journal= ( ayuda )
  32. Hoelz, Bruno W. P.; Ralha, Célia Ghedini; Geeverghese, Rajiv (8 de marzo de 2009). «Artificial intelligence applied to computer forensics». Proceedings of the 2009 ACM symposium on Applied Computing. ACM. pp. 883-888. ISBN 9781605581668. doi:10.1145/1529282.1529471.  "Inteligencia artificial aplicada a la informática forense". Actas del simposio ACM de 2009 sobre informática aplicada . ACM. páginas. 883–888. doi : 10.1145/1529282.1529471 . ISBN 9781605581668 . S2CID 5382101 .
  33. Warren G. Kruse; Jay G. Heiser (2002). Computer forensics: incident response essentials. Addison-Wesley. p. 392. ISBN 978-0-201-70719-9. (requiere registro). 
  34. a b c d Sarah Mocas (February 2004). «Building theoretical underpinnings for digital forensics research». Digital Investigation 1 (1): 61-68. ISSN 1742-2876. doi:10.1016/j.diin.2003.12.004. 
  35. Kanellis, Panagiotis (2006). Digital crime and forensic science in cyberspace. Idea Group Inc (IGI). p. 357. ISBN 978-1-59140-873-4. 
  36. K S Rosenblatt (1995). High-Technology Crime: Investigating Cases Involving Computers. KSK Publications. ISBN 978-0-9648171-0-4. Consultado el 4 de agosto de 2010. (requiere registro). 
  37. US v. Bonallo, 858 F. 2d 1427 (9th Cir. 1988).
  38. «Electronic Evidence Guide». Council of Europe. April 2013. Archivado desde el original el 27 de diciembre de 2013. 
  39. Brunty, Josh (March 2011). «Validation of Forensic Tools and Software: A Quick Guide for the Digital Forensic Examiner». Forensic Magazine. Archivado desde el original el 22 de abril de 2017. 
  40. Jansen, Wayne (2004). Ayers. NIST. p. NIST Special Publication. doi:10.6028/NIST.SP.800-72. Archivado desde el original el 12 de febrero de 2006. Consultado el 26 de febrero de 2006.  "Ayers" (PDF) . Publicación especial del NIST . NIST. doi : 10.6028/NIST. SP.800-72 . Archivado (PDF) desde el original el 12 de febrero de 2006 . Consultado el 26 de febrero de 2006 .
  41. A Yasinsac; RF Erbacher; DG Marks; MM Pollitt (2003). «Computer forensics education». IEEE Security & Privacy 1 (4): 15-23. doi:10.1109/MSECP.2003.1219052.  "Educación en informática forense". Seguridad y privacidad de IEEE . 1 (4): 15-23. doi : 10.1109/MSECP.2003.1219052 .
  42. «Technology Crime Investigation :: Mobile forensics». Archivado desde el original el 17 de mayo de 2008. Consultado el 18 de agosto de 2010. 
  43. Gary Palmer, A Road Map for Digital Forensic Research, Informe del DFRWS 2001, Primer taller de investigación forense digital, Utica, Nueva York, 7 y 8 de agosto de 2001, páginas 27 a 30
  44. a b «2 Russians Face Hacking Charges». Moscow Times. 24 de abril de 2001. Archivado desde el original el 22 de junio de 2011. Consultado el 3 de septiembre de 2010. 
  45. Burns, Matt (6 de marzo de 2020). «A quick guide to digital image forensics». CameraForensics. Consultado el 21 de diciembre de 2022.  "Una guía rápida para la ciencia forense de imágenes digitales" . Cámara Forense . Consultado el 21 de diciembre de 2022 .
  46. a b Farid, Hany (15 de septiembre de 2019). «Image Forensics». Annual Review of Vision Science (en inglés) 5 (1): 549-573. ISSN 2374-4642. PMID 31525144. doi:10.1146/annurev-vision-091718-014827. Consultado el 21 de diciembre de 2022.  "Imagen forense" . Revisión anual de la ciencia de la visión . 5 (1): 549–573. doi : 10.1146/annurev-vision-091718-014827 . ISSN 2374-4642 . PMID 31525144 . S2CID 202642073 . Consultado el 21 de diciembre de 2022 .
  47. a b Waldrop, M. Mitchell (16 de marzo de 2020). «Synthetic media: The real trouble with deepfakes». Knowable Magazine (en inglés) (Annual Reviews). doi:10.1146/knowable-031320-1. Consultado el 19 de diciembre de 2022.  "Medios sintéticos: el verdadero problema de los deepfakes" . Revista Conocible . Revisiones anuales. doi : 10.1146/conocible-031320-1 . Consultado el 19 de diciembre de 2022 .
  48. Pawelec, M (2022). «Deepfakes and Democracy (Theory): How Synthetic Audio-Visual Media for Disinformation and Hate Speech Threaten Core Democratic Functions.». Digital Society: Ethics, Socio-legal and Governance of Digital Technology 1 (2): 19. PMC 9453721. PMID 36097613. doi:10.1007/s44206-022-00010-6.  "Deepfakes y democracia (teoría): cómo los medios audiovisuales sintéticos para la desinformación y el discurso de odio amenazan las funciones democráticas fundamentales" . Sociedad Digital: Ética, Sociojurídica y Gobernanza de la Tecnología Digital . 1 (2): 19. doi : 10.1007/s44206-022-00010-6 . PMC 9453721 . PMID 36097613 .
  49. Westerlund, Mika (2019). «The Emergence of Deepfake Technology: A Review». Technology Innovation Management Review (en inglés) 9 (11): 39-52. ISSN 1927-0321. doi:10.22215/timreview/1282.  "La aparición de la tecnología Deepfake: una revisión" . Revisión de la gestión de la innovación tecnológica . 9 (11): 39–52. doi : 10.22215/timreview/1282 . ISSN 1927-0321 . S2CID 214014129 .
  50. Olivier, Martin S. (March 2009). «On metadata context in Database Forensics». Digital Investigation 5 (3–4): 115-123. doi:10.1016/j.diin.2008.10.001. 
  51. M. Stoyanova; Y. Nikoloudakis; S. Panagiotakis; E. Pallis; E. Markakis (2020). «A Survey on the Internet of Things (IoT) Forensics: Challenges, Approaches, and Open Issues». IEEE Communications Surveys & Tutorials 22 (2): 1191-1221. doi:10.1109/COMST.2019.2962586.  Stoyanova; Y. Nikoloudakis; S. Panagiotakis; E. Pallis; E. Markakis (2020). "Una encuesta sobre la ciencia forense de Internet de las cosas (IoT): desafíos, enfoques y cuestiones abiertas" . Encuestas y tutoriales de comunicaciones IEEE . 22 (2): 1191-1221. doi : 10.1109/COMST.2019.2962586 . S2CID 213028057 .

Bibliografía

Revistas relacionadas

Enlaces externos