Proceso forense digital

El proceso forense digital es un proceso científico y forense reconocido que se utiliza en investigaciones forenses digitales . ^{[1] [2]} El investigador forense Eoghan Casey lo define como una serie de pasos desde la alerta del incidente original hasta el informe de los hallazgos. ^[3] El proceso se utiliza predominantemente en investigaciones forenses informáticas y móviles y consta de tres pasos: adquisición , análisis e informe .

Los medios digitales incautados para una investigación pueden convertirse en una "prueba" en la terminología jurídica si se determina que son "fiables". Los investigadores emplean el método científico para recuperar pruebas digitales que sustenten o refuten una hipótesis, ya sea para un tribunal de justicia o en procedimientos civiles . ^[2]

Las etapas del proceso de investigación forense digital requieren de diferentes formaciones y conocimientos especializados. Existen dos niveles básicos de personal: ^[3]

Técnico forense digital

Los técnicos recogen o procesan pruebas en las escenas de los crímenes. Estos técnicos están capacitados para manejar correctamente la tecnología (por ejemplo, cómo preservar las pruebas). Es posible que se les pida que realicen un "análisis en vivo" de las pruebas. Se han creado varias herramientas para simplificar este procedimiento, como EnCase, Velociraptor y FTK.

Examinadores de evidencia digital

Los examinadores se especializan en un área de evidencia digital; ya sea a un nivel amplio (es decir, informática o análisis forense de redes, etc.) o como subespecialistas (es decir, análisis de imágenes).

Se han hecho muchos intentos de desarrollar un modelo de procesos, pero hasta ahora ninguno ha sido aceptado universalmente. Parte de la razón puede deberse al hecho de que muchos de los modelos de procesos fueron diseñados para un entorno específico, como el de aplicación de la ley, y por lo tanto no se podían aplicar fácilmente en otros entornos, como el de respuesta a incidentes. ^[4] A continuación se presenta una lista de los principales modelos desde 2001 en orden cronológico: ^[4]

• El modelo forense digital abstracto (Reith, et al., 2002)
• El proceso de investigación digital integrado (Carrier y Spafford, 2003) [1]
• Un modelo ampliado de investigaciones de delitos cibernéticos (Ciardhuain, 2004)
• El modelo de proceso de investigación digital mejorado (Baryamureeba y Tushabe, 2004)[2] Archivado el 1 de abril de 2018 en Wayback Machine.
• El modelo de análisis digital de la escena del crimen (Rogers, 2004)
• Un marco jerárquico y basado en objetivos para el proceso de investigaciones digitales (Beebe y Clark, 2004)
• Marco para una investigación digital (Kohn, et al., 2006)[3]
• El proceso forense de cuatro pasos (Kent, et al., 2006)
• FORZA - Marco de investigación forense digital (Ieong, 2006)[4] Archivado el 8 de agosto de 2017 en Wayback Machine.
• Flujos de procesos para la capacitación y las operaciones en materia de ciberseguridad (Venter, 2006)
• El modelo de proceso común (Freiling y Schwittay, (2007) [5]
• Modelo de proceso de amplificación de la fiabilidad de la evidencia bidimensional (Khatir, et al., 2008)Modelo de proceso de amplificación de la fiabilidad de la evidencia bidimensional para la investigación forense digital | Solicitar PDF
• El marco de investigación forense digital (Selamat, et al., 2008)
• El modelo sistemático de investigación forense digital (SRDFIM) (Agarwal, et al., 2011) (PDF) Modelo sistemático de investigación forense digital
• El modelo avanzado de adquisición de datos (ADAM): un modelo de proceso para la práctica forense digital (Adams, 2012) Portal de investigación

Antes de la inspección propiamente dicha, se incautarán los medios digitales. En los casos penales, esto suele ser realizado por personal de las fuerzas del orden capacitado como técnico para garantizar la conservación de las pruebas. En los asuntos civiles, normalmente será un funcionario de la empresa, a menudo sin formación. Varias leyes cubren la incautación de material. En materia penal, se aplica la ley relacionada con las órdenes de registro . En los procedimientos civiles, se supone que una empresa puede investigar su propio equipo sin una orden judicial, siempre que se preserven la privacidad y los derechos humanos de los empleados.

Una vez que se han incautado los elementos de prueba, se crea un duplicado exacto a nivel de sector (o "duplicado forense") del medio, generalmente mediante un dispositivo de bloqueo de escritura . El proceso de duplicación se conoce como adquisición o obtención de imágenes . ^[5] El duplicado se crea utilizando un duplicador de disco duro o herramientas de creación de imágenes de software como DCFLdd, IXimager, Guymager, TrueBack, EnCase , FTK Imager o FDAS. Luego, el disco original se devuelve a un almacenamiento seguro para evitar su manipulación.

La imagen adquirida se verifica mediante las funciones hash SHA-1 o MD5 . En puntos críticos a lo largo del análisis, se vuelve a verificar el medio para garantizar que la evidencia aún se encuentre en su estado original. El proceso de verificación de la imagen con una función hash se denomina "hashing".

Dados los problemas asociados con la creación de imágenes de unidades de gran tamaño, múltiples computadoras en red, servidores de archivos que no se pueden apagar y recursos en la nube, se han desarrollado nuevas técnicas que combinan la adquisición forense digital y los procesos de descubrimiento electrónico.

Después de la adquisición, se analiza el contenido de los archivos de imagen (del disco duro) para identificar evidencia que apoye o contradiga una hipótesis o para detectar signos de manipulación (para ocultar datos). ^[6] En 2002, el International Journal of Digital Evidence se refirió a esta etapa como "una búsqueda sistemática en profundidad de evidencia relacionada con el presunto delito". ^[7] Por el contrario, Brian Carrier, en 2006, describe un "procedimiento más intuitivo" en el que primero se identifica la evidencia obvia y después se "realizan búsquedas exhaustivas para comenzar a llenar los vacíos" ^[8].

Durante el análisis, un investigador suele recuperar material probatorio utilizando distintas metodologías (y herramientas), comenzando a menudo con la recuperación de material eliminado. Los examinadores utilizan herramientas especializadas (EnCase, ILOOKIX, FTK, etc.) para ayudar con la visualización y recuperación de datos. El tipo de datos recuperados varía según la investigación, pero algunos ejemplos incluyen correos electrónicos, registros de chat, imágenes, historial de Internet o documentos. Los datos se pueden recuperar del espacio de disco accesible, del espacio eliminado (no asignado) o de los archivos de caché del sistema operativo. ^[3]

Se utilizan varios tipos de técnicas para recuperar evidencia, que generalmente implican algún tipo de búsqueda de palabras clave dentro del archivo de imagen adquirido, ya sea para identificar coincidencias con frases relevantes o para filtrar tipos de archivos conocidos. Ciertos archivos (como imágenes gráficas) tienen un conjunto específico de bytes que identifican el inicio y el final de un archivo. Si se identifica, se puede reconstruir un archivo eliminado. ^[3] Muchas herramientas forenses utilizan firmas hash para identificar archivos notables o excluir archivos conocidos (benignos); los datos adquiridos se codifican y se comparan con listas compiladas previamente, como el Conjunto de datos de referencia (RDS) de la Biblioteca de referencia de software nacional ^[5].

En la mayoría de los tipos de medios, incluidos los discos duros magnéticos estándar, una vez que los datos se han eliminado de forma segura, nunca se podrán recuperar. ^{[9] [10]}

Una vez recuperada la evidencia, la información se analiza para reconstruir hechos o acciones y llegar a conclusiones, trabajo que a menudo puede ser realizado por personal menos especializado. ^[7] Los investigadores digitales, en particular en investigaciones criminales, tienen que asegurarse de que las conclusiones se basen en datos y en su propio conocimiento experto. ^[3] En los EE. UU., por ejemplo, las Reglas Federales de Evidencia establecen que un experto calificado puede testificar "en forma de opinión o de otro modo" siempre que:

(1) el testimonio se basa en hechos o datos suficientes, (2) el testimonio es el producto de principios y métodos fiables, y (3) el testigo ha aplicado los principios y métodos de manera fiable a los hechos del caso. ^[11]

Cuando se completa una investigación, la información suele presentarse en un formato adecuado para personas sin conocimientos técnicos . Los informes también pueden incluir información de auditoría y otra metadocumentación. ^[3]

Una vez finalizados, los informes suelen enviarse a quienes encargaron la investigación, como las autoridades (en el caso de los delitos penales) o la empresa contratante (en el caso de los delitos civiles), quienes decidirán si se utilizan las pruebas en el tribunal. Por lo general, en el caso de un tribunal penal, el informe constará de una conclusión pericial escrita sobre las pruebas, así como de las pruebas en sí (que suelen presentarse en medios digitales). ^[3]

El Wikilibro Introducción a la ciencia forense digital tiene una página sobre el tema: El proceso forense

• Departamento de Justicia de los Estados Unidos - Análisis forense de evidencia digital: una guía para las fuerzas del orden
• FBI - Evidencia digital: normas y principios
• Warren G. Kruse; Jay G. Heiser (2002). Informática forense: aspectos esenciales de la respuesta a incidentes . Addison-Wesley. pp. 392. ISBN 0-201-70719-5.

• Carrier, Brian D. (febrero de 2006). "Riesgos del análisis forense digital en directo". Comunicaciones de la ACM . 49 (2): 56–61. doi :10.1145/1113034.1113069. ISSN  0001-0782. S2CID  16829457 . Consultado el 31 de agosto de 2010 .