¿Cuándo y Cómo se Utiliza La Informática Forense?

El estudio forense informático, en ocasiones conocido como informática forense, es llevado a cabo por examinadores capacitados que extraen datos (historiales de búsqueda, registros de compras, registros de tiempo y más) de dispositivos que incluyen, entre otros: pcs, tabletas y smartphones.

Después, tienen la posibilidad de buscar y examinar los datos, anterior a presentarlos de una forma que se logren comprender de forma sencilla a quienes pueden no estar familiarizados con la ciencia forense o la informática.

Nuestro objetivo es brindar a cada lector una perspectiva de elevado grado de la informática forense para ayudarlos a entender más sobre los diferentes procesos y en qué momento tienen que usarse.

DESCARGO DE RESPONSABILIDAD: Utilizamos el concepto ‘Computadora’ en este artículo, sin embargo el término que discutimos puede aplicarse a cualquier dispositivo capaz de guardar información digital.

¿Cuándo y cómo se usa la informática forense?

No hay muchas zonas delictivas o disputas civiles en las que no se logre ejercer la informática forense. Los organismos delegados a hacer llevar a cabo la ley se encontraban entre los primeros y más destacados usuarios de la informática forense y, como consecuencia, siempre estuvieron a la vanguardia de los desarrollos en el campo.

Las pcs tienen la posibilidad de considerarse una ‘escena del crimen’, por ejemplo, con piratería o ataques de denegación de servicio. Tienen la posibilidad de tener prueba de delitos que ocurrieron en otros sitios, a modo de correos electrónicos, historial de Internet, documentos u otros archivos importantes para delitos como homicidio, secuestro, fraude o tráfico de drogas.

Un examen informático forense puede revelar muchísimo más de lo deseado.

Los estudiosos forenses informáticos no solo están interesados ​​en el contenido de los correos electrónicos, documentos y otros archivos, sino además en los metadatos asociados con aquellos archivos.

Los metadatos dan más información acerca de un definido grupo de datos, que podría ser revelador por derecho propio. Por ejemplo, los registros de las actividades de un cliente además tienen la posibilidad de almacenarse en archivos de registro y otras aplicaciones en una PC, como los navegadores de Internet.

Por consiguiente, un examen forense informático podría revelar en qué momento apareció un archivo por primera vez en una PC, en qué momento se editó por última vez, en qué momento se guardó o imprimió por última vez y qué cliente llevó a cabo estas actividades.

Las empresas comerciales han usado la informática forense para favorecerse con toda clase de casos, integrados:

  • Hurto de propiedad intelectual;
  • Conflictos laborales;
  • Fraude de facturas, habilitado por correos electrónicos de phishing;
  • Falsificaciones;
  • Uso inapropiado de correo electrónico e Internet en el sitio de trabajo;
  • Cumplimiento normativo.

Adquisición en vivo: obtener datos de una PC con alimentación

¿Hay instancias en las que un examinador forense informático podría necesitar hacer cambios en la PC de un sospechoso? Sí.

Convencionalmente, los examinadores copian datos de un dispositivo que está apagado. Usan un bloqueador de escritura para hacer una réplica precisa bit a bit del medio de almacenamiento original y generar un hash de adquisición del medio original. Después trabajan desde esta réplica, dejando el original sin cambios.

No obstante, algunas veces no es posible (o deseable) apagar una PC. Quizás hacerlo podría ser una pérdida financiera notable o de otro tipo para el dueño, u ocasionaría la pérdida persistente de pruebas importantes.

En dichos casos, el examinador forense informático puede necesitar hacer una ‘adquisición en vivo’. Esto involucra llevar a cabo una aplicación sencilla en la PC sospechosa para remedar (adquirir) los datos al depósito de datos del examinador.

Al llevar a cabo una aplicación de esta clase (y conectar un dispositivo como una unidad USB a la PC sospechosa), el examinador hace cambios y/o adiciones a la PC que no estaban presentes previamente.

Pero si el examinador registra estas actividades, puede enseñar por qué fueron necesarias y describir las secuelas de las mismas a un tribunal, la prueba producida principalmente todavía es admisible.

Para quienes estén interesados en hacer informática forense, recomendamos el curso de Informática Forense de Comunidad Reparando.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *