Parte de una serie sobre |
Ciencia forense |
---|
La ciencia forense digital (a veces conocida como ciencia forense digital ) es una rama de la ciencia forense que abarca la recuperación, investigación, examen y análisis de material encontrado en dispositivos digitales, a menudo en relación con dispositivos móviles y delitos informáticos . [1] [2] El término "ciencia forense digital" se usó originalmente como sinónimo de informática forense , pero se ha expandido para cubrir la investigación de todos los dispositivos capaces de almacenar datos digitales . [1] Con raíces en la revolución de la computación personal de fines de la década de 1970 y principios de la de 1980, la disciplina evolucionó de manera aleatoria durante la década de 1990, y no fue hasta principios del siglo XXI que surgieron políticas nacionales.
Las investigaciones forenses digitales tienen diversas aplicaciones. La más común es sustentar o refutar una hipótesis ante tribunales civiles o penales . Los casos penales involucran la supuesta violación de leyes definidas por la legislación y aplicadas por la policía y procesadas por el estado, como asesinato, robo y agresión contra la persona. Los casos civiles, por otro lado, tratan de proteger los derechos y la propiedad de las personas (a menudo asociados con disputas familiares), pero también pueden estar relacionados con disputas contractuales entre entidades comerciales donde puede estar involucrada una forma de investigación forense digital conocida como descubrimiento electrónico (ediscovery).
La investigación forense también puede aplicarse en el sector privado, por ejemplo durante investigaciones corporativas internas o investigaciones de intrusiones (una investigación especial sobre la naturaleza y el alcance de una intrusión no autorizada en la red ).
El aspecto técnico de una investigación se divide en varias subramas relacionadas con el tipo de dispositivos digitales involucrados: informática forense, informática forense de redes , análisis forense de datos y informática forense de dispositivos móviles . [3] El proceso forense típico abarca la incautación, la obtención de imágenes forenses (adquisición) y el análisis de medios digitales, seguido de la producción de un informe de la evidencia recolectada.
Además de identificar evidencia directa de un crimen, la ciencia forense digital se puede utilizar para atribuir evidencia a sospechosos específicos, confirmar coartadas o declaraciones, determinar intenciones , identificar fuentes (por ejemplo, en casos de derechos de autor) o autenticar documentos. [4] Las investigaciones tienen un alcance mucho más amplio que otras áreas del análisis forense (donde el objetivo habitual es proporcionar respuestas a una serie de preguntas más simples), y a menudo involucran líneas de tiempo o hipótesis complejas. [5]
Antes de la década de 1970, los delitos informáticos se abordaban mediante leyes existentes. Los primeros delitos informáticos se reconocieron en la Ley de Delitos Informáticos de Florida de 1978, [6] que incluía legislación contra la modificación o eliminación no autorizada de datos en un sistema informático. [7] En los años siguientes, la variedad de delitos informáticos que se cometían aumentó y se aprobaron leyes para abordar cuestiones de derechos de autor , privacidad/acoso (por ejemplo, acoso cibernético , happy slapping , acecho cibernético y depredadores en línea ) y pornografía infantil . [8] [9] No fue hasta la década de 1980 que las leyes federales comenzaron a incorporar delitos informáticos. Canadá fue el primer país en aprobar una legislación en 1983. [7] A esto le siguieron la Ley Federal de Abuso y Fraude Informático de los EE. UU. en 1986, las enmiendas australianas a sus leyes de delitos en 1989 y la Ley Británica de Uso Indebido de Computadoras en 1990. [7] [9]
El aumento de los delitos informáticos durante los años 1980 y 1990 hizo que las fuerzas de seguridad comenzaran a establecer grupos especializados, generalmente a nivel nacional, para manejar los aspectos técnicos de las investigaciones. Por ejemplo, en 1984, el FBI lanzó un Equipo de Análisis y Respuesta Informática y al año siguiente se creó un departamento de delitos informáticos dentro de la brigada de fraude de la Policía Metropolitana británica . Además de ser profesionales de las fuerzas de seguridad, muchos de los primeros miembros de estos grupos también eran aficionados a la informática y se convirtieron en responsables de la investigación y la dirección iniciales de este campo. [10] [11]
Uno de los primeros ejemplos prácticos (o al menos publicitados) de análisis forense digital fue la persecución que Cliff Stoll llevó a cabo contra el hacker Markus Hess en 1986. Stoll, cuya investigación utilizó técnicas forenses informáticas y de redes, no era un examinador especializado. [12] Muchos de los primeros exámenes forenses siguieron el mismo perfil. [13]
Durante la década de 1990, hubo una gran demanda de estos nuevos y básicos recursos de investigación. La presión sobre las unidades centrales llevó a la creación de grupos a nivel regional, e incluso local, para ayudar a manejar la carga. Por ejemplo, en 2001 se creó la Unidad Nacional Británica contra Delitos de Alta Tecnología para proporcionar una infraestructura nacional para los delitos informáticos, con personal ubicado tanto en la zona central de Londres como en las diversas fuerzas policiales regionales (la unidad se incorporó a la Agencia contra el Crimen Organizado Grave (SOCA) en 2006). [11]
Durante este período, la ciencia forense digital creció a partir de las herramientas y técnicas ad hoc desarrolladas por estos profesionales aficionados. Esto contrasta con otras disciplinas forenses, que se desarrollaron a partir del trabajo de la comunidad científica. [1] [14] No fue hasta 1992 que el término "informática forense" se utilizó en la literatura académica (aunque antes de esto, había sido de uso informal); un artículo de Collier y Spaul intentó justificar esta nueva disciplina ante el mundo de la ciencia forense. [15] [16] Este rápido desarrollo resultó en una falta de estandarización y capacitación. En su libro de 1995, High-Technology Crime: Investigating Cases Involving Computers (Delito de alta tecnología: investigación de casos que involucran computadoras) , K. Rosenblatt escribió lo siguiente:
La incautación, conservación y análisis de pruebas almacenadas en una computadora es el mayor desafío forense que enfrentan las fuerzas del orden en la década de 1990. Aunque la mayoría de las pruebas forenses, como las huellas dactilares y las pruebas de ADN, son realizadas por expertos especialmente capacitados, la tarea de recopilar y analizar pruebas informáticas a menudo se asigna a los agentes de patrulla y a los detectives. [17]
Desde el año 2000, en respuesta a la necesidad de estandarización, varios organismos y agencias han publicado directrices para la investigación forense digital. El Grupo de Trabajo Científico sobre Evidencia Digital (SWGDE) elaboró un documento en 2002, Mejores prácticas para la investigación forense informática , al que siguió, en 2005, la publicación de una norma ISO ( ISO 17025 , Requisitos generales para la competencia de los laboratorios de ensayo y calibración ). [7] [18] [19] En 2004 entró en vigor un tratado internacional liderado por Europa, la Convención sobre el Cibercrimen , con el objetivo de conciliar las leyes nacionales sobre delitos informáticos, las técnicas de investigación y la cooperación internacional. El tratado ha sido firmado por 43 naciones (incluidos Estados Unidos, Canadá, Japón, Sudáfrica, el Reino Unido y otras naciones europeas) y ratificado por 16.
También se prestó atención a la cuestión de la formación. Las empresas comerciales (a menudo, desarrolladores de software forense) comenzaron a ofrecer programas de certificación, y el análisis forense digital se incluyó como tema en el centro de formación de investigadores especializados del Reino Unido, Centrex . [7] [11]
A fines de la década de 1990, los dispositivos móviles se volvieron más accesibles, avanzando más allá de los simples dispositivos de comunicación, y se descubrió que eran formas valiosas de información, incluso para delitos que tradicionalmente no se asociaban con la ciencia forense digital. [20] A pesar de esto, el análisis digital de los teléfonos se ha quedado atrás de los medios informáticos tradicionales, en gran medida debido a problemas sobre la naturaleza patentada de los dispositivos. [21]
La atención también se ha desplazado hacia los delitos en Internet, en particular el riesgo de guerra cibernética y terrorismo cibernético . Un informe de febrero de 2010 del Comando de Fuerzas Conjuntas de los Estados Unidos concluyó lo siguiente:
A través del ciberespacio, los enemigos atacarán a la industria, el mundo académico, el gobierno y las fuerzas armadas en los ámbitos aéreo, terrestre, marítimo y espacial. De la misma manera que el poder aéreo transformó el campo de batalla de la Segunda Guerra Mundial, el ciberespacio ha fracturado las barreras físicas que protegen a una nación de los ataques a su comercio y comunicación. [22]
El campo de la investigación forense digital aún enfrenta problemas sin resolver. Un artículo de 2009, "Investigación forense digital: lo bueno, lo malo y lo no resuelto" de Peterson y Shenoi, identificó un sesgo hacia los sistemas operativos Windows en la investigación forense digital. [23] En 2010, Simson Garfinkel identificó problemas que enfrentarán las investigaciones digitales en el futuro, incluyendo el tamaño cada vez mayor de los medios digitales, la amplia disponibilidad de cifrado para los consumidores, una creciente variedad de sistemas operativos y formatos de archivo, un número cada vez mayor de personas que poseen múltiples dispositivos y limitaciones legales para los investigadores. El artículo también identificó problemas de capacitación continua, así como el costo prohibitivamente alto de ingresar al campo. [12]
Durante la década de 1980, existían muy pocas herramientas forenses digitales especializadas. En consecuencia, los investigadores solían realizar análisis en vivo de los medios, examinando las computadoras desde dentro del sistema operativo utilizando las herramientas de administración de sistemas existentes para extraer evidencia. Esta práctica conllevaba el riesgo de modificar los datos del disco, ya sea de manera inadvertida o no, lo que dio lugar a denuncias de manipulación de pruebas. A principios de la década de 1990 se crearon varias herramientas para abordar el problema.
La necesidad de este tipo de software se reconoció por primera vez en 1989 en el Centro de Capacitación para la Aplicación de la Ley Federal , lo que dio como resultado la creación de IMDUMP [24] (por Michael White) y en 1990, SafeBack [25] (desarrollado por Sydex). Se desarrolló un software similar en otros países; DIBS (una solución de hardware y software) se lanzó comercialmente en el Reino Unido en 1991, y Rob McKemmish lanzó Fixed Disk Image de forma gratuita a la policía australiana. [10] Estas herramientas permitieron a los examinadores crear una copia exacta de un medio digital para trabajar, dejando el disco original intacto para su verificación. A fines de la década de 1990, a medida que crecía la demanda de evidencia digital, se desarrollaron herramientas comerciales más avanzadas como EnCase y FTK , que permitían a los analistas examinar copias de medios sin utilizar ningún análisis forense en vivo. [7] Más recientemente, ha crecido una tendencia hacia el "análisis forense de memoria en vivo", lo que resultó en la disponibilidad de herramientas como WindowsSCOPE .
Más recientemente, se ha producido la misma progresión en el desarrollo de herramientas para dispositivos móviles ; inicialmente, los investigadores accedían a los datos directamente en el dispositivo, pero pronto aparecieron herramientas especializadas como XRY o Radio Tactics Aceso. [7]
Una investigación forense digital normalmente consta de 3 etapas:
La adquisición normalmente no implica capturar una imagen de la memoria volátil (RAM) de la computadora, a menos que esto se haga como parte de una investigación de respuesta a incidentes. [28] Normalmente, la tarea implica crear un duplicado exacto a nivel de sector (o "duplicado forense") del medio, a menudo utilizando un dispositivo de bloqueo de escritura para evitar la modificación del original. Sin embargo, el crecimiento en el tamaño de los medios de almacenamiento y desarrollos como la computación en la nube [29] han llevado a un mayor uso de adquisiciones "en vivo" mediante las cuales se adquiere una copia "lógica" de los datos en lugar de una imagen completa del dispositivo de almacenamiento físico. [26] Tanto la imagen adquirida (o copia lógica) como los medios/datos originales se codifican (utilizando un algoritmo como SHA-1 o MD5 ) y los valores se comparan para verificar que la copia sea precisa. [30]
Un enfoque alternativo (y patentado) (que se ha denominado "informática forense híbrida" [31] o "informática forense distribuida" [32] ) combina la informática forense y los procesos de descubrimiento electrónico. Este enfoque se ha materializado en una herramienta comercial llamada ISEEK que se presentó junto con los resultados de las pruebas en una conferencia en 2017. [31]
Durante la fase de análisis, el investigador recupera material probatorio utilizando una serie de metodologías y herramientas diferentes. En 2002, un artículo publicado en el International Journal of Digital Evidence se refirió a este paso como "una búsqueda sistemática y exhaustiva de pruebas relacionadas con el presunto delito". [1] En 2006, el investigador forense Brian Carrier describió un "procedimiento intuitivo" en el que primero se identifican las pruebas obvias y luego "se realizan búsquedas exhaustivas para empezar a rellenar los huecos". [5]
El proceso real de análisis puede variar entre investigaciones, pero las metodologías comunes incluyen la realización de búsquedas de palabras clave en los medios digitales (dentro de los archivos, así como en el espacio no asignado y disponible ), la recuperación de archivos eliminados y la extracción de información de registro (por ejemplo, para enumerar cuentas de usuario o dispositivos USB conectados).
La evidencia recuperada se analiza para reconstruir hechos o acciones y llegar a conclusiones, trabajo que a menudo puede ser realizado por personal menos especializado. [1] Cuando se completa una investigación, los datos se presentan, generalmente en forma de un informe escrito, en términos sencillos . [1]
La informática forense se utiliza habitualmente tanto en el ámbito del derecho penal como en el de la investigación privada. Tradicionalmente, se ha asociado al derecho penal, donde se recogen pruebas para apoyar o refutar una hipótesis ante los tribunales. Al igual que en otras áreas de la informática forense, suele ser parte de una investigación más amplia que abarca varias disciplinas. En algunos casos, las pruebas recogidas se utilizan como una forma de recopilación de información, para otros fines que no sean los procedimientos judiciales (por ejemplo, para localizar, identificar o detener otros delitos). Como resultado, la recopilación de información a veces se rige por un estándar forense menos estricto.
En litigios civiles o asuntos corporativos, la investigación forense digital forma parte del proceso de descubrimiento electrónico (o eDiscovery). Los procedimientos forenses son similares a los que se utilizan en las investigaciones criminales, a menudo con diferentes requisitos y limitaciones legales. Fuera de los tribunales, la investigación forense digital puede formar parte de las investigaciones corporativas internas.
Un ejemplo común podría ser el de una intrusión no autorizada en la red . Se realiza un examen forense especializado sobre la naturaleza y el alcance del ataque como ejercicio de limitación de daños, tanto para establecer el alcance de cualquier intrusión como para intentar identificar al atacante. [4] [5] Estos ataques se llevaban a cabo comúnmente a través de líneas telefónicas durante la década de 1980, pero en la era moderna suelen propagarse a través de Internet. [33]
El objetivo principal de las investigaciones forenses digitales es recuperar pruebas objetivas de una actividad delictiva (denominada actus reus en el lenguaje jurídico). Sin embargo, la amplia gama de datos almacenados en dispositivos digitales puede ayudar en otras áreas de investigación. [4]
Una de las principales limitaciones de una investigación forense es el uso de cifrado, que dificulta el examen inicial, en el que se pueden encontrar pruebas pertinentes mediante el uso de palabras clave. Las leyes que obligan a las personas a revelar las claves de cifrado son todavía relativamente nuevas y controvertidas. [12] Pero cada vez hay más soluciones para forzar las contraseñas o eludir el cifrado, como en los teléfonos inteligentes o las PC, donde mediante técnicas de cargador de arranque se puede adquirir primero el contenido del dispositivo y luego forzarlo para encontrar la contraseña o la clave de cifrado. Se estima que alrededor del 60% de los casos que involucran dispositivos cifrados, a menudo no se procesan porque no hay forma de acceder a las posibles pruebas. [34]
La investigación de medios digitales está regulada por la legislación nacional e internacional. En particular, en el caso de las investigaciones civiles, las leyes pueden restringir la capacidad de los analistas para realizar investigaciones. A menudo existen restricciones contra el monitoreo de redes o la lectura de comunicaciones personales. [35] Durante la investigación criminal, las leyes nacionales limitan la cantidad de información que se puede incautar. [35] Por ejemplo, en el Reino Unido, la incautación de pruebas por parte de las fuerzas del orden se rige por la ley PACE . [7] Durante sus inicios en este campo, la "Organización Internacional de Evidencia Informática" (IOCE) fue una de las agencias que trabajó para establecer estándares internacionales compatibles para la incautación de pruebas. [36]
En el Reino Unido, las mismas leyes que rigen los delitos informáticos también pueden afectar a los investigadores forenses. La Ley de Uso Indebido de Computadoras de 1990 legisla contra el acceso no autorizado a material informático. Esto es una preocupación particular para los investigadores civiles, que tienen más limitaciones que las fuerzas del orden.
El derecho a la privacidad de las personas es un área de la ciencia forense digital que aún está en gran parte sin resolver por los tribunales. La Ley de Privacidad de las Comunicaciones Electrónicas de los Estados Unidos impone limitaciones a la capacidad de las fuerzas del orden o de los investigadores civiles para interceptar y acceder a las pruebas. La ley hace una distinción entre las comunicaciones almacenadas (por ejemplo, los archivos de correo electrónico) y las comunicaciones transmitidas (como la VOIP ). Estas últimas, al considerarse más una invasión de la privacidad, son más difíciles de obtener una orden judicial. [7] [17] La ECPA también afecta a la capacidad de las empresas para investigar los ordenadores y las comunicaciones de sus empleados, un aspecto que todavía está en debate en cuanto al grado en que una empresa puede realizar dicha supervisión. [7]
El artículo 5 del Convenio Europeo de Derechos Humanos establece limitaciones de privacidad similares a las de la ECPA y limita el procesamiento y el intercambio de datos personales tanto dentro de la UE como con países externos. La capacidad de las fuerzas de seguridad del Reino Unido para realizar investigaciones forenses digitales está regulada por la Ley de Regulación de los Poderes de Investigación . [7]
Cuando se utilizan en un tribunal de justicia , las pruebas digitales se rigen por las mismas pautas legales que otras formas de prueba, ya que los tribunales no suelen exigir directrices más estrictas. [7] [37] En los Estados Unidos, las Reglas Federales de Evidencia se utilizan para evaluar la admisibilidad de las pruebas digitales. Las leyes PACE y Civil Evidence del Reino Unido tienen directrices similares y muchos otros países tienen sus propias leyes. Las leyes federales de los Estados Unidos restringen las incautaciones a elementos que solo tienen un valor probatorio obvio. Se reconoce que esto no siempre es posible de establecer con medios digitales antes de un examen. [35]
Las leyes que tratan de la evidencia digital abordan dos cuestiones:
La facilidad con la que se pueden modificar los medios digitales significa que documentar la cadena de custodia desde la escena del crimen, pasando por el análisis y, en última instancia, hasta el tribunal (una forma de registro de auditoría ) es importante para establecer la autenticidad de la evidencia. [7]
Los abogados han argumentado que, dado que, en teoría, las pruebas digitales pueden alterarse, ello socava la fiabilidad de las mismas. Los jueces estadounidenses están empezando a rechazar esta teoría; en el caso US v. Bonallo, el tribunal dictaminó que "el hecho de que sea posible alterar los datos contenidos en una computadora es claramente insuficiente para establecer la falta de fiabilidad". [7] [38] En el Reino Unido, se siguen directrices como las emitidas por la ACPO para ayudar a documentar la autenticidad e integridad de las pruebas.
Los investigadores digitales, en particular en las investigaciones criminales, tienen que asegurarse de que las conclusiones se basen en pruebas fácticas y en su propio conocimiento experto. [7] En los EE. UU., por ejemplo, las Reglas Federales de Evidencia establecen que un experto calificado puede testificar “en forma de opinión o de otro modo” siempre que:
(1) el testimonio se basa en hechos o datos suficientes, (2) el testimonio es el producto de principios y métodos fiables, y (3) el testigo ha aplicado los principios y métodos de manera fiable a los hechos del caso. [39]
Cada una de las subramas de la ciencia forense digital puede tener sus propias directrices específicas para la realización de investigaciones y el manejo de pruebas. Por ejemplo, puede ser necesario colocar los teléfonos móviles en un escudo Faraday durante la incautación o adquisición para evitar un mayor tráfico de radio hacia el dispositivo. En el Reino Unido, el examen forense de las computadoras en asuntos penales está sujeto a las directrices de la ACPO . [7] También existen enfoques internacionales para proporcionar orientación sobre cómo manejar la evidencia electrónica . La "Guía de evidencia electrónica" del Consejo de Europa ofrece un marco para las autoridades policiales y judiciales en los países que buscan establecer o mejorar sus propias directrices para la identificación y el manejo de la evidencia electrónica. [40]
La admisibilidad de las pruebas digitales depende de las herramientas utilizadas para extraerlas. En Estados Unidos, las herramientas forenses están sujetas al estándar Daubert , donde el juez es responsable de garantizar que los procesos y el software utilizados fueron aceptables.
En un artículo de 2003, Brian Carrier sostuvo que las directrices Daubert exigían que el código de las herramientas forenses se publicara y fuera revisado por pares. Concluyó que "las herramientas de código abierto pueden cumplir con los requisitos de las directrices de manera más clara y completa que las herramientas de código cerrado". [41]
En 2011, Josh Brunty afirmó que la validación científica de la tecnología y el software asociados con la realización de un examen forense digital es fundamental para cualquier proceso de laboratorio. Sostuvo que "la ciencia de la ciencia forense digital se basa en los principios de procesos repetibles y evidencia de calidad, por lo que saber cómo diseñar y mantener adecuadamente un buen proceso de validación es un requisito clave para que cualquier examinador forense digital defienda sus métodos en los tribunales". [42]
Una de las cuestiones clave relacionadas con la validación de herramientas forenses es determinar una "línea de base" o punto de referencia para la prueba/evaluación de herramientas. Ha habido numerosos intentos de proporcionar un entorno para probar la funcionalidad de las herramientas forenses, como el programa de Pruebas de Herramientas Forenses Informáticas (CFTT) desarrollado por el NIST. [43]
Para tener en cuenta los diferentes entornos en los que operan los profesionales, también se han hecho muchos intentos de crear un marco para personalizar los entornos de prueba/evaluación. [44] [45] [46] Estos recursos se centran en un único sistema objetivo o en un número limitado de ellos. Sin embargo, no son escalables cuando se intenta probar/evaluar herramientas diseñadas para redes grandes o la nube, que se han vuelto más comunes en las investigaciones a lo largo de los años. A partir de 2024, el único marco que aborda el uso de agentes remotos por parte de herramientas forenses para el procesamiento/recopilación distribuidos es el desarrollado por Adams [47].
La investigación forense digital no se limita a recuperar datos simplemente de la computadora, ya que los delincuentes violan las leyes y ahora se utilizan ampliamente pequeños dispositivos digitales (por ejemplo, tabletas, teléfonos inteligentes, unidades flash). Algunos de estos dispositivos tienen memoria volátil, mientras que otros tienen memoria no volátil. Hay suficientes metodologías disponibles para recuperar datos de la memoria volátil, sin embargo, falta una metodología detallada o un marco para la recuperación de datos de fuentes de memoria no volátil. [48] Dependiendo del tipo de dispositivos, medios o artefactos, la investigación forense digital se ramifica en varios tipos.
El objetivo de la informática forense es explicar el estado actual de un artefacto digital, como un sistema informático, un medio de almacenamiento o un documento electrónico. [49] La disciplina generalmente cubre computadoras, sistemas integrados (dispositivos digitales con potencia informática rudimentaria y memoria incorporada) y memoria estática (como memorias USB).
La informática forense puede manejar una amplia gama de información, desde registros (como el historial de Internet) hasta los archivos reales del disco. En 2007, los fiscales utilizaron una hoja de cálculo recuperada del ordenador de Joseph Edward Duncan para demostrar premeditación y conseguir la pena de muerte . [4] El asesino de Sharon Lopatka fue identificado en 2006 después de que se encontraran en el ordenador de ella mensajes de correo electrónico de él en los que detallaba torturas y fantasías de muerte. [7]
La investigación forense de dispositivos móviles es una rama de la investigación forense digital relacionada con la recuperación de evidencia digital o datos de un dispositivo móvil . Se diferencia de la investigación forense informática en que un dispositivo móvil tendrá un sistema de comunicación incorporado (por ejemplo, GSM ) y, por lo general, mecanismos de almacenamiento propietarios. Las investigaciones generalmente se centran en datos simples como datos de llamadas y comunicaciones (SMS/correo electrónico) en lugar de una recuperación en profundidad de datos eliminados. [7] [50] Los datos SMS de una investigación de dispositivos móviles ayudaron a exonerar a Patrick Lumumba en el asesinato de Meredith Kercher . [4]
Los dispositivos móviles también son útiles para proporcionar información de ubicación, ya sea mediante el sistema de seguimiento de ubicación GPS incorporado o mediante registros de estaciones base , que rastrean los dispositivos dentro de su alcance. Dicha información se utilizó para rastrear a los secuestradores de Thomas Onofri en 2006. [4]
La ciencia forense de redes se ocupa de la supervisión y el análisis del tráfico de redes informáticas , tanto locales como WAN / Internet , con el fin de recopilar información, recopilar pruebas o detectar intrusiones. [51] El tráfico suele interceptarse a nivel de paquetes y almacenarse para su posterior análisis o filtrarse en tiempo real. A diferencia de otras áreas de la ciencia forense digital, los datos de red suelen ser volátiles y rara vez se registran, lo que hace que la disciplina sea a menudo reactiva.
En 2000, el FBI atrajo a los piratas informáticos Aleksey Ivanov y Gorshkov a Estados Unidos para una entrevista de trabajo falsa. Al monitorear el tráfico de red de los ordenadores de ambos, el FBI identificó contraseñas que les permitieron recopilar pruebas directamente de ordenadores con sede en Rusia. [7] [52]
El análisis de datos forenses es una rama de la ciencia forense digital que examina datos estructurados con el objetivo de descubrir y analizar patrones de actividades fraudulentas resultantes de delitos financieros.
La ciencia forense de imágenes digitales (o análisis forense de imágenes) es una rama de la ciencia forense digital que se ocupa del examen y la verificación de la autenticidad y el contenido de una imagen. [53] Estos pueden ir desde fotos retocadas con aerógrafo de la era de Stalin hasta elaborados videos deepfake . [54] [55] Esto tiene amplias implicaciones para una amplia variedad de delitos, para determinar la validez de la información presentada en juicios civiles y penales, y para verificar imágenes e información que circulan a través de noticias y redes sociales. [54] [56] [57] [55]
La ciencia forense de bases de datos es una rama de la ciencia forense digital relacionada con el estudio forense de bases de datos y sus metadatos . [58] Las investigaciones utilizan contenidos de bases de datos, archivos de registro y datos en RAM para crear una línea de tiempo o recuperar información relevante.
La ciencia forense de IoT es una rama de la ciencia forense digital que tiene como objetivo identificar y extraer información digital de dispositivos pertenecientes al campo de Internet de las cosas , para ser utilizada en investigaciones forenses como fuente potencial de evidencia. [59]
{{cite web}}
: CS1 maint: copia archivada como título ( enlace ){{cite web}}
: CS1 maint: copia archivada como título ( enlace )