Skip to content

Recuperación y Examen de Evidencia en la Informática Forense

diciembre 11, 2015

fbi.gov

Introducción

El mundo se está convirtiendo en un lugar más pequeño en el que viven y trabajan. Una revolución tecnológica en las comunicaciones y el intercambio de información ha tenido lugar dentro de los negocios, la industria y nuestros hogares. Los bancos transfieren dinero electrónicamente, y estamos hay más probabilidades de recibir un correo electrónico que  una carta. Se estima que la población en todo el mundo de Internet es de 349 millones (CommerceNet Research Council 2000).

En esta era de tecnología de la información, las necesidades de las fuerzas del orden están cambiando también. Algunos delitos tradicionales, especialmente las relativas a las finanzas y el comercio, siguen siendo actualizado tecnológicamente. Senderos de papel se han convertido en los senderos electrónicos. Delitos relacionados con el robo y la manipulación de los datos se detectan a diario. Los delitos de violencia también no son inmunes a los efectos de la era de la información. Un acto terrorista grave y costoso podría provenir de Internet en lugar de un camión bomba. El diario de un asesino en serie se puede grabar en un disco duro o unidad de disco en lugar de en papel en un cuaderno.      

Del mismo modo que la fuerza de trabajo se ha convertido poco a poco de los bienes de fabricación de procesamiento de la información, la actividad criminal ha, en gran medida, también convertido de una dimensión física, en la que las pruebas y las investigaciones se describe en términos tangibles, a una dimensión cibernética, en la que existe evidencia Sólo por vía electrónica, y las investigaciones se llevan a cabo en línea.

Informática Forense

Informática forense fue creada para atender las necesidades específicas y articuladas de aplicación de la ley para hacer la mayor parte de esta nueva forma de pruebas electrónicas. Informática forense es la ciencia de adquirir, preservar, recuperar y presentar los datos que ha sido procesada electrónicamente y almacenada en soportes informáticos. Como disciplina forense, nada ya que la tecnología de ADN ha tenido un gran efecto potencial sobre los tipos específicos de investigaciones y procesamientos como la ciencia forense.
Informática forense es, en su esencia, diferente de la mayoría de las disciplinas forenses tradicionales. El material informático que se examina y las técnicas disponibles para el examinador son productos de un sector privado impulsada por el mercado. Además, en contraste con los análisis tradicionales forenses, hay comúnmente es un requisito para llevar a cabo exámenes de ordenador en prácticamente cualquier ubicación física, no sólo en un entorno de laboratorio controlado. En lugar de producir conclusiones interpretativas, como en muchas disciplinas forenses, la ciencia forense produce información directa y datos que pueden tener importancia en un caso. Este tipo de recopilación de datos directa tiene amplias implicaciones tanto para la relación entre el investigador y el científico forense y el producto del trabajo del examen informático forense.

Fondo

Informática forense es en gran parte una respuesta a una demanda para el servicio de la comunidad de las fuerzas del orden. Ya en 1984, el Laboratorio del FBI y otras agencias policiales comenzaron a desarrollar programas para examinar la evidencia en ordenadores. Para hacer frente adecuadamente a las crecientes demandas de los investigadores y fiscales de una manera estructurada y programático, el FBI estableció el Equipo Informatico de Análisis y Respuesta (CERT) y cargó con la responsabilidad de análisis informático. Aunque Carro es único en el FBI, sus funciones y organización general se duplican en muchos otros organismos encargados de hacer cumplir la ley en los Estados Unidos y otros países.

Un problema a tiempo abordado por la policía estaba identificando los recursos dentro de la organización que podría ser utilizado para examinar la evidencia ordenador. Estos recursos fueron a menudo dispersos por todo el organismo. Hoy en día, parece que hay una tendencia hacia mover estos exámenes para un entorno de laboratorio. En 1995, una encuesta realizada por el Servicio Secreto de Estados Unidos indicó que el 48 por ciento de las agencias tenían laboratorios forenses informáticos y que el 68 por ciento de la evidencia computadora incautada fue trasladada a los expertos en los laboratorios. Si ya estos estadísticas son una respuesta programática controlado a las necesidades en informática forense, la misma encuesta reportó que el 70 por ciento de estos mismos organismos policiales estaban haciendo el trabajo sin un manual de procedimientos escritos (Noblett 1995).

Exámenes forenses informáticos se llevan a cabo en los laboratorios forenses, departamentos de procesamiento de datos, y en algunos casos, sala de la brigada del detective. La asignación de personal para llevar a cabo estos exámenes a menudo se basa en los conocimientos disponibles, así como la política departamental. Independientemente de donde se llevan a cabo los exámenes, se requiere un examen forense válida y fiable. Este requisito no reconoce fronteras políticas, burocráticas, tecnológicos, o jurisdiccionales.

Se están realizando esfuerzos para desarrollar normas de examen y proporcionar estructura para los exámenes forenses de la computadora. Ya en 1991, un grupo de seis organismos internacionales encargados de hacer cumplir la ley se reunió con varias agencias de la ley federal de Estados Unidos en Charleston, Carolina del Sur, para hablar de la ciencia forense y la necesidad de un enfoque estandarizado para los exámenes. En 1993, el FBI organizó una Conferencia Internacional sobre Aplicación de la Ley Evidencia ordenador al que asistieron 70 representantes de diversos federales, estatales y locales del orden público y los organismos internacionales encargados de hacer cumplir la ley. Todos coincidieron en que las normas para la ciencia forense faltaban y necesitaban. Esta conferencia convocada de nuevo en Baltimore, Maryland, en 1995, Australia en 1996, y los Países Bajos en 1997, y en última instancia dio lugar a la formación de la Organización Internacional de Prueba Informática. Además, un Grupo de Trabajo Científico de Evidencia Digital (SWGDE) se formó para abordar estas mismas cuestiones entre las agencias federales de aplicación de la ley.

Una nueva relación

Disciplinas de las ciencias forenses han afectado a un sinnúmero de investigaciones criminales de manera espectacular y han proporcionado testimonio convincente de las puntuaciones de los ensayos. Para mejorar la objetividad y para minimizar la percepción de parcialidad, la ciencia forense, tradicionalmente se ha mantenido con los brazos extendidos de gran parte de la investigación actual. Utiliza sólo los detalles específicos de la investigación que son necesarias para el examen. Estos detalles pueden incluir las posibles fuentes de contaminación en la escena del crimen o las huellas dactilares de las personas no relacionadas con la investigación que han tocado la evidencia. La ciencia forense se basa en la capacidad de los científicos para producir un informe basado en los resultados objetivos de un examen científico. El caso real en general puede jugar un pequeño papel en el proceso de examen. Como ejemplo de ello, un examen de ADN en un caso de violación puede llevarse a cabo sin el conocimiento del nombre de la víctima, el sujeto, o las circunstancias específicas de la delincuencia.
Por el contrario, la ciencia forense, para ser eficaz, debe ser impulsado por la información descubierta durante la investigación. Con la capacidad de almacenamiento del promedio en un microordenador propiedad personalmente cerca de 30 gigabytes (GB; Fischer 1997), y sistemas disponibles que tienen la capacidad de almacenamiento de 60 GB o más, es probable que sea imposible desde un punto de vista práctico para examinar por completo y de forma exhaustiva todos los archivos almacenados en un sistema informático incautado. Además, porque las computadoras sirven tales usos amplios y variados dentro de una organización o del hogar, puede haber prohibiciones legales en contra de la búsqueda de todos los archivos. Ordenadores de un abogado o un médico pueden contener no sólo la evidencia de fraude, pero probablemente también el cliente y la información del paciente que es privilegiada. Los datos almacenados centralmente en un servidor de la computadora pueden contener una dirección de correo incriminatoria preparado por el tema, así como correo electrónico de terceros inocentes que tendría una expectativa razonable de privacidad.
Por difícil que sería para escanear un directorio de todos los archivos en un sistema informático, sería igualmente difícil para las fuerzas del orden para leer y asimilar la cantidad de información contenida en los archivos. Por ejemplo, 12 GB de datos de texto impresos crearía una pila de papel de 24 pisos de altura. Por razones principalmente pragmáticas, la ciencia forense se utiliza con mayor eficacia cuando sólo la información y los detalles de la investigación más probatorio se proporcionan al examinador forense. A partir de esta información, el examinador puede crear una lista de palabras clave para entresacar información específica, probatoria, y relacionada con el caso de grupos muy grandes de archivos. A pesar de que el examinador puede tener el derecho legal de buscar todos los archivos, las limitaciones de tiempo y otras restricciones judiciales no pueden permitirlo. El examen en la mayoría de los casos se debe limitar a la información probatoria solamente bien identificado.

Resultados Forenses

La ciencia forense ha producido históricamente resultados que han sido juzgados como válidos y fiables. Por ejemplo, el análisis de ADN intenta desarrollar información de identificación específica relativa a un individuo. Para apoyar sus conclusiones, los científicos forenses de ADN se han reunido gran cantidad de datos estadísticos sobre los perfiles de ADN de las que basan sus conclusiones. La ciencia forense infomática, en comparación, extrae o produce información. El propósito del examen equipo es encontrar información relacionada con el caso. Para apoyar a los resultados de un examen de informática forense, se necesitan procedimientos para asegurar que sólo existe la información en los medios de almacenamiento informático, inalterada por el proceso de examen. A diferencia del análisis forense de ADN u otras disciplinas forenses, la ciencia forense no hace ninguna declaración interpretativa en cuanto a la exactitud, fiabilidad o capacidad de discriminación de los datos o informaciones reales.
Más allá del producto forense y la información relacionada con el caso sea necesario para llevar a cabo de manera eficiente el trabajo, hay otra diferencia significativa entre la mayor parte de la ciencia forense tradicional y la ciencia forense. Análisis forense tradicional puede ser controlado en el entorno de laboratorio y puede progresar lógicamente, de forma incremental, y en concierto con las prácticas ampliamente aceptadas forenses. En comparación, la ciencia forense es casi en su totalidad la tecnología y el mercado impulsadas, en general, fuera del entorno de laboratorio y los exámenes presentan variaciones únicas en casi todas las situaciones.

Objetivos comunes

Estas diferencias a un lado, tanto las conclusiones científicas de análisis tradicionales forenses y la información de la ciencia forense son los exámenes forenses distintivos. Comparten todos los requisitos de las prácticas de laboratorio legales y las buenas de las ciencias forenses tradicionales en general. Ambos serán presentados ante el tribunal en un procedimiento contradictorio ya veces muy sondeo. Ambos deben producir resultados válidos y confiables de los procedimientos del estado de la técnica que se detallan, documentada y revisada por pares y de los protocolos aceptados por la comunidad científica pertinente (ASCLD / LAB 1994).
Como laboratorios empiezan a examinar más pruebas relacionados con la informática, deben establecer políticas relativas a exámenes forenses informáticos y, a partir de estas políticas, el desarrollo de protocolos y procedimientos. Las políticas deben reflejar el objetivo general, de toda la comunidad de proporcionar resultados válidos y reproducibles, aunque las presentaciones pueden provenir de diversas fuentes y presentes nuevos temas de examen. A medida que el laboratorio se mueve de la declaración de política de desarrollo del protocolo, cada procedimiento individuo debe estar bien documentado y suficientemente robusto para soportar los desafíos tanto a los resultados y la metodología.

Sin embargo, la ciencia forense, a diferencia de algunos de sus homólogos forenses tradicionales, no puede depender de la recepción de pruebas similares en cada envío. Por ejemplo, el ADN de cualquier fuente, una vez limpiado de los contaminantes y reducido a su forma elemental, es genérico. A partir de ese momento, los protocolos para el análisis forense de ADN se pueden aplicar igualmente a todas las presentaciones. El sistema de justicia penal ha llegado a esperar un resultado válido y fiable utilizando estos protocolos de ADN. Por las siguientes razones, la ciencia forense Rara vez se puede esperar que estos mismos elementos de pruebas repetitivas normalizado en muchas de sus presentaciones:

•    Sistemas, que definen lo que un ordenador es y cómo funciona, varían entre los fabricantes de funcionamiento. Por ejemplo, las técnicas desarrolladas para un ordenador personal utilizando el (DOS) entorno Disk Operating System no pueden corresponder a sistemas operativos como UNIX, que son entornos multiusuario.
•    Aplicaciones programas son únicos.
•    Métodos de almacenamiento pueden ser único para el dispositivo y los medios de comunicación.
Exámenes informáticos típicos deben reconocer el mundo rápidamente cambiante y diversa en la que el equipo examinador forense trabaja.

Examinar Evidencia ordenador

Pruebas informáticas  representada por elementos físicos tales como virutas, tableros, unidades centrales de procesamiento, medios de almacenamiento, monitores, impresoras y se puede describir con facilidad y correctamente como una forma única de evidencia física. El registro, descripción, almacenamiento y disposición de evidencia física se conocen bien. Laboratorios forenses tienen planes detallados que describen métodos aceptables para el manejo de las pruebas físicas. En la medida en que la evidencia equipo tiene un componente físico, que no representa ningún reto especial. Sin embargo, la evidencia, mientras que se almacena en estos elementos físicos, está latente y sólo existe en un formato electrónico metafísico. El resultado que se informó del examen es la recuperación de esta información latente. Aunque los laboratorios forenses son muy buenos para asegurar la integridad de los elementos físicos en su control, informática forense también requiere métodos para asegurar la integridad de la información contenida en los elementos físicos. El reto para la ciencia forense es el desarrollo de métodos y técnicas que proporcionan resultados válidos y fiables al tiempo que protege la verdadera evidencia de la información-de cualquier daño.
Para complicar el asunto, la evidencia equipo casi nunca existe de manera aislada. Es un producto de los datos almacenados, la aplicación utilizada para crear y almacenar, y el sistema informático que dirige estas actividades. En menor medida, también es un producto de las herramientas de software utilizadas en el laboratorio para extraerlo.

Temas de ciencia forense de computadoras también deben abordarse en el contexto de un entorno emergente y cambiante. Sin embargo, aun cuando el entorno cambia, tanto los organismos nacionales e internacionales encargados de hacer cumplir la ley reconocen la necesidad de enfoques técnicos comunes y están llamando a las normas (Pollitt, 1998). Debido a esto, un modelo debe ser construido que trabaja sobre una base a largo plazo, incluso cuando los cambios a corto plazo son la regla y no la excepción. El modelo que se describe es un modelo jerárquico de tres niveles que consta de lo siguiente:
•    Un concepto general de los principios de examen,
•    Las políticas y prácticas, y
•    Procedimientos y técnicas.

Principios de los exámenes son conceptos de gran escala que casi siempre se aplican al examen. Ellos son los enfoques de consenso en cuanto a lo que es importante entre los profesionales y los laboratorios que realizan estos exámenes. Ellos representan la práctica técnica y la experiencia colectiva de los examinadores forenses informáticos.

Políticas y prácticas de la organización son la orientación estructural que se aplica a los exámenes forenses. Estos están diseñados para asegurar la calidad y la eficiencia en el trabajo. En la ciencia forense, estas son las buenas prácticas de laboratorio en la que se planifican los exámenes, realización, supervisión, registran y reportan para asegurar la calidad e integridad del producto de trabajo.

Procedimientos y técnicas son de software y hardware soluciones a los problemas forenses específicos. Los procedimientos y técnicas son las instrucciones detalladas para paquetes de software específicos, así como instrucciones paso a paso que describen todo el procedimiento de examen (Pollitt 1995).
A modo de ejemplo general, un laboratorio puede requerir que los exámenes se realizarán, si es posible y práctico, en las copias de la evidencia original. Este requisito es un principio del examen. Representa un enfoque lógico tomada por la comunidad científica forense en su conjunto, y se basa en el principio de protección de la evidencia original del daño o alteración accidental o intencional. Este principio se basa en el hecho de que la evidencia digital puede duplicar exactamente para crear una copia que es verdadera y exacta.

La creación de la copia y la garantía de que es verdadera y exacta implica un subconjunto del principio, es decir, la política y la práctica. Cada agencia y el examinador debe tomar una decisión en cuanto a la forma de aplicar este principio en una base de caso por caso. Factores en esa decisión incluyen el tamaño del conjunto de datos, el método usado para crearlo, y los medios de comunicación en el que reside. En algunos casos puede ser suficiente para simplemente comparar las fechas de tamaño y de creación de archivos que aparecen en la copia con el original. En otros, puede requerir la aplicación de técnicas rigurosas técnicamente más robustos y matemáticas como un chequeo cíclico de redundancia (CRC) o calcular un resumen del mensaje (MD).

CRC y MD son algoritmos informáticos que producen representaciones matemáticas únicas de los datos. Se calculan tanto para el original y la copia y luego en comparación de la identidad. La selección de herramientas debe estar basada en el carácter de la evidencia en lugar de simplemente la política laboratorio. Es probable que los examinadores tendrán varias opciones a su disposición para llevar a cabo esta función.

Un examinador responsable de la duplicación de pruebas debe primero decidir un nivel adecuado de verificación para pesar las limitaciones de tiempo en contra de los tipos de archivos de gran tamaño. La precisión matemática y poder de discriminación de estos algoritmos son generalmente directamente proporcional a la cantidad de tiempo necesario para calcular ellos. Si hubo 1 millón de archivos para ser duplicado, cada uno menos de 1 kilobyte de tamaño, el tiempo y las limitaciones computacionales probablemente sea un factor determinante. Esta circunstancia probablemente resultará en una decisión de utilizar un algoritmo de integridad de los datos más rápido, pero menos preciso y exigente.

Después de haber decidido la mejor manera de asegurar el proceso de copia será completa y exacta, el siguiente paso es la tarea real. Este es un subconjunto de la política y la práctica, es decir, procedimientos y técnicas. Estos representan más de cerca el enfoque de libro de cocina estándar para el desarrollo del protocolo. Ellos son completos y contienen requieren pasos detallados que se pueden utilizar para copiar los datos, verificar que la operación se completó, y asegurarse de que se ha producido una copia fiel y exacta.

De nuevo, como la figura 1 ilustra un principio puede generar más que una política, y esas políticas puede aceptar muchas técnicas diferentes. El camino de un examinador toma en cada caso está bien documentado y tecnológicamente sólida para ese caso particular. Puede, sin embargo, ser el mismo camino que el examinador toma con el siguiente caso. Exámenes forenses tradicionales, tales como el examen de ADN de la sangre recuperada de la escena del crimen, se prestan a una serie rutinaria y estandarizada de pasos que se pueden repetir en un caso tras otro. Generalmente no hay tal cosa como procedimientos genéricos evidencia ordenador. La evidencia es probable que sea significativamente diferente cada vez que una presentación es recibida por el laboratorio y probablemente requerirá un plan de examen a la medida de que la evidencia particular. Aunque esta situación puede presentar una consideración recurrente de comprobaciones y controles de gestión en el entorno de laboratorio, es una consideración que debe ser abordado y mejorado si esta disciplina forense emergente es seguir siendo una herramienta eficaz y fiable en el sistema de justicia penal.

Conclusión

Métodos válidos y confiables para recuperar los datos de los ordenadores incautados como prueba en las investigaciones criminales se están convirtiendo en fundamental para las fuerzas del orden en todo el mundo. Estos métodos deben ser tecnológicamente robusta para asegurar que toda la información probatoria se recupera. También deben ser legalmente defendible para asegurarse de que nada en la evidencia original fue alterado y que ningún dato se añade o elimina del original. La disciplina forense de adquirir, preservar, recuperar y presentar los datos que ha sido procesada electrónicamente y almacenada en soportes informáticos es la ciencia forense.

Este artículo examina cuestiones relacionadas con la necesidad de desarrollar protocolos de laboratorio para ciencias de la computación forense que cumplen con los objetivos tecnológicos y legales críticos. Científicos forenses informáticos necesitan desarrollar relaciones permanentes con los organismos de justicia penal a las que sirven. Las razones de estas relaciones son las siguientes:

•    En sus esfuerzos para minimizar la cantidad de datos que se deben recuperar y hacer sus exámenes más eficiente y eficaz, los científicos forenses informáticos deben tener conocimientos específicos de datos de investigación. Este es un requisito claro que en general es más exigente que las solicitudes de ciencias forenses tradicionales, y se pone más confianza en la información del caso.
•    Los tribunales están exigiendo que más información en lugar de equipos de ser embargados. Esto requiere esfuerzos de cooperación entre los agentes del orden y el científico forense para asegurar que los recursos técnicos necesarios para la ejecución de la orden de registro son suficientes para abordar tanto el alcance y la complejidad de la búsqueda.
•    Las computadoras pueden contener lógicamente tanto información identificada en la orden, así como la información que puede estar protegido constitucionalmente. El científico forense es probablemente la persona más calificada para asesorar tanto el investigador y el fiscal en cuanto a la forma de identificar las soluciones técnicas a estas situaciones complejas.
El desarrollo de protocolos de examen de informática para el análisis informático forense es único por varias razones:
•    A diferencia de algunos forenses tradicionales analiza que el intento de reunir la mayor cantidad de información posible a partir de una muestra de pruebas, análisis forense informático intenta recuperar información solamente probatoria de un gran volumen de información general heterogéneo.
•    Informática forense debe tener en cuenta la realidad de que la ciencia forense es principalmente impulsado por el mercado, y la ciencia debe adaptarse rápidamente a los nuevos productos y las innovaciones con técnicas de examen y análisis válidos y fiables.
•    El producto del trabajo de los exámenes de ciencias forenses informáticos también se diferencia de la mayoría de los productos de trabajo forenses tradicionales. Ciencia forense tradicional intenta desarrollar una serie de hechos precisos y fiables. Por ejemplo, el ADN extraído de sangre encontrada en la escena del crimen se puede adaptar a una persona específica para establecer el hecho de que la sangre fue derramada por esa persona a la exclusión de todos los demás individuos. Informática forense generalmente no hace ninguna declaración interpretativa en cuanto a la exactitud o fiabilidad de la información obtenida y normalmente hace que sólo la información recuperada.
Protocolos de ciencias forenses informáticos deben ser escritos de una manera jerárquica por lo que los principios generales se mantienen constantes, pero las técnicas de exploración pueden adaptarse rápidamente al sistema informático a examinar. Este enfoque de protocolos forenses informáticos puede diferir de los desarrollados para muchas disciplinas forenses tradicionales, pero es necesario para dar cabida a un examen forense único.
Referencias
Sociedad Americana de Directores de Laboratorios Crimen / Junta de Acreditación de Laboratorios (ASCLD / LAB). Manual ASCLD / LAB. American Society of Crime Laboratory Directores / Laboratorio Junta de Acreditación, Garner, Carolina del Norte, 1.994, pp. 29-30.
CommerceNet Research Council. 2000 Estadísticas de la Industria. Disponible en http://www.commerce.net/research/stats/wwstats.html
Fischer, LMIBM planea anunciar salto en la capacidad del disco duro, del New York Times (30 de diciembre, 1997), p. C-2.
Noblett, MG Informe de la Oficina Federal de Investigación en el desarrollo de herramientas y los exámenes de recuperación de datos de prueba informática forense. En: Actas de la 11ª INTERPOL Simposio de Ciencias Forenses, Lyon, Francia. La Fundación Ciencias Forenses Press, Boulder, Colorado, 1995.
Pollitt, M. La Oficina Federal de Informe de investigación en la evidencia informática y medicina forense. En: Actas de la 12ª INTERPOL Simposio de Ciencias Forenses, Lyon, Francia. La Fundación Ciencias Forenses Press, Boulder, Colorado, 1998.
Pollitt, Exámenes Evidencia M. informáticos del FBI. Presentación inédito en la segunda Conferencia Internacional de Aplicación de la Ley de Evidencia Computer, Baltimore, Maryland, 10 de abril de 1995.
Autores:
Michael G. Noblett
Asociado Senior
Booz-Allen & Hamilton
Falls Church, Virginia
Mark M. Pollitt
Jefe de Unidad
Análisis de informática y equipo de respuesta
Oficina Federal de Investigaciones
Washington DC

Lawrence A. Presley
Instructor de Formación
Unidad de Capacitación Ciencias Forenses
Quantico, Virginia

Fuente: https://www.fbi.gov/about-us/lab/forensic-science-communications/fsc/oct2000/index.htm/computer.htm