Diferencia entre revisiones de «Análisis forense digital»

De Wikipedia, la enciclopedia libre
Explorar historial interactivamente
← Ir a diferencia anteriorIr a siguiente diferencia →
Contenido eliminado Contenido añadido
VisualWikitexto
Mcapdevila (discusión · contribs.)
31 579 ediciones
Mcapdevila (discusión · contribs.)
31 579 ediciones
Línea 163: Línea 163:
== Referencias ==
== Referencias ==
{{listaref}}
{{listaref}}
{{Reflist|colwidth=35em|refs=
<ref name="adams">{{cite web|last=Adams |first=Richard |title='The Advanced Data Acquisition Model (ADAM): A process model for digital forensic practice |publisher=Murdoch University |year=2013 |url=https://www.researchgate.net/publication/258224615 |url-status=live |archive-url=https://web.archive.org/web/20141114204845/http://researchrepository.murdoch.edu.au/14422/2/02Whole.pdf |archive-date=2014-11-14 }}</ref>
<ref name="casey">{{Cite book|last=Casey |first=Eoghan |title=Digital Evidence and Computer Crime, Second Edition |year=2004 |publisher=Elsevier |isbn=978-0-12-163104-8 |url=https://books.google.com/books?id=Xo8GMt_AbQsC}}</ref>
<ref name="palmer" >{{cite web|title=Forensic analysis in the digital world|url=https://utica.edu/academic/institutes/ecii/publications/articles/9C4E938F-E3BE-8D16-45D0BAD68CDBE77.doc|publisher=International Journal of Digital Evidence|access-date=2 August 2010|author1=GL Palmer |author2=I Scientist |author3=H View |year=2002}}</ref>
<ref name="rosenblatt">{{Cite book |title=High-Technology Crime: Investigating Cases Involving Computers |year=1995 |publisher=KSK Publications |isbn=978-0-9648171-0-4 |url=https://archive.org/details/hightechnologycr0000rose |author=K S Rosenblatt |access-date=4 August 2010 |url-access=registration }}</ref>
<ref name="SWGDE">{{cite web|title=Best practices for Computer Forensics |url=http://swgde.org/documents/swgde2005/SWGDE%20Best%20Practices%20_Rev%20Sept%202004_.pdf |publisher=SWGDE |access-date=4 August 2010 |archive-url=https://web.archive.org/web/20081227060158/http://www.swgde.org/documents/swgde2005/SWGDE%20Best%20Practices%20_Rev%20Sept%202004_.pdf |archive-date=27 December 2008 |url-status=dead }}</ref>
<ref name="adamscloud">{{cite web|last=Adams|first=Richard|title='The emergence of cloud storage and the need for a new digital forensic process model|publisher=Murdoch University|year=2013|url=http://researchrepository.murdoch.edu.au/19431/1/emergence_of_cloud_storage.pdf}}</ref>
<ref name="df-basics">{{cite web|last=Carrier |first=Brian D |title=Basic Digital Forensic Investigation Concepts |url=http://www.digital-evidence.org/di_basics.html |date=7 June 2006 |url-status=live |archive-url=https://web.archive.org/web/20100226184652/http://www.digital-evidence.org/di_basics.html |archive-date=26 February 2010 }}</ref>
<ref name="carrier">{{cite journal|last=Carrier |first=B |title=Defining digital forensic examination and analysis tools |journal=International Journal of Digital Evidence |volume=1 |pages=2003 |year=2001 |citeseerx=10.1.1.14.8953 }}</ref>
<ref name="ijde-2002">{{cite journal|title=An examination of digital forensic models |publisher=International Journal of Digital Evidence |author1=M Reith |author2=C Carr |author3=G Gunsch |year=2002 |citeseerx=10.1.1.13.9683 }}</ref>
<ref name="iso17025">{{cite web|title=ISO/IEC 17025:2005 |url=http://www.iso.org/iso/catalogue_detail.htm?csnumber=39883 |publisher=ISO |access-date=20 August 2010 |url-status=live |archive-url=https://web.archive.org/web/20110805204943/http://www.iso.org/iso/catalogue_detail.htm?csnumber=39883 |archive-date=5 August 2011 }}</ref>
<ref name="first">{{cite web|title='Electronic Crime Scene Investigation Guide: A Guide for First Responders |publisher=National Institute of Justice |year=2001 |url=http://www.ncjrs.gov/pdffiles1/nij/187736.pdf |url-status=live |archive-url=https://web.archive.org/web/20100215040703/http://www.ncjrs.gov/pdffiles1/nij/187736.pdf |archive-date=2010-02-15 }}</ref>
<ref name="horenbeeck">{{cite web|title=Technology Crime Investigation|url=http://www.daemon.be/maarten/forensics.html#dr|access-date=17 August 2010|author=Maarten Van Horenbeeck|date=24 May 2006|archive-url=https://web.archive.org/web/20080517022757/http://www.daemon.be/maarten/forensics.html#dr|archive-date=17 May 2008}}</ref>
<ref name="rule702">{{cite web |title=Federal Rules of Evidence #702 |url=http://federalevidence.com/rules-of-evidence#Rule702 |access-date=23 August 2010 |url-status=dead |archive-url=https://web.archive.org/web/20100819114909/http://federalevidence.com/rules-of-evidence#Rule702 |archive-date=19 August 2010 }}</ref>
<ref name="exposed">{{Cite book|title=Hacking Exposed: Computer Forensics |year=2009 |publisher=McGraw Hill Professional |isbn=978-0-07-162677-4 |page=544 |url=https://books.google.com/books?id=yMdNrgSBUq0C |author=Aaron Phillip |author2=David Cowen |author3=Chris Davis |access-date=27 August 2010}}</ref>
<ref name="briefhistory">{{cite web|last=M |first=M. E. |title=A Brief History of Computer Crime: A |url=http://www.mekabay.com/overviews/history.pdf |publisher=[[Norwich University]] |access-date=30 August 2010 |url-status=live |archive-url=https://web.archive.org/web/20100821112900/http://www.mekabay.com/overviews/history.pdf |archive-date=21 August 2010 }}</ref>
<ref name=JOE>[http://www.jfcom.mil/newslink/storyarchive/2010/JOE_2010_o.pdf "The Joint Operating Environment"] {{webarchive|url=https://web.archive.org/web/20130810043238/http://www.jfcom.mil/newslink/storyarchive/2010/JOE_2010_o.pdf |date=2013-08-10 }}, Report released, 18 February 2010, pp. 34–36</ref>
<ref name="legal">{{cite web|title=Legal Aspects of Digital Forensics |url=http://euro.ecom.cmu.edu/program/law/08-732/Evidence/RyanShpantzer.pdf |access-date=31 August 2010 |author=Daniel J. Ryan |author2=Gal Shpantzer |url-status=live |archive-url=https://web.archive.org/web/20110815212937/http://euro.ecom.cmu.edu/program/law/08-732/Evidence/RyanShpantzer.pdf |archive-date=15 August 2011 }}</ref>
<ref name="bonallo" >{{cite court
|litigants=US v. Bonallo
|vol=858
|reporter=F. 2d
|opinion=1427
|pinpoint=
|court=[[9th Circuit|9th Cir.]]
|date=1988
|url=https://scholar.google.co.uk/scholar_case?case=17436631095971908840&q=US+v.+Bonallo&hl=en&as_sdt=2002&as_vis=1
|quote=
}}</ref>
<ref name="handbook">{{Cite book|last=Various |title=Handbook of Digital Forensics and Investigation |year=2009 |publisher=Academic Press |isbn=978-0-12-374267-4 |page=567 |url=https://books.google.com/books?id=xNjsDprqtUYC |editor=Eoghan Casey}}</ref>
<ref name="moscowtimes">{{cite news|title=2 Russians Face Hacking Charges |url=http://www.themoscowtimes.com/news/article/2-russians-face-hacking-charges/253844.html |newspaper=[[Moscow Times]] |access-date=3 September 2010 |date=24 April 2001 |url-status=live |archive-url=https://web.archive.org/web/20110622115054/http://www.themoscowtimes.com/news/article/2-russians-face-hacking-charges/253844.html |archive-date=22 June 2011 }}</ref>
<ref name="db" >{{cite journal|last=Olivier|first=Martin S.|title=On metadata context in Database Forensics|doi=10.1016/j.diin.2008.10.001|date=March 2009|volume=5|issue=3–4|journal=Digital Investigation|pages=115–123|citeseerx=10.1.1.566.7390}}</ref>
<ref name="maarten-mob" >{{cite web|title=Technology Crime Investigation :: Mobile forensics|url=http://www.daemon.be/maarten/forensics.html#mob|access-date=18 August 2010|archive-url=https://web.archive.org/web/20080517022757/http://www.daemon.be/maarten/forensics.html#mob|archive-date=17 May 2008}}</ref>
<ref name="wilding" >{{cite book|author=Wilding, E.|year=1997|title=Computer Evidence: a Forensic Investigations Handbook|location=London|publisher=Sweet & Maxwell|page=236|isbn=978-0-421-57990-3}}</ref>
<ref name="collier" >{{cite journal|author1=Collier, P.A. |author2=Spaul, B.J.|year=1992|title=A forensic methodology for countering computer crime|journal=Computers and Law}}</ref>
<ref name="mohay">{{cite book|last=Mohay|first=George M.|title=Computer and intrusion forensics|url=https://archive.org/details/computerintrusio00moha_792|url-access=limited|year=2003|publisher=Artechhouse|isbn=978-1-58053-369-0|page=[https://archive.org/details/computerintrusio00moha_792/page/n416 395]}}</ref>
<ref name="sommer" >{{cite journal|author=Peter Sommer|title=The future for the policing of cybercrime|journal=Computer Fraud & Security|volume=2004|issue=1|date=January 2004|pages=8–12|issn=1361-3723|doi=10.1016/S1361-3723(04)00017-X}}</ref>
<ref name="mocas" >{{cite journal|author=Sarah Mocas|title=Building theoretical underpinnings for digital forensics research|journal=Digital Investigation|volume=1|issue=1|date=February 2004|pages=61–68|issn=1742-2876|doi=10.1016/j.diin.2003.12.004|citeseerx=10.1.1.7.7070}}</ref>
<ref name="garfinkel" >{{cite journal|author=Simson L. Garfinkel|title=Digital forensics research: The next 10 years|journal=Digital Investigation|volume=7|date=August 2010|page=S64–S73|issn=1742-2876|doi=10.1016/j.diin.2010.05.009|doi-access=free}}</ref>
<ref name="punja">{{cite journal|title=Mobile device analysis|url=http://www.ssddfj.org/papers/SSDDFJ_V2_1_Punja_Mislan.pdf|author=SG Punja|journal=Small Scale Digital Device Forensics Journal|year=2008|url-status=dead|archive-url=https://web.archive.org/web/20110728051616/http://www.ssddfj.org/papers/SSDDFJ_V2_1_Punja_Mislan.pdf|archive-date=2011-07-28}}</ref>
<ref name="ahmed">{{cite journal|title=Mobile forensics: an overview, tools, future trends and challenges from law enforcement perspective |url=http://www.csi-sigegov.org/emerging_pdf/34_312-323.pdf |author=Rizwan Ahmed |journal=6th International Conference on E-Governance |year=2008 |url-status=live |archive-url=https://web.archive.org/web/20160303222523/http://www.csi-sigegov.org/emerging_pdf/34_312-323.pdf |archive-date=2016-03-03 }}</ref>
<ref name=kruse>{{cite book|title=Computer forensics: incident response essentials|year=2002|publisher=Addison-Wesley|isbn=978-0-201-70719-9|page=[https://archive.org/details/computerforensic0000krus/page/392 392]|author1=Warren G. Kruse|author2=Jay G. Heiser|url-access=registration|url=https://archive.org/details/computerforensic0000krus/page/392}}</ref>
<ref name="goodbadugly" >{{cite book|author1=Peterson, Gilbert |author2=Shenoi, Sujeet|title=Advances in Digital Forensics V |chapter=Digital Forensic Research: The Good, the Bad and the Unaddressed |year=2009|publisher=Springer Boston|pages=17–36|volume=306|doi=10.1007/978-3-642-04155-6_2|series=IFIP Advances in Information and Communication Technology|isbn=978-3-642-04154-9|bibcode=2009adf5.conf...17B}}</ref>
<ref name=kanellis>{{cite book|last=Kanellis|first=Panagiotis|title=Digital crime and forensic science in cyberspace|year=2006|publisher=Idea Group Inc (IGI)|isbn=978-1-59140-873-4|page=357}}</ref>
<ref name=dummies>{{cite book|title=Computer forensics for dummies|year=2008|publisher=[[For Dummies]]|isbn=978-0-470-37191-6|pages=384|author1=Linda Volonino |author2=Reynaldo Anzaldua }}</ref>
<ref name="tools-legal">{{cite web
|title=Open Source Digital Forensic Tools: The Legal Argument
|author=Brian Carrier
|publisher=@stake Research Report
|date=October 2002
|url=http://www.digital-evidence.org/papers/opensrc_legal.pdf
|url-status=live
|archive-url=https://web.archive.org/web/20110726000427/http://www.digital-evidence.org/papers/opensrc_legal.pdf
|archive-date=2011-07-26
}}</ref>
<ref name="tools-validation">{{cite web
|title=Validation of Forensic Tools and Software: A Quick Guide for the Digital Forensic Examiner
|author=Brunty, Josh
|publisher=Forensic Magazine
|date=March 2011
|url=http://www.forensicmag.com/article/2011/03/validation-forensic-tools-and-software-quick-guide-digital-forensic-examiner
|url-status=live
|archive-url=https://web.archive.org/web/20170422033752/http://www.forensicmag.com/article/2011/03/validation-forensic-tools-and-software-quick-guide-digital-forensic-examiner
|archive-date=2017-04-22
}}</ref>
<ref name="EEG">{{cite web
|title=Electronic Evidence Guide
|publisher=Council of Europe
|date=April 2013
|url=http://www.coe.int/t/dghl/cooperation/economiccrime/cybercrime/Documents/Electronic%20Evidence%20Guide/default_en.asp
|url-status=live
|archive-url=https://web.archive.org/web/20131227210748/http://www.coe.int/t/dghl/cooperation/economiccrime/cybercrime/Documents/Electronic%20Evidence%20Guide/default_en.asp
|archive-date=2013-12-27
}}</ref>
<ref name="liveram">{{cite web|title=Catching the ghost: how to discover ephemeral evidence with Live RAM analysis|publisher=Belkasoft Research|year=2013|url=http://forensic.belkasoft.com/en/live-ram-forensics}}</ref>
}}



{{Control de autoridades}}
{{Control de autoridades}}

Revisión del 18:34 24 sep 2023

Este artículo o sección necesita referencias que aparezcan en una publicación acreditada.
Busca fuentes: «Análisis forense digital»noticias · libros · académico · imágenes
Puedes avisar al redactor principal pegando lo siguiente en su página de discusión: {{sust:Aviso referencias|Análisis forense digital}} ~~~~
Uso de esta plantilla: {{Referencias|t={{sust:CURRENTTIMESTAMP}}}}

La ciencia forense digital es una ciencia forense en la que los expertos estudian los dispositivos informáticos para ayudar a resolver los delitos. También puede incluir teléfonos móviles.[1]​ Los expertos que hacen la forense digital son a menudo llamados "analistas" o "investigadores". Cuando se pide a un experto que mire un ordenador, se le llama "investigación".

Una investigación forense digital ocurre cuando alguien es culpado por un crimen que incluye el uso de una computadora o dispositivo digital, o cuando pruebas de ese delito pueden hallarse en instrumentos digitales.[2]​ El experto buscará pruebas sobre el crimen. Tratarán de probar si la persona tiene la culpa o no.

(a veces conocida como ciencia forense digital ) es una rama de la ciencia forense que abarca la recuperación, investigación, examen y análisis de material encontrado en dispositivos digitales, a menudo en relación con dispositivos móviles y delitos informáticos . El término "forense digital" se utilizó originalmente como sinónimo de informática forense, pero se ha ampliado para abarcar la investigación de todos los dispositivos capaces de almacenar datos digitales . Con sus raíces en la revolución de la informática personal de finales de los años 1970 y principios de los 1980, la disciplina evolucionó de manera desordenada durante los años 1990, y no fue hasta principios del siglo XXI que surgieron políticas nacionales.

Las investigaciones forenses digitales tienen una variedad de aplicaciones. Lo más común es apoyar o refutar una hipótesis ante tribunales penales o civiles . Los casos penales implican la presunta infracción de leyes definidas por la legislación, aplicadas por la policía y perseguidas por el Estado, como asesinato, robo y agresión contra la persona. Los casos civiles, por otro lado, tratan de la protección de los derechos y la propiedad de las personas (a menudo asociados con disputas familiares), pero también pueden estar relacionados con disputas contractuales entre entidades comerciales en las que se utiliza una forma de análisis forense digital denominado descubrimiento electrónico (ediscovery). puede estar implicado.

Los análisis forenses también pueden aparecer en el sector privado, como durante las investigaciones corporativas internas o las investigaciones de intrusión (una investigación especial sobre la naturaleza y el alcance de una intrusión no autorizada en la red ).

El aspecto técnico de una investigación se divide en varias subramas relacionadas con el tipo de dispositivos digitales involucrados: informática forense, investigación forense de redes, análisis de datos forenses y investigación forense de dispositivos móviles . [3]​ El proceso forense típico abarca la incautación, la obtención de imágenes forenses (adquisición) y el análisis de medios digitales, seguido de la producción de un informe de las pruebas recopiladas.

Además de identificar pruebas directas de un delito, la ciencia forense digital se puede utilizar para atribuir pruebas a sospechosos específicos, confirmar coartadas o declaraciones, determinar la intención, identificar fuentes (por ejemplo, en casos de derechos de autor) o autenticar documentos. Las investigaciones tienen un alcance mucho más amplio que otras áreas del análisis forense (donde el objetivo habitual es proporcionar respuestas a una serie de preguntas más simples), y a menudo involucran líneas de tiempo o hipótesis complejas.

Historia

Antes de la década de 1970, los delitos relacionados con computadoras se resolvían utilizando las leyes existentes. Los primeros delitos informáticos fueron reconocidos en la Ley de Delitos Informáticos de Florida de 1978, [4]​ que incluía legislación contra la modificación o eliminación no autorizada de datos en un sistema informático. En los años siguientes, la variedad de delitos informáticos cometidos aumentó y se aprobaron leyes para abordar cuestiones de derechos de autor, privacidad/acoso (por ejemplo, acoso cibernético, bofetadas, acoso cibernético y depredadores en línea ) y pornografía infantil . No fue hasta la década de 1980 que las leyes federales comenzaron a incorporar delitos informáticos. Canadá fue el primer país en aprobar una legislación en 1983. A esto le siguieron la Ley Federal de Abuso y Fraude Informático de EE. UU. en 1986, las enmiendas australianas a sus leyes sobre delitos en 1989 y la Ley británica sobre uso indebido de computadoras en 1990.  

1980s-1990s: Crecimiento del campo

El crecimiento de la delincuencia informática durante las décadas de 1980 y 1990 hizo que las agencias policiales comenzaran a establecer grupos especializados, generalmente a nivel nacional, para manejar los aspectos técnicos de las investigaciones. Por ejemplo, en 1984, el FBI puso en marcha un Equipo de Análisis y Respuesta por Ordenador y al año siguiente se creó un departamento de delitos informáticos dentro del escuadrón de fraude de la Policía Metropolitana británica. Además de ser profesionales de la aplicación de la ley, muchos de los primeros miembros de estos grupos también eran aficionados a la informática y se convirtieron en responsables de la investigación y dirección iniciales del campo. [

Uno de los primeros ejemplos prácticos (o al menos publicitados) de criminalística digital fue la persecución de Cliff Stoll del hacker Markus Hess en 1986. Stoll, cuya investigación hacía uso de técnicas forenses informáticas y de redes, no era un examinador especializado. Muchos de los primeros exámenes forenses siguieron el mismo perfil.

A lo largo de la década de 1990, hubo una gran demanda de estos nuevos y básicos recursos de investigación. La tensión de las unidades centrales condujo a la creación de grupos a nivel regional, e incluso local, para ayudar a manejar la carga. Por ejemplo, en 2001 se creó la Unidad Nacional de Delincuencia Hi-Tech británica para proporcionar una infraestructura nacional para la delincuencia informática, con personal situado tanto en el centro de Londres como con las diferentes policías regionales (la unidad se plegó a la Serious Organized Crime Agency (SOCA) en 2006).

Durante este periodo, la ciencia forense digital creció a partir de las herramientas y técnicas ad-hoc desarrolladas por estos profesionales aficionados. Esto contrasta con otras disciplinas forenses, que se desarrollaron a partir del trabajo de la comunidad científica. [ No fue hasta 1992 que el término "informática forense" se utilizó en la literatura académica (aunque antes de eso, había estado en uso informal); un artículo de Collier y Spaul intentó justificar esta nueva disciplina en el mundo de las ciencias forenses. [ Este rápido desarrollo dio lugar a una falta de estandarización y formación. En su libro de 1995, High-Technology Crime: Investigating Cases Involving Computers, K. Rosenblatt escribió lo siguiente:

« Incautar, preservar y analizar pruebas almacenadas en una computadora es el mayor desafío forense al que se enfrentan las fuerzas del orden en los años 1990. Aunque la mayoría de las pruebas forenses, como las huellas dactilares y las pruebas de ADN, las realizan expertos especialmente capacitados, la tarea de recopilar y analizar pruebas informáticas a menudo se asigna a agentes de patrulla y detectives. ».

Años 2000: Desarrollo de estándares

Desde el año 2000, en respuesta a la necesidad de estandarización, diversos organismos y agencias han publicado directrices para la criminalística digital. El Grupo de Trabajo Científico sobre Evidencia Digital (SWGDE) produjo un artículo de 2002, Best practices for Computer Forensics, que fue seguido, en 2005, por la publicación de una norma ISO (ISO 17025, Requisitos generales para la competencia de los laboratorios de ensayo y calibración). [7] [ Un tratado internacional liderado por Europa, el Convenio sobre la ciberdelincuencia, entró en vigor en 2004 con el objetivo de conciliar las leyes nacionales sobre delitos informáticos, las técnicas de investigación y la cooperación internacional. El tratado ha sido firmado por 43 naciones (incluidos los Estados Unidos, Canadá, Japón, Sudáfrica, Reino Unido y otras naciones europeas) y ratificado por 16.

El tema de la formación también recibió atención. Las empresas comerciales (a menudo desarrolladores de software forense) comenzaron a ofrecer programas de certificación y el análisis criminalístico digital se incluyó como tema en el centro de formación de investigadores especializados del Reino Unido, Centrox.

A finales de la década de 1990, los dispositivos móviles se hicieron más ampliamente disponibles, avanzando más allá de los simples dispositivos de comunicación, y se encontraron que eran formas ricas de información, incluso para delitos no asociados tradicionalmente con los forenses digitales. A pesar de ello, el análisis digital de los teléfonos se ha quedado atrás de los medios informáticos tradicionales, en gran parte debido a problemas sobre la naturaleza propietaria de los dispositivos.

El foco también se ha centrado en la delincuencia en Internet, particularmente el riesgo de guerra cibernética y ciberterrorismo. Un informe de febrero de 2010 del Mando de las Fuerzas Conjuntas de los Estados Unidos concluyó lo siguiente:

A través del ciberespacio, los enemigos apuntarán a la industria, la academia, el gobierno, así como al ejército en los dominios aéreo, terrestre, marítimo y espacial. De la misma manera que el poder aéreo transformó el campo de batalla de la Segunda Guerra Mundial, el ciberespacio ha fracturado las barreras físicas que protegen a una nación de los ataques a su comercio y comunicaciones..

El campo de la criminalística digital aún se enfrenta a problemas sin resolver. Un artículo de 2009, "Digital Forensic Research: The Good, the Bad and the Unaddressed" de Peterson y Shenoi, identificó un sesgo hacia los sistemas operativos Windows en la investigación criminalística digital. En 2010, Simson Garfinkel identificó problemas a los que se enfrentan las investigaciones digitales en el futuro, incluido el creciente tamaño de los medios digitales, la amplia disponibilidad de cifrado para los consumidores, una creciente variedad de sistemas operativos y formatos de fichero, un número creciente de personas propietarias de diversos dispositivos y limitaciones legales a los investigadores. El documento también identificó problemas de formación continuada, así como el coste prohibitivamente alto de entrar en el campo.

Desarrollo de herramientas forenses

Artículo principal: Lista de herramientas forenses digitales

Durante la década de 1980, existían muy pocas herramientas forenses digitales especializadas. En consecuencia, los investigadores a menudo realizaban análisis en directo en medios de comunicación, examinando ordenadores desde el sistema operativo utilizando herramientas de administración de sistemas existentes para extraer pruebas. Esta práctica conllevaba el riesgo de modificar los datos del disco, ya fuera de manera inadvertida o de otra manera, lo que provocó afirmaciones de manipulación de pruebas. Una serie de herramientas fueron creadas durante la década de 1990 para abordar el problema.

La necesidad de este software se reconoció por primera vez en 1989 en el Centro Federal de Formación para la Aplicación de la Ley, dando lugar a la creación de IMDUMP [24] (por Michael White) y en 1990, SafeBack (desarrollado por Sydex). Software similar se desarrolló en otros países; DIBS (una solución de hardware y software) fue lanzada comercialmente en el Reino Unido en 1991, y Rob McKemmish lanzó Fixed Disk Image gratuitamente a las fuerzas del orden australianas. Estas herramientas permitieron a los examinadores crear una copia exacta de una pieza de soporte digital para trabajar, dejando el disco original intacto para su verificación. A finales de la década de 1990, a medida que crecía la demanda de pruebas digitales, se desarrollaron herramientas comerciales más avanzadas como EnCase y FTK, permitiendo a los analistas examinar copias de medios sin utilizar ningún forense en vivo. Más recientemente, ha crecido una tendencia hacia la "memoria viva forense", dando lugar a la disponibilidad de herramientas como WindowsSCOPE.

Más recientemente, se ha producido la misma progresión del desarrollo de herramientas para dispositivos móviles; Inicialmente los investigadores accedían a los datos directamente en el dispositivo, pero pronto aparecieron herramientas especializadas como XRY o Radio Tactics Aceso.

Proceso forense

Artículo principal: Proceso criminalístico digital

Una investigación criminalística digital consta comúnmente de 3 etapas:

  • adquisición o imagen de exposiciones,
  • análisis, y
  • Informes. []

Idealmente, la adquisición implica capturar una imagen de la memoria volátil (RAM) del ordenador y crear un duplicado exacto a nivel de sector (o "duplicado forense") de los soportes, a menudo utilizando un dispositivo de bloqueo de escritura para evitar la modificación del original. Sin embargo, el crecimiento del tamaño de los soportes de almacenamiento y desarrollos como la computación en nube han llevado a un mayor uso de adquisiciones "en vivo" mediante las cuales se adquiere una copia "lógica" de los datos en lugar de una imagen completa del dispositivo de almacenamiento físico. Tanto la imagen adquirida (o copia lógica) como el soporte/datos originales están hash (utilizando un algoritmo como SHA-1 o MD5) y los valores comparados para verificar la copia son exactos.

Un enfoque alternativo (y patentado) (que se ha llamado "forense híbrido"[31] o "forense distribuido") combina criminalística digital y procesos de descubrimiento electrónico. Este enfoque se ha plasmado en una herramienta comercial llamada ISEEK que se presentó junto con los resultados de las pruebas en una conferencia en 2017.

Durante la fase de análisis, un investigador recupera material de pruebas utilizando diferentes metodologías y herramientas. En 2002, un artículo en el International Journal of Digital Evidence se refería a este paso como "una investigación sistemática en profundidad de pruebas relacionadas con el presunto delito". En 2006, el investigador forense Brian Carrier describió un "procedimiento intuitivo" en el que primero se identifican pruebas obvias y luego "se realizan búsquedas exhaustivas para empezar a llenar los agujeros".

El proceso real de análisis puede variar entre investigaciones, pero las metodologías comunes incluyen la realización de búsquedas de palabras clave a través de los medios digitales (tanto dentro de los ficheros como del espacio no asignado y flojo), la recuperación de ficheros suprimidos y la extracción de información del registro (por ejemplo, para listar cuentas de usuario o dispositivos USB adjuntos).

Las evidencias recuperadas se analizan para reconstruir eventos o acciones y llegar a conclusiones, trabajo que a menudo puede ser realizado por personal menos especializado. Cuando una investigación se ha completado, los datos se presentan, normalmente en forma de informe escrito, en términos laicos.

Aplicación

La criminalística digital se utiliza habitualmente tanto en derecho penal como en investigación privada. Tradicionalmente se ha asociado al derecho penal, donde se recogen pruebas para apoyar u oponerse a una hipótesis ante los tribunales. Al igual que con otras áreas de la forense, a menudo forma parte de una investigación más amplia que abarca diversas disciplinas. En algunos casos, las pruebas recogidas se utilizan como una forma de recopilación de inteligencia, que se utiliza para otros propósitos que los procedimientos judiciales (por ejemplo, para localizar, identificar o detener otros delitos). Como resultado, la recopilación de inteligencia a veces se mantiene con un estándar forense menos estricto.

En litigios civiles o societarios, la criminalística digital forma parte del proceso de descubrimiento electrónico (o eDiscovery). Los procedimientos forenses son similares a los utilizados en investigaciones criminales, a menudo con requisitos y limitaciones legales diferentes. Fuera de los tribunales, los forenses digitales pueden formar parte de investigaciones corporativas internas.

Un ejemplo común podría ser seguir una intrusión de red no autorizada. Un examen forense especializado, sobre la naturaleza y extensión del ataque, se realiza como un ejercicio de limitación de daños, tanto para establecer el alcance de cualquier intrusión como para intentar identificar al atacante. [ Estos ataques se llevaron a cabo habitualmente a través de líneas telefónicas durante la década de 1980, pero en la era moderna normalmente se propagan por Internet.

El objetivo principal de las investigaciones forenses digitales es recuperar indicios objetivos de una actividad delictiva (denominado actus reus en lenguaje jurídico). No obstante, la diversa gama de datos contenidos en dispositivos digitales puede ayudar con otras áreas de investigación.

Atribución
Los metadatos y otros registros se pueden utilizar para atribuir acciones a un individuo. Por ejemplo, los documentos personales de una unidad de ordenador pueden identificar al propietario.
Coartadas y declaraciones
La información proporcionada por los implicados se puede contrastar con pruebas digitales. Por ejemplo, durante la investigación sobre los asesinatos de Soham, la coartada del delincuente fue desmentida cuando los registros de los teléfonos móviles de la persona con quien afirmaba estar mostraban que estaba fuera de la ciudad en ese momento.
Intención
Además de encontrar pruebas objetivas de la comisión de un delito, las investigaciones también se pueden utilizar para demostrar la intención (conocido con el término legal mens rea). Por ejemplo, la historia de Internet del asesino convicto Neil Entwistle incluía referencias a un lugar que hablaba de cómo matar personas.
Evaluación de la fuente
Los artefactos de ficheros y los metadatos se pueden utilizar para identificar el origen de un dato concreto; por ejemplo, versiones anteriores del Microsoft Word incrustaban un identificador único global en los ficheros que identificaban el ordenador donde se había creado. Demostrar si un fichero se ha producido en el dispositivo digital que se está examinando o se ha obtenido de otro sitio (por ejemplo, Internet) puede ser muy importante.
Autenticación de documentos
Relacionado con "Evaluación del código fuente", los metadatos asociados a los documentos digitales se pueden modificar fácilmente (por ejemplo, cambiando el reloj del ordenador podéis afectar a la fecha de creación de un fichero). La autenticación de documentos se refiere a la detección e identificación de la falsificación de estos datos.

Limitaciones

Una limitación importante para una investigación forense es el uso del cifrado; Esto interrumpe el examen inicial donde se podrían localizar evidencias pertinentes mediante palabras clave. Las leyes para obligar a los individuos a revelar claves de cifrado son todavía relativamente nuevas y controvertidas. Pero siempre con más frecuencia hay soluciones para forzar brutamente contraseñas o eludir el cifrado, como en teléfonos inteligentes o PC donde mediante técnicas de gestor de arranque se puede adquirir primero el contenido del dispositivo y luego forzarlo para encontrar la contraseña o la clave de cifrado.

Consideraciones legales

El examen de los medios digitales está amparado por la legislación nacional e internacional. Para las investigaciones civiles, en particular, las leyes pueden restringir la capacidad de los analistas para llevar a cabo exámenes. A menudo existen restricciones contra la monitorización de la red o la lectura de comunicaciones personales. Durante la investigación criminal, las leyes nacionales restringen la cantidad de información que se puede confiscar. Por ejemplo, en el Reino Unido, la incautación de pruebas por parte de las fuerzas del orden se rige por la ley PACE. Durante su existencia al principio del campo, la "Organización Internacional sobre Pruebas Informáticas" (IOCE) fue una agencia que trabajó para establecer estándares internacionales compatibles para la incautación de pruebas.

En el Reino Unido, las mismas leyes que cubren los delitos informáticos también pueden afectar a los investigadores forenses. La Ley de uso indebido de ordenadores de 1990 legisla contra el acceso no autorizado al material informático. Esta es una preocupación particular para los investigadores civiles que tienen más limitaciones que la aplicación de la ley.

El derecho de una persona a la privacidad es un área de la criminalística digital que aún no está decidida por los tribunales. La Ley de privacidad de las comunicaciones electrónicas de los Estados Unidos impone limitaciones a la capacidad de las fuerzas del orden o de los investigadores civiles para interceptar y acceder a pruebas. La ley hace una distinción entre la comunicación almacenada (por ejemplo, archivos de correo electrónico) y la comunicación transmitida (como VOIP). Esta última, al considerarse más una invasión de la privacidad, es más difícil de obtener una orden judicial. [ El ECPA también afecta a la capacidad de las empresas para investigar los ordenadores y las comunicaciones de sus empleados, un aspecto que aún está en debate sobre hasta qué punto una empresa puede realizar este seguimiento.

El artículo 5 del Convenio Europeo de Derechos Humanos afirma limitaciones de privacidad similares al ECPA y limita el procesamiento y el intercambio de datos personales tanto dentro de la UE como con países externos. La capacidad de las fuerzas del orden del Reino Unido para llevar a cabo investigaciones forenses digitales está legislada por la Ley de regulación de poderes de investigación.

Evidencias digitales

Artículo principal: Evidencias digitales

Cuando se utiliza en un tribunal de justicia, las pruebas digitales caen bajo las mismas directrices legales que otras formas de prueba, ya que los tribunales no suelen requerir directrices más estrictas. [ En Estados Unidos, las Reglas Federales de Evidencia se utilizan para evaluar la admisibilidad de la evidencia digital. Las leyes PACE y Civil Evidence del Reino Unido tienen directrices similares y muchos otros países tienen sus propias leyes. Las leyes federales de los Estados Unidos restringen las confiscaciones a artículos con sólo un valor probatorio evidente. Esto se reconoce que no siempre es posible establecerse con medios digitales antes de un examen.

Las leyes que tratan con la evidencia digital se ocupan de dos cuestiones:

  • Integridad: es garantizar que el acto de apoderarse y adquirir medios digitales no modifique la evidencia (ni el original ni la copia).
  • Autenticidad: se refiere a la capacidad de confirmar la integridad de la información; por ejemplo, que el soporte imaginado coincida con la evidencia original.

La facilidad con la que se pueden modificar los medios digitales hace que documentar la cadena de custodia desde la escena del crimen, pasando por el análisis y, en última instancia, hasta el tribunal (una forma de pista de auditoría) sea importante para establecer la autenticidad de las pruebas.

Los abogados han argumentado que, como las pruebas digitales teóricamente se pueden alterar, socava la fiabilidad de las pruebas. Los jueces norteamericanos están empezando a rechazar esta teoría, en el caso US v. Bonallo el tribunal dictaminó que "el hecho de que sea posible alterar los datos contenidos en un ordenador es claramente insuficiente para establecer la falta de fiabilidad". [ En el Reino Unido, se siguen directrices como las emitidas por ACPO para ayudar a documentar la autenticidad y la integridad de las pruebas.

Los investigadores digitales, especialmente en las investigaciones criminales, deben asegurarse de que las conclusiones se basan en pruebas fácticas y en su propio conocimiento experto. En EEUU, por ejemplo, las Reglas Federales de Prueba establecen que un experto cualificado puede declarar "en forma de opinión o de otra manera" siempre que:

(1) el testimonio se basa en hechos o datos suficientes, (2) el testimonio es el producto de principios y métodos fiables y (3) el testigo ha aplicado los principios y métodos de manera fiable a los hechos del caso.

Las subbranques del criminalística digital pueden tener cada una sus propias directrices específicas para la realización de investigaciones y el manejo de pruebas. Por ejemplo, se puede requerir que los teléfonos móviles se coloquen en un escudo Faraday durante la incautación o adquisición para evitar más tráfico de radio en el dispositivo. En el Reino Unido, el examen forense de los ordenadores en materia penal está sujeto a las directrices de la ACPO. También hay enfoques internacionales para proporcionar orientación sobre cómo manejar pruebas electrónicas. La "Guía de evidencias electrónicas" del Consejo de Europa ofrece un marco para las autoridades policiales y judiciales de los países que buscan establecer o mejorar sus propias directrices para la identificación y el manejo de pruebas electrónicas.

Herramientas de investigación

La admisibilidad de la evidencia digital se basa en las herramientas utilizadas para extraerla. En Estados Unidos, las herramientas forenses están sometidas al estándar Daubert, donde el juez es responsable de garantizar que los procesos y el software utilizados fueran aceptables.

En un artículo de 2003, Brian Carrier argumentó que las directrices de Daubert requerían que el código de herramientas forenses fuera publicado y revisado por pares. Concluyó que "las herramientas de código abierto pueden cumplir de manera más clara y exhaustiva los requisitos de la directriz que las herramientas de código cerrado".

En 2011, Josh Brunty declaró que la validación científica de la tecnología y el software asociados a la realización de un examen criminalístico digital es fundamental para cualquier proceso de laboratorio. Argumentó que "la ciencia de lo criminalística digital se basa en los principios de los procesos repetibles y las pruebas de calidad, por lo tanto, saber diseñar y mantener adecuadamente un buen proceso de validación es un requisito clave para que cualquier criminalística digital defienda sus métodos ante los tribunales".

Ramas

La investigación criminalística digital no se limita a recuperar datos sólo del ordenador, ya que los delincuentes violan las leyes y los pequeños dispositivos digitales (por ejemplo, tabletas, teléfonos inteligentes, unidades flash) ahora se utilizan ampliamente. Algunos de estos dispositivos tienen memoria volátil, mientras que algunos tienen memoria no volátil. Hay suficientes metodologías disponibles para recuperar datos de la memoria volátil, sin embargo, hay falta de metodología detallada o un marco para la recuperación de datos de fuentes de memoria no volátiles. Según el tipo de dispositivos, soportes o artefactos, la investigación criminalística digital se ramifica en diversos tipos.

Informática forense

Artículo principal: Informática forense

El objetivo de la informática forense es explicar el estado actual de un artefacto digital; como un sistema informático, un soporte de almacenamiento o un documento electrónico. La disciplina suele cubrir ordenadores, sistemas empotrados (dispositivos digitales con una potencia de cálculo rudimentaria y memoria a bordo) y memoria estática (como unidades de lápiz USB).

Los informáticos forenses pueden tratar con una amplia gama de información; Desde registros (como el historial de Internet) hasta los ficheros reales de la unidad. En 2007, los fiscales utilizaron una hoja de cálculo recuperada del ordenador de Joseph Edward Duncan para mostrar premeditación y asegurar la pena de muerte. El asesino de Sharon Lopatka fue identificado en 2006 después de que se encontraran mensajes de correo electrónico suyo que detallaban fantasías de tortura y muerte en su ordenador.

Dispositivo móvil forense

Artículo principal: Dispositivos móviles forenses

La forense de dispositivos móviles es una subbranca de la criminalística digital relacionada con la recuperación de evidencias digitales o datos de un dispositivo móvil. Se diferencia de la informática forense en la que un dispositivo móvil tendrá un sistema de comunicación integrado (por ejemplo, GSM) y, normalmente, mecanismos de almacenamiento propietarios. Las investigaciones suelen centrarse en datos simples, como datos de llamadas y comunicaciones (SMS / correo electrónico) en lugar de recuperar en profundidad los datos suprimidos. [ Los datos SMS de una investigación de dispositivos móviles ayudaron a exonerar a Patrick Lumumba del asesinato de Meredith Kercher.

Los dispositivos móviles también son útiles para proporcionar información de ubicación; ya sea desde el GPS integrado / seguimiento de la ubicación o a través de registros del lugar de la célula, que hacen un seguimiento de los dispositivos dentro de su rango. Esta información se utilizó para localizar a los secuestradores de Thomas Onofri en 2006.

Red forense

Artículo principal: Red forense

La forense de redes se ocupa del seguimiento y el análisis del tráfico de redes informáticas, tanto locales como WAN / Internet, con fines de recopilación de información, recopilación de pruebas o detección de intrusiones. El tráfico normalmente se intercepta a nivel de paquetes, y se almacena para análisis posteriores o se filtra en tiempo real. A diferencia de otras áreas de la criminalística digital, los datos de red a menudo son volátiles y raramente se registran, haciendo que la disciplina a menudo sea reaccionaria.

En 2000, el FBI atrajo a los piratas informáticos Aleksey Ivanov y Gorshkov a Estados Unidos para una entrevista de trabajo falso. Al monitorizar el tráfico de red desde los ordenadores de la pareja, el FBI identificó contraseñas que les permitían recopilar pruebas directamente de ordenadores con sede en Rusia. []

Análisis de datos forenses

Artículo principal: Análisis de datos forenses

El análisis de datos forenses es una rama de la criminalística digital. Examina datos estructurados con el objetivo de descubrir y analizar patrones de actividades fraudulentas derivadas de delitos financieros.

Imagen digital forense

La imagen digital forense (o análisis forense de imágenes) es una rama de la criminalística digital que se ocupa del examen y la verificación de la autenticidad y el contenido de una imagen. Estos pueden ir desde fotos aéreas de la época de Stalin hasta elaborar vídeos profundos. [ Esto tiene amplias implicaciones para una amplia variedad de delitos, para determinar la validez de la información presentada en juicios civiles y penales, y para verificar imágenes e informaciones que circulan por noticias y redes sociales. [48] [][]

Base de datos forense

Artículo principal: Base de datos forense

La base de datos forense es una rama de la criminalística digital relacionada con el estudio forense de bases de datos y sus metadato. Las investigaciones utilizan contenido de bases de datos, ficheros de registro y datos in-RAM para construir una línea de tiempo o recuperar información relevante.

IoT Forense

Artículo principal: IoT Forensics

IoT forensics es una rama de Digital forensics que tiene el objetivo de identificar y extraer información digital de dispositivos pertenecientes al campo del Internet de las cosas, para ser utilizada para investigaciones forenses como fuente potencial de pruebas.

Referencias

  1. «Análisis forense digital». 
  2. Chas, Guillermo (5 de noviembre de 2021). «La relevancia de las pruebas digitales y la modernización de la justicia». «Este ejemplo es muy interesante, porque demuestra la importancia que tienen hoy en día las pruebas que puedan obtenerse a través de los medios electrónicos, ya que son espacios donde pueden dejarse rastros de hechos que pueden constituir un delito penal.» 
  3. «The Different Branches of Digital Forensics». BlueVoyant. 8 de marzo de 2022. 
  4. «The Florida Computer Crimes Act, Probably the First U. S. Legislation against Computer Crimes, Becomes Law». History of Information. 1978. Archivado desde el original el 12 de junio de 2010. 

Error en la cita: La etiqueta <ref> definida en las <references> con nombre «adams» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «casey» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «palmer» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «rosenblatt» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «SWGDE» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «adamscloud» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «df-basics» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «carrier» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «ijde-2002» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «iso17025» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «first» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «horenbeeck» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «rule702» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «exposed» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «briefhistory» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «JOE» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «legal» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «bonallo» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «handbook» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «moscowtimes» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «db» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «maarten-mob» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «wilding» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «collier» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «mohay» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «sommer» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «mocas» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «garfinkel» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «punja» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «ahmed» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «kruse» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «goodbadugly» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «kanellis» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «dummies» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «tools-legal» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «tools-validation» no se utiliza en el texto anterior.
Error en la cita: La etiqueta <ref> definida en las <references> con nombre «EEG» no se utiliza en el texto anterior.

Error en la cita: La etiqueta <ref> definida en las <references> con nombre «liveram» no se utiliza en el texto anterior.


Obtenido de «https://es.wikipedia.org/w/index.php?title=Análisis_forense_digital&oldid=154011102»