6644 Sistemas

El constante reporte de vul-nerabilidades en sistemasde información, el aprove-chamiento de fallas bien

sea humanas, procedimentales o tec-nológicas sobre infraestructuras decomputación en el mundo, ofrecenun escenario perfecto para que secultiven tendencias relacionadas conintrusos informáticos. [KSHETRI2006, SUNDT 2006] Estos intrusosposeen diferentes motivaciones,alcances y estrategias que descon-ciertan a analistas, consultores ycuerpos de especiales de investiga-ciones, pues sus modalidades de ata-que y penetración de sistemas varíande un caso a otro.

A pesar del escenario anterior, la cri-minalística nos ofrece un espacio deanálisis y estudio hacia una reflexiónprofunda sobre los hechos y las evi-dencias que se identifican en el lugar

donde se llevaron a cabo las accionescatalogadas como criminales. Eneste momento, es preciso establecerun nuevo conjunto de herramientas,estrategias y acciones para descubriren los medios informáticos, la evi-dencia digital que sustente y verifi-que las afirmaciones que sobre loshechos delictivos se han materializa-do en el caso bajo estudio.

La informática forense hace enton-ces su aparición como una disciplinaauxiliar de la justicia moderna, paraenfrentar los desafíos y técnicas delos intrusos informáticos, así comogarante de la verdad alrededor de laevidencia digital que se pudieseaportar en un proceso.

En consecuencia, este breve docu-mento busca ofrecer un panoramageneral de esta especialidad técnico-legal, para ilustrar a los lectores

Introducción a la informática forenseJeimy J. Cano, Ph.D, CFE

Una disciplina técnico-legal

d o s

Sistemas 6655

sobre los fundamentos generales ybases de actuación de aquellos quese han dedicado a procurar el escla-recimiento de los hechos en mediosinformáticos, unos nuevos científi-cos que a través de la formalidad delos procesos y la precisión de la téc-nica buscan decirle a los intrusosinformáticos que están preparadospara confrontarlos y procesarlos.

Definiciones

Existen múltiples definiciones a lafecha sobre el tema forense en infor-mática [MCKEMMISH 1999]. Unaprimera revisión nos sugiere diferen-tes términos para aproximarnos aeste tema, dentro de los cuales se tie-nen: computación forense, digitalforensics (forensia digital), networkforensics (forensia en redes), entreotros. Este conjunto de términospuede generar confusión en los dife-rentes ambientes o escenarios dondese utilice, pues cada uno de ellostrata de manera particular o generaltemas que son de interés para lasciencias forenses aplicadas enmedios informáticos.

Es importante anotar, que al ser estaespecialidad técnica un recursoimportante para las ciencias forensesmodernas, asumen dentro de sus pro-cedimientos las tareas propias aso-ciadas con la evidencia en la escenadel crimen como son: identificación,preservación, extracción, análisis,interpretación, documentación y pre-

sentación de las pruebas en el con-texto de la situación bajo inspección.

Iniciemos con computer forensics,cuya traducción por lo general sehace como computación forense.Esta expresión podría interpretarsede dos maneras: 1. Disciplina de lasciencias forenses, que considerandolas tareas propias asociadas con laevidencia, procura descubrir e inter-pretar la información en los mediosinformáticos para establecer loshechos y formular las hipótesis rela-cionadas con el caso; o 2. Como ladisciplina científica y especializadaque entendiendo los elementos pro-pios de las tecnologías de los equi-pos de computación ofrece unanálisis de la información residenteen dichos equipos.

Estas dos definiciones no son exclu-yentes, sino complementarias. Unade ellas hace énfasis en las conside-raciones forenses y la otra en la espe-cialidad técnica, pero en últimasambas procuran el esclarecimiento einterpretación de la información enlos medios informáticos como valorfundamental, uno para la justicia yotro para la informática.

Cuando se habla de network foren-sics, forensia en redes, estamos en unescenario aún más complejo, pues esnecesario comprender la maneracomo los protocolos, configuracio-nes e infraestructuras de comunica-ciones se conjugan para dar como

6666 Sistemas

resultado un momento específico enel tiempo y un comportamiento par-ticular. Esta conjunción de palabrasestablece un profesional que enten-diendo las operaciones de las redesde computadores, es capaz, siguien-do los protocolos y formación crimi-nalística, de establecer los rastros,los movimientos y acciones que unintruso ha desarrollado para concluirsu acción. A diferencia de la defini-ción de computación forense, estecontexto exige capacidad de correla-ción de evento, muchas veces dis-yuntos y aleatorios, que en equiposparticulares, es poco frecuente.

Finalmente, digital forensics, foren-sia digital, trata de conjugar demanera amplia la nueva especiali-dad. Podríamos hacer semejanza coninformática forense, al ser una formade aplicar los conceptos, estrategiasy procedimientos de la criminalísticatradicional a los medios informáticosespecializados, con el fin de apoyar ala administración de justicia en sulucha contra los posibles delincuen-tes o como una disciplina especiali-zada que procura el esclarecimientode los hechos (¿quién?, ¿cómo?,¿dónde?, ¿cuándo?, ¿porqué?) deeventos que podrían catalogarsecomo incidentes, fraudes o usosindebidos bien sea en el contexto dela justicia especializada o comoapoyo a las acciones internas de lasorganizaciones en el contexto de laadministración de la inseguridadinformática.

Como hemos revisado, las definicio-nes abordan aspectos generales yespecíficos que convergen en todoslos casos hacia la identificación, pre-servación, extracción, análisis, inter-pretación, documentación ypresentación de evidencia digitalpara detallar, validar y sustentar lashipótesis que sobre un evento sehayan formulado. No obstante loanterior, es pertinente anotar queaquellos dedicados a esta disciplinaemergente como la informáticaforense, deben ser profesionales nocon altos niveles de ética y respetopor las instituciones, sino con losmás altos niveles, pues en ellos estael soporte de las decisiones quesobre los hechos analizados setomen.

Evidencia digital

De acuerdo con el HB:171 2003Guidelines for the Management ofIT Evidence, la evidencia digital es:"cualquier información, que sujeta auna intervención humana u otrasemejante, ha sido extraída de unmedio informático". En este sentido,la evidencia digital, es un términoutilizado de manera amplia para des-cribir "cualquier registro generadopor o almacenado en un sistemacomputacional que puede ser utiliza-do como evidencia en un procesolegal".

En este sentido el documento men-cionado establece que la evidencia

Sistemas 6677

digital puede ser dividida en trescategorías a saber:

1. Registros almacenados en el equi-po de tecnología informática (P.e.correos electrónicos, archivos deaplicaciones de ofimática, imágenes,etc.)

2. Registros generados por los equi-pos de tecnología informática (regis-tros de auditoría, registros detransacciones, registros de eventos,etc.).

3. Registros que parcialmente hansido generados y almacenados en losequipos de tecnología informática.(hojas de cálculo financieras, con-sultas especializadas en bases dedatos, vistas parciales de datos, etc.).

La evidencia digital es la materiaprima para los investigadores dondela tecnología informática es partefundamental del proceso. Sin embar-go y considerando, el ambiente tancambiante y dinámico de las infraes-tructuras de computación y comuni-caciones, es preciso detallar lascaracterísticas propias de dicha evi-dencia en este entorno. La evidenciadigital posee, entre otros, lossiguientes elementos que la hacen unconstante desafío para aquellos quela identifican y analizan en la bús-queda de la verdad:

1.Es volátil

2.Es anónima

3.Es duplicable

4.Es alterable y modificable

5.Es eliminable

Estas características nos adviertensobre la exigente labor que se requie-re por parte de los especialistas entemas de informática forense, tantoen procedimientos, como en técnicasy herramientas tecnológicas paraobtener, custodiar, revisar, analizar ypresentar la evidencia presente enuna escena del delito. Por tanto, esnecesario mantener un conocimientodetallado de las normas y regulacio-nes legales asociadas con las pruebasy el derecho procesal, así como delas técnicas y procesos que permitanmantener la confiabilidad de losdatos recogidos, la integridad de losmedios, el análisis detallado de losdatos y la presentación idónea de losresultados.

Procedimientos

Considerando la fragilidad del insu-mo con el cual trabajan los especia-listas en informática forense, espreciso extremar las medidas deseguridad y control que éstos debentener a la hora de adelantar sus labo-res, pues cualquier imprecisión enlas mismas puede llevar a compro-meter el proceso bien sea legal uorganizacional [WILSON 2003,TAYLOR, R., CAETI, T., KALLLOPER, D., FRITSCH, E y LIE-DERBACH, J. 2006]. En este senti-

6688 Sistemas

do, detallamos de manera básicaalgunos elementos que deben serconsiderados para mantener la ido-neidad del procedimiento forenseadelantado:

1. Esterilidad de los medios de informáticosde trabajo

Los medios informáticos utilizadospor los profesionales en esta área,deben estar certificados de tal mane-ra, que éstos no hayan sido expues-tos a variaciones magnéticas, ópticas(láser) o similares, so pena de que lascopias de la evidencia que se ubi-quen en ellos puedan estar contami-nadas. La esterilidad de los medioses una condición fundamental parael inicio de cualquier procedimientoforense en informática, pues al igualque en la medicina forense, un ins-trumental contaminado puede sercausa de una interpretación o análi-sis erróneo de las causas de la muer-te del paciente.

2. Verificación de las copias en mediosinformáticos

Las copias efectuadas en los mediospreviamente esterilizados, deben seridénticas al original del cual fuerontomadas. La verificación de éstasdebe estar asistida por métodos yprocedimientos matemáticos queestablezcan la completitud de lainformación traspasada a la copia.Para esto, se sugiere utilizar algorit-mos y técnicas de control basadas en

firma digitales que puedan compro-bar que la información inicialmentetomada corresponde a la que se ubicaen el medio de copia. Adicionalmen-te, es preciso que el software u apli-cación soporte de esta operaciónhaya sido previamente probado yanalizado por la comunidad científi-ca, para que conociendo su tasa deefectividad, sea validado en un pro-cedimiento ante una diligencia legal.

3. Documentación de los procedimientos,herramientas y resultados sobre losmedios informáticos analizadosEl investigador debe ser el custodiode su propio proceso, por tanto cadauno de los pasos realizados, lasherramientas utilizadas (sus versio-nes, licencias y limitaciones), losresultados obtenidos del análisis delos datos, deben estar claramentedocumentados, de tal manera, quecualquier persona externa puedavalidar y revisar los mismos. Anteuna confrontación sobre la idoneidaddel proceso, el tener documentado yvalidado cada uno de sus procesosofrece una importante tranquilidad alinvestigador, pues siendo rigurososen la aplicación del método científi-co es posible que un tercero repro-duzca sus resultados utilizando lamisma evidencia.

4. Mantenimiento de la cadena de custodiade las evidencias digitalesEste punto es complemento del ante-rior. La custodia de todos los ele-

Sistemas 6699

mentos allegados al caso y en poderdel investigador, debe responder auna diligencia y formalidad especia-les para documentar cada uno de loseventos que se han realizado con laevidencia en su poder. Quién laentregó, cuándo, en qué estado,cómo se ha transportado, quién hatenido acceso a ella, cómo se haefectuado su custodia, entre otras,son las preguntas que deben estarclaramente resueltas para poder darcuenta de la adecuada administra-ción de las pruebas a su cargo.

5. Informe y presentación de resultados delos análisis de los medios informáticosEste elemento es tan importantecomo los anteriores, pues una inade-cuada presentación de los resultadospuede llevar a falsas expectativas ointerpretación de los hechos queponga en entredicho la idoneidad delinvestigador. Por tanto, la claridad,el uso de un lenguaje amable y sintecnicismos, una redacción impeca-ble sin juicios de valor y una ilustra-ción pedagógica de los hechos y losresultados, son elementos críticos ala hora de defender un informe delas investigaciones. Generalmenteexisten dos tipos de informes, lostécnicos con los detalles de la ins-pección realizada y el ejecutivo parala gerencia y sus dependencias.

6. Administración del caso realizadoLos investigadores forenses eninformática deben prepararse para

declarar ante un jurado o juicio, portanto, es probable que en el curso dela investigación o del caso, lo pue-dan llamar a declarar en ese instanteo mucho tiempo después. Por tanto,el mantener un sistema automatizadode documentación de expedientes delos casos, con una adecuada cuota deseguridad y control, es labor necesa-ria y suficiente para salvaguardar losresultados de las investigaciones y eldebido cuidado, diligencia y previsi-bilidad del profesional que ha parti-cipado en el caso.

7. Auditoría de los procedimientos realiza-dos en la investigaciónFinalmente y no menos importante,es recomendable que el profesional

7700 Sistemas

investigador mantenga un ejerciciode autoevaluación de sus pro-cedimientos, para contar con laevidencia de una buena práctica deinvestigaciones forenses, de talmanera que el ciclo de calidad:PHVA - Planear, Hacer, Verificar yActuar, sea una constante que per-mita incrementar la actual con-fiabilidad de sus procedimientos ycuestionar sus prácticas y técnicasactuales para el mejoramiento de suejercicio profesional y la práctica dela disciplina.

Herramientas

Hablar de informática forense sinrevisar algunas ideas sobre herra-mientas es hablar en un contexto teó-rico de procedimientos y formalida-des legales. Las herramientas infor-máticas, son la base esencial de losanálisis de las evidencias digitales en

los medios informáticos. Sin embar-go, es preciso comentar que éstasrequieren de una formalidad adicio-nal que permita validar tanto la con-fiabilidad de los resultados de laaplicación de las mismas, como laformación y conocimiento del inves-tigador que las utiliza. Estos dos ele-mentos hacen del uso de las herra-mientas, una constante reflexión ycuestionamiento por parte de lacomunidad científica y práctica de lainformática forense en el mundo.

Dentro de las herramientas frecuen-temente utilizadas en procedimien-tos forenses en informática detalla-mos algunas para conocimientogeneral de los lectores, que son apli-caciones que tratan de cubrir todo elproceso en la investigación forenseen informática:ENCASE - http://www.encase.com/products/ef_index.asp

FORENSIC TOOLKIT - http://www.accessdata.com/products/utk/ WINHEX - http://www.x-ways.net/forensics/index-m.htmlSi bien las herramientas detalladasanteriormente son licenciadas y sus

precios oscilan entre los 600 y los5000 dólares americanos, existenotras que no cuentan con tanto reco-nocimiento internacional en proce-sos legales, que generalmente sonaplicaciones en software de código

Sistemas 7711

abierto (entre otras, Sleuth Kit -http://www.sleuthkit.org/, CoronerToolkit

http://www.porcupine.org/foren-sics/tct.html). Estás últimas a pesarde que son utilizadas con frecuenciacomo estrategia de validación en eluso de otras herramientas, vienenhaciendo una importante carrera enla práctica de la informática forense,con lo cual no se descarta en un futu-ro próximo que éstas estén compi-tiendo mano a mano con laslicenciadas mencionadas anterior-mente. Para mayor información deotras herramientas forenses en infor-mática se sugiere revisar el enlace:http://www.e-evidence.info/ven-dors.html.

Retos

La informática forense es un desafíointerdisciplinario que requiere unestudio detallado de la tecnología,los procesos y los individuos quepermitan la conformación de uncuerpo de conocimiento formal,científico y legal para el ejercicio deuna disciplina que apoye directa-mente la administración de la justi-cia y el esclarecimiento de loshechos alrededor de los incidentes ofraudes en las organizaciones. Eneste sentido, se tienen agendas deinvestigación a corto y medianoplazo para que se avancen en temasde especial interés en la conforma-ción y fortalecimiento de las cien-

cias forenses aplicadas a los mediosinformáticos. Dentro de los temasseleccionados están:

1.El reconocimiento de la evidencia digitalcomo evidencia formal y válida

La evidencia digital en la adminis-tración de justicia en muchas partesdel mundo continua siendo unasituación problemática por resolver[BRUNGS, A y JAMIESON, R.2003]. Dada las características men-cionadas previamente, se hace unelemento que requiere un tratamien-to especial, más allá de las caracte-rísticas legales requeridas, pues éstasdeben estar articuladas con losesfuerzos de seguridad de la infor-

7722 Sistemas

mación vigentes en las organizacio-nes.

2.Los mecanismos y estrategias de valida-ción y confiabilidad de las herramientasforenses en informática

Las herramientas utilizadas actual-mente en investigaciones forenses eninformática están cumpliendo unafunción importante para esclarecerlos hechos ante incidentes informáti-cos. Sin embargo, la fragilidad inhe-rente del software, la vulnerabilidadpresentes en las mismas y las limita-ciones propias de los lenguajes yprácticas de programación hacen quela comunidad académica y científicaredoble sus esfuerzos para hacer deestos programas, herramientas másconfiables y predecibles para loscuerpos de investigaciones judicialesy organizacionales.

3. La formación de especialistas eninformática forense, que apoyen

labores de peritaje informático tantoen la administración de justiciacomo en investigaciones organiza-cionales internas.

Al ser la informática forense unaciencia aplicada naciente, se hacenecesario iniciar las reflexionessobre la formación de un especialis-ta en informática forense [WHITE,D., REA, A., MCKENZIE, B yGLORFLED, L 2004, CANO 2006].Esta formación necesariamentedeberá ser interdisciplinaria y paraello se requiere el concurso de losprofesionales del derecho, la crimi-nalística, las tecnologías de informa-ción y la seguridad informática,como mínimo, sin perjuicio de queotras disciplinas académicas puedanestar presentes en la estrategia deprofesionalización de estos nuevosespecialistas.

A lo largo de este documento hemosquerido mostrar de manera básica yconcreta una aproximación a lainformática forense, no con el ánimode sugerir un curso de acción sobreel tema, sino de ilustrar los diferen-tes escenarios y elementos que com-ponen esta naciente disciplinaauxiliar de la criminalística. Es pre-ciso aclarar, que los conceptosexpresados en este artículo respon-den a una revisión de la prácticainternacional sobre el tema y que elanálisis para el caso colombianorequiere aún un estudio particular.

Sistemas 7733

La informática forense es la respues-ta natural del entorno digital y de lasociedad de la información para res-ponder a la creciente ola de inciden-tes, fraudes y ofensas (en mediosinformáticos y a través de mediosinformáticos) con el fin de enviar unmensaje claro a los intrusos: estamospreparados para responder a susacciones y continuamos aprendiendopara dar con la verdad de sus accio-nes.

Referencias

KSHETRI, N. (2006) The simple econo-mics of cybercrime. IEEE Security &Privacy. January/February.SUNDT, C. (2006) Information securityand the law. Information Security Tech-nical Report. Vol.2 No.9CANO, J. (2006) Estado del arte delperitaje informático en Latinoamérica.Alfa- REDI. Disponible en:http://www.alfa-redi.org/ar-dnt-docu-

mento.shtml?x=728TAYLOR, R., CAETI, T., KALL LOPER,D., FRITSCH, E y LIEDERBACH, J.(2006) Digital crime and digital terro-rism. Pearson Prentice Hall. Cap. 11 y12.WILSON, A. (2003) Investigation bycomputer. Digital evidence - data in thebox!. Association of Certified FraudExaminers. Proceedings of 14th AnnualFraud Conference. Chicago, IL.August.BRUNGS, A y JAMIESON, R. (2003)Legal issues for computer forensics.Proceedings for 14th AustralasianConference on Information Systems.Perth, Western Australia. November.WHITE, D., REA, A., MCKENZIE, B yGLORFLED, L. (2004) A model andguide for an introductory computersecurity forensic course. Proceedingsof the Tenth Americas Conference onInformation Systems, New York, NewYork, August.MCKEMMISH, R. (1999) What isforensic computing?. Australian Insti-tute of Criminology. Issues and Trendsin crime and criminal justice. No. 118.

Jeimy J. Cano, Ph.D, CFE. Es egresado del Programa de Ingeniería y Maestría en Sis-temas y Computación de la Universidad de Los Andes. Cuenta con un doctorado en Filo-sofía de la Administración de Negocios, título otorgado por Newport University enCalifornia, Estados Unidos. Además de una certificación como Examinador Certificado deFraude - en inglés CFE. Es profesor e investigador a nivel nacional y latinoamericano entemas de seguridad informática, computación forense y sistemas de información. Actual-mente, es Presidente de la Asociación Colombiana de Ingenieros de Sistemas (ACIS).