You are on page 1of 10

dos

Introducción a la
informática forense
Jeimy J. Cano, Ph.D, CFE

Una disciplina técnico-legal

E
l constante reporte de vul- donde se llevaron a cabo las acciones
nerabilidades en sistemas catalogadas como criminales. En
de información, el aprove- este momento, es preciso establecer
chamiento de fallas bien un nuevo conjunto de herramientas,
sea humanas, procedimentales o tec- estrategias y acciones para descubrir
nológicas sobre infraestructuras de en los medios informáticos, la evi-
computación en el mundo, ofrecen dencia digital que sustente y verifi-
un escenario perfecto para que se que las afirmaciones que sobre los
cultiven tendencias relacionadas con hechos delictivos se han materializa-
intrusos informáticos. [KSHETRI do en el caso bajo estudio.
2006, SUNDT 2006] Estos intrusos
poseen diferentes motivaciones, La informática forense hace enton-
alcances y estrategias que descon- ces su aparición como una disciplina
ciertan a analistas, consultores y auxiliar de la justicia moderna, para
cuerpos de especiales de investiga- enfrentar los desafíos y técnicas de
ciones, pues sus modalidades de ata- los intrusos informáticos, así como
que y penetración de sistemas varían garante de la verdad alrededor de la
de un caso a otro. evidencia digital que se pudiese
aportar en un proceso.
A pesar del escenario anterior, la cri-
minalística nos ofrece un espacio de En consecuencia, este breve docu-
análisis y estudio hacia una reflexión mento busca ofrecer un panorama
profunda sobre los hechos y las evi- general de esta especialidad técnico-
dencias que se identifican en el lugar legal, para ilustrar a los lectores

64 Sistemas
sobre los fundamentos generales y sentación de las pruebas en el con-
bases de actuación de aquellos que texto de la situación bajo inspección.
se han dedicado a procurar el escla-
recimiento de los hechos en medios Iniciemos con computer forensics,
informáticos, unos nuevos científi- cuya traducción por lo general se
cos que a través de la formalidad de hace como computación forense.
los procesos y la precisión de la téc- Esta expresión podría interpretarse
nica buscan decirle a los intrusos de dos maneras: 1. Disciplina de las
informáticos que están preparados ciencias forenses, que considerando
para confrontarlos y procesarlos. las tareas propias asociadas con la
evidencia, procura descubrir e inter-
Definiciones pretar la información en los medios
informáticos para establecer los
Existen múltiples definiciones a la hechos y formular las hipótesis rela-
fecha sobre el tema forense en infor- cionadas con el caso; o 2. Como la
mática [MCKEMMISH 1999]. Una disciplina científica y especializada
primera revisión nos sugiere diferen- que entendiendo los elementos pro-
tes términos para aproximarnos a pios de las tecnologías de los equi-
este tema, dentro de los cuales se tie- pos de computación ofrece un
nen: computación forense, digital análisis de la información residente
forensics (forensia digital), network en dichos equipos.
forensics (forensia en redes), entre
otros. Este conjunto de términos Estas dos definiciones no son exclu-
puede generar confusión en los dife- yentes, sino complementarias. Una
rentes ambientes o escenarios donde de ellas hace énfasis en las conside-
se utilice, pues cada uno de ellos raciones forenses y la otra en la espe-
trata de manera particular o general cialidad técnica, pero en últimas
temas que son de interés para las ambas procuran el esclarecimiento e
ciencias forenses aplicadas en interpretación de la información en
medios informáticos. los medios informáticos como valor
fundamental, uno para la justicia y
Es importante anotar, que al ser esta otro para la informática.
especialidad técnica un recurso
importante para las ciencias forenses Cuando se habla de network foren-
modernas, asumen dentro de sus pro- sics, forensia en redes, estamos en un
cedimientos las tareas propias aso- escenario aún más complejo, pues es
ciadas con la evidencia en la escena necesario comprender la manera
del crimen como son: identificación, como los protocolos, configuracio-
preservación, extracción, análisis, nes e infraestructuras de comunica-
interpretación, documentación y pre- ciones se conjugan para dar como
Sistemas 65
resultado un momento específico en Como hemos revisado, las definicio-
el tiempo y un comportamiento par- nes abordan aspectos generales y
ticular. Esta conjunción de palabras específicos que convergen en todos
establece un profesional que enten- los casos hacia la identificación, pre-
diendo las operaciones de las redes servación, extracción, análisis, inter-
de computadores, es capaz, siguien- pretación, documentación y
do los protocolos y formación crimi- presentación de evidencia digital
nalística, de establecer los rastros, para detallar, validar y sustentar las
los movimientos y acciones que un hipótesis que sobre un evento se
intruso ha desarrollado para concluir hayan formulado. No obstante lo
su acción. A diferencia de la defini- anterior, es pertinente anotar que
ción de computación forense, este aquellos dedicados a esta disciplina
contexto exige capacidad de correla- emergente como la informática
ción de evento, muchas veces dis- forense, deben ser profesionales no
yuntos y aleatorios, que en equipos con altos niveles de ética y respeto
particulares, es poco frecuente. por las instituciones, sino con los
más altos niveles, pues en ellos esta
Finalmente, digital forensics, foren- el soporte de las decisiones que
sia digital, trata de conjugar de sobre los hechos analizados se
manera amplia la nueva especiali- tomen.
dad. Podríamos hacer semejanza con
informática forense, al ser una forma Evidencia digital
de aplicar los conceptos, estrategias
y procedimientos de la criminalística De acuerdo con el HB:171 2003
tradicional a los medios informáticos Guidelines for the Management of
especializados, con el fin de apoyar a IT Evidence, la evidencia digital es:
la administración de justicia en su "cualquier información, que sujeta a
lucha contra los posibles delincuen- una intervención humana u otra
tes o como una disciplina especiali- semejante, ha sido extraída de un
zada que procura el esclarecimiento medio informático". En este sentido,
de los hechos (¿quién?, ¿cómo?, la evidencia digital, es un término
¿dónde?, ¿cuándo?, ¿porqué?) de utilizado de manera amplia para des-
eventos que podrían catalogarse cribir "cualquier registro generado
como incidentes, fraudes o usos por o almacenado en un sistema
indebidos bien sea en el contexto de computacional que puede ser utiliza-
la justicia especializada o como do como evidencia en un proceso
apoyo a las acciones internas de las legal".
organizaciones en el contexto de la
administración de la inseguridad En este sentido el documento men-
informática. cionado establece que la evidencia
66 Sistemas
digital puede ser dividida en tres 3.Es duplicable
categorías a saber: 4.Es alterable y modificable

1. Registros almacenados en el equi- 5.Es eliminable


po de tecnología informática (P.e.
correos electrónicos, archivos de Estas características nos advierten
aplicaciones de ofimática, imágenes, sobre la exigente labor que se requie-
etc.) re por parte de los especialistas en
2. Registros generados por los equi- temas de informática forense, tanto
pos de tecnología informática (regis- en procedimientos, como en técnicas
tros de auditoría, registros de y herramientas tecnológicas para
transacciones, registros de eventos, obtener, custodiar, revisar, analizar y
etc.). presentar la evidencia presente en
una escena del delito. Por tanto, es
3. Registros que parcialmente han necesario mantener un conocimiento
sido generados y almacenados en los detallado de las normas y regulacio-
equipos de tecnología informática. nes legales asociadas con las pruebas
(hojas de cálculo financieras, con- y el derecho procesal, así como de
sultas especializadas en bases de las técnicas y procesos que permitan
datos, vistas parciales de datos, etc.). mantener la confiabilidad de los
datos recogidos, la integridad de los
La evidencia digital es la materia medios, el análisis detallado de los
prima para los investigadores donde datos y la presentación idónea de los
la tecnología informática es parte resultados.
fundamental del proceso. Sin embar-
go y considerando, el ambiente tan Procedimientos
cambiante y dinámico de las infraes-
tructuras de computación y comuni- Considerando la fragilidad del insu-
caciones, es preciso detallar las mo con el cual trabajan los especia-
características propias de dicha evi- listas en informática forense, es
dencia en este entorno. La evidencia preciso extremar las medidas de
digital posee, entre otros, los seguridad y control que éstos deben
siguientes elementos que la hacen un tener a la hora de adelantar sus labo-
constante desafío para aquellos que res, pues cualquier imprecisión en
la identifican y analizan en la bús- las mismas puede llevar a compro-
queda de la verdad: meter el proceso bien sea legal u
organizacional [WILSON 2003,
TAYLOR, R., CAETI, T., KALL
1.Es volátil LOPER, D., FRITSCH, E y LIE-
2.Es anónima DERBACH, J. 2006]. En este senti-
Sistemas 67
do, detallamos de manera básica firma digitales que puedan compro-
algunos elementos que deben ser bar que la información inicialmente
considerados para mantener la ido- tomada corresponde a la que se ubica
neidad del procedimiento forense en el medio de copia. Adicionalmen-
adelantado: te, es preciso que el software u apli-
cación soporte de esta operación
1. Esterilidad de los medios de informáticos haya sido previamente probado y
de trabajo analizado por la comunidad científi-
ca, para que conociendo su tasa de
Los medios informáticos utilizados efectividad, sea validado en un pro-
por los profesionales en esta área, cedimiento ante una diligencia legal.
deben estar certificados de tal mane-
ra, que éstos no hayan sido expues-
tos a variaciones magnéticas, ópticas 3. Documentación de los procedimientos,
(láser) o similares, so pena de que las herramientas y resultados sobre los
medios informáticos analizados
copias de la evidencia que se ubi-
quen en ellos puedan estar contami- El investigador debe ser el custodio
nadas. La esterilidad de los medios de su propio proceso, por tanto cada
es una condición fundamental para uno de los pasos realizados, las
el inicio de cualquier procedimiento herramientas utilizadas (sus versio-
forense en informática, pues al igual nes, licencias y limitaciones), los
que en la medicina forense, un ins- resultados obtenidos del análisis de
trumental contaminado puede ser los datos, deben estar claramente
causa de una interpretación o análi- documentados, de tal manera, que
sis erróneo de las causas de la muer- cualquier persona externa pueda
te del paciente. validar y revisar los mismos. Ante
una confrontación sobre la idoneidad
del proceso, el tener documentado y
2. Verificación de las copias en medios validado cada uno de sus procesos
informáticos ofrece una importante tranquilidad al
Las copias efectuadas en los medios investigador, pues siendo rigurosos
previamente esterilizados, deben ser en la aplicación del método científi-
idénticas al original del cual fueron co es posible que un tercero repro-
tomadas. La verificación de éstas duzca sus resultados utilizando la
debe estar asistida por métodos y misma evidencia.
procedimientos matemáticos que
establezcan la completitud de la 4. Mantenimiento de la cadena de custodia
información traspasada a la copia. de las evidencias digitales
Para esto, se sugiere utilizar algorit- Este punto es complemento del ante-
mos y técnicas de control basadas en rior. La custodia de todos los ele-

68 Sistemas
mentos allegados al caso y en poder
del investigador, debe responder a
una diligencia y formalidad especia-
les para documentar cada uno de los
eventos que se han realizado con la
evidencia en su poder. Quién la
entregó, cuándo, en qué estado,
cómo se ha transportado, quién ha
tenido acceso a ella, cómo se ha
efectuado su custodia, entre otras,
son las preguntas que deben estar
claramente resueltas para poder dar
cuenta de la adecuada administra-
ción de las pruebas a su cargo.

5. Informe y presentación de resultados de


los análisis de los medios informáticos
Este elemento es tan importante
como los anteriores, pues una inade-
cuada presentación de los resultados
puede llevar a falsas expectativas o
declarar ante un jurado o juicio, por
interpretación de los hechos que
tanto, es probable que en el curso de
ponga en entredicho la idoneidad del
la investigación o del caso, lo pue-
investigador. Por tanto, la claridad,
dan llamar a declarar en ese instante
el uso de un lenguaje amable y sin
o mucho tiempo después. Por tanto,
tecnicismos, una redacción impeca-
el mantener un sistema automatizado
ble sin juicios de valor y una ilustra-
de documentación de expedientes de
ción pedagógica de los hechos y los
los casos, con una adecuada cuota de
resultados, son elementos críticos a
seguridad y control, es labor necesa-
la hora de defender un informe de
ria y suficiente para salvaguardar los
las investigaciones. Generalmente
resultados de las investigaciones y el
existen dos tipos de informes, los
debido cuidado, diligencia y previsi-
técnicos con los detalles de la ins-
bilidad del profesional que ha parti-
pección realizada y el ejecutivo para
cipado en el caso.
la gerencia y sus dependencias.

7. Auditoría de los procedimientos realiza-


6. Administración del caso realizado dos en la investigación
Los investigadores forenses en Finalmente y no menos importante,
informática deben prepararse para es recomendable que el profesional

Sistemas 69
investigador mantenga un ejercicio los medios informáticos. Sin embar-
de autoevaluación de sus pro- go, es preciso comentar que éstas
cedimientos, para contar con la requieren de una formalidad adicio-
evidencia de una buena práctica de nal que permita validar tanto la con-
investigaciones forenses, de tal fiabilidad de los resultados de la
manera que el ciclo de calidad: aplicación de las mismas, como la
PHVA - Planear, Hacer, Verificar y formación y conocimiento del inves-
Actuar, sea una constante que per- tigador que las utiliza. Estos dos ele-
mita incrementar la actual con- mentos hacen del uso de las herra-
fiabilidad de sus procedimientos y mientas, una constante reflexión y
cuestionar sus prácticas y técnicas cuestionamiento por parte de la
actuales para el mejoramiento de su comunidad científica y práctica de la
ejercicio profesional y la práctica de informática forense en el mundo.
la disciplina.
Dentro de las herramientas frecuen-
Herramientas temente utilizadas en procedimien-
tos forenses en informática detalla-
Hablar de informática forense sin mos algunas para conocimiento
revisar algunas ideas sobre herra- general de los lectores, que son apli-
mientas es hablar en un contexto teó- caciones que tratan de cubrir todo el
rico de procedimientos y formalida- proceso en la investigación forense
des legales. Las herramientas infor- en informática:
máticas, son la base esencial de los ENCASE - http://www.encase.com/
análisis de las evidencias digitales en products/ef_index.asp

FORENSIC TOOLKIT - http:// precios oscilan entre los 600 y los


www.accessdata.com/products/utk/ 5000 dólares americanos, existen
WINHEX - http://www.x-ways.net/ otras que no cuentan con tanto reco-
forensics/index-m.html nocimiento internacional en proce-
Si bien las herramientas detalladas sos legales, que generalmente son
anteriormente son licenciadas y sus aplicaciones en software de código

7 0 Sistemas
abierto (entre otras, Sleuth Kit - cias forenses aplicadas a los medios
http://www.sleuthkit.org/, Coroner informáticos. Dentro de los temas
Toolkit seleccionados están:

http://www.porcupine.org/foren- 1.El reconocimiento de la evidencia digital


sics/tct.html). Estás últimas a pesar como evidencia formal y válida
de que son utilizadas con frecuencia
La evidencia digital en la adminis-
como estrategia de validación en el
tración de justicia en muchas partes
uso de otras herramientas, vienen
del mundo continua siendo una
haciendo una importante carrera en
situación problemática por resolver
la práctica de la informática forense,
[BRUNGS, A y JAMIESON, R.
con lo cual no se descarta en un futu-
2003]. Dada las características men-
ro próximo que éstas estén compi-
cionadas previamente, se hace un
tiendo mano a mano con las
elemento que requiere un tratamien-
licenciadas mencionadas anterior-
to especial, más allá de las caracte-
mente. Para mayor información de
rísticas legales requeridas, pues éstas
otras herramientas forenses en infor-
deben estar articuladas con los
mática se sugiere revisar el enlace:
esfuerzos de seguridad de la infor-
http://www.e-evidence.info/ven-
dors.html.

Retos

La informática forense es un desafío


interdisciplinario que requiere un
estudio detallado de la tecnología,
los procesos y los individuos que
permitan la conformación de un
cuerpo de conocimiento formal,
científico y legal para el ejercicio de
una disciplina que apoye directa-
mente la administración de la justi-
cia y el esclarecimiento de los
hechos alrededor de los incidentes o
fraudes en las organizaciones. En
este sentido, se tienen agendas de
investigación a corto y mediano
plazo para que se avancen en temas
de especial interés en la conforma-
ción y fortalecimiento de las cien-
Sistemas 71
labores de peritaje informático tanto
en la administración de justicia
como en investigaciones organiza-
cionales internas.

Al ser la informática forense una


ciencia aplicada naciente, se hace
necesario iniciar las reflexiones
sobre la formación de un especialis-
ta en informática forense [WHITE,
D., REA, A., MCKENZIE, B y
GLORFLED, L 2004, CANO 2006].
Esta formación necesariamente
deberá ser interdisciplinaria y para
mación vigentes en las organizacio- ello se requiere el concurso de los
nes. profesionales del derecho, la crimi-
nalística, las tecnologías de informa-
ción y la seguridad informática,
2.Los mecanismos y estrategias de valida-
ción y confiabilidad de las herramientas
como mínimo, sin perjuicio de que
forenses en informática otras disciplinas académicas puedan
estar presentes en la estrategia de
Las herramientas utilizadas actual- profesionalización de estos nuevos
mente en investigaciones forenses en especialistas.
informática están cumpliendo una
función importante para esclarecer A lo largo de este documento hemos
los hechos ante incidentes informáti- querido mostrar de manera básica y
cos. Sin embargo, la fragilidad inhe- concreta una aproximación a la
rente del software, la vulnerabilidad informática forense, no con el ánimo
presentes en las mismas y las limita- de sugerir un curso de acción sobre
ciones propias de los lenguajes y el tema, sino de ilustrar los diferen-
prácticas de programación hacen que tes escenarios y elementos que com-
la comunidad académica y científica ponen esta naciente disciplina
redoble sus esfuerzos para hacer de auxiliar de la criminalística. Es pre-
estos programas, herramientas más ciso aclarar, que los conceptos
confiables y predecibles para los expresados en este artículo respon-
cuerpos de investigaciones judiciales den a una revisión de la práctica
y organizacionales. internacional sobre el tema y que el
3. La formación de especialistas en análisis para el caso colombiano
informática forense, que apoyen requiere aún un estudio particular.

7 2 Sistemas
La informática forense es la respues- mento.shtml?x=728
ta natural del entorno digital y de la TAYLOR, R., CAETI, T., KALL LOPER,
D., FRITSCH, E y LIEDERBACH, J.
sociedad de la información para res- (2006) Digital crime and digital terro-
ponder a la creciente ola de inciden- rism. Pearson Prentice Hall. Cap. 11 y
tes, fraudes y ofensas (en medios 12.
informáticos y a través de medios WILSON, A. (2003) Investigation by
informáticos) con el fin de enviar un computer. Digital evidence - data in the
box!. Association of Certified Fraud
mensaje claro a los intrusos: estamos Examiners. Proceedings of 14th Annual
preparados para responder a sus Fraud Conference. Chicago, IL.
acciones y continuamos aprendiendo August.
para dar con la verdad de sus accio- BRUNGS, A y JAMIESON, R. (2003)
nes. Legal issues for computer forensics.
Proceedings for 14th Australasian
Conference on Information Systems.
Referencias Perth, Western Australia. November.
WHITE, D., REA, A., MCKENZIE, B y
KSHETRI, N. (2006) The simple econo- GLORFLED, L. (2004) A model and
mics of cybercrime. IEEE Security & guide for an introductory computer
Privacy. January/February. security forensic course. Proceedings
SUNDT, C. (2006) Information security of the Tenth Americas Conference on
and the law. Information Security Tech- Information Systems, New York, New
nical Report. Vol.2 No.9 York, August.
CANO, J. (2006) Estado del arte del MCKEMMISH, R. (1999) What is
peritaje informático en Latinoamérica. forensic computing?. Australian Insti-
Alfa- REDI. Disponible en: tute of Criminology. Issues and Trends
http://www.alfa-redi.org/ar-dnt-docu- in crime and criminal justice. No. 118.

Jeimy J. Cano, Ph.D, CFE. Es egresado del Programa de Ingeniería y Maestría en Sis-
temas y Computación de la Universidad de Los Andes. Cuenta con un doctorado en Filo-
sofía de la Administración de Negocios, título otorgado por Newport University en
California, Estados Unidos. Además de una certificación como Examinador Certificado de
Fraude - en inglés CFE. Es profesor e investigador a nivel nacional y latinoamericano en
temas de seguridad informática, computación forense y sistemas de información. Actual-
mente, es Presidente de la Asociación Colombiana de Ingenieros de Sistemas (ACIS).

Sistemas 7 3