Usuario:Mcapdevila/Análisis forense digital

La ciencia forense digital es una ciencia forense en la que los expertos estudian los dispositivos informáticos para ayudar a resolver los delitos. También puede incluir teléfonos móviles.@ref>«Análisis forense digital». </ref> Los expertos que hacen la forense digital son a menudo llamados "analistas" o "investigadores". Cuando se pide a un experto que mire un ordenador, se le llama "investigación".

Una investigación forense digital ocurre cuando alguien es culpado por un crimen que incluye el uso de una computadora o dispositivo digital, o cuando las pruebas de ese delito pueden hallarse en instrumentos digitales.@ref>Chas, Guillermo (5 de noviembre de 2021). «La relevancia de las pruebas digitales y la modernización de la justicia». «Este ejemplo es muy interesante, porque demuestra la importancia que tienen hoy en día las pruebas que puedan obtenerse a través de los medios electrónicos, ya que son espacios donde pueden dejarse rastros de hechos que pueden constituir un delito penal.» </ref> El experto buscará pruebas sobre el crimen. Tratarán de probar si la persona tiene la culpa o no.

Descripción[editar]

La ciencia forense digital (a veces conocida como ciencia forense digital ) es una rama de la ciencia forense que abarca la recuperación, investigación, examen y análisis de material encontrado en dispositivos digitales, a menudo en relación con dispositivos móviles y delitos informáticos . @ref name="ijde-2002" />@ref name="carrier" /> El término "forense digital" se utilizó originalmente como sinónimo de informática forense, pero se ha ampliado para abarcar la investigación de todos los dispositivos capaces de almacenar datos digitales . @ref name="ijde-2002" /> Con raíces en la revolución de la informática personal de finales de los años 1970 y principios de los 1980, la disciplina evolucionó de manera desordenada durante los años 1990, y no fue hasta principios del siglo XXI que surgieron políticas nacionales. .

Las investigaciones forenses digitales tienen una variedad de aplicaciones. Lo más común es apoyar o refutar una hipótesis ante tribunales penales o civiles . Los casos penales implican la presunta infracción de leyes definidas por la legislación, aplicadas por la policía y perseguidas por el Estado, como asesinato, robo y agresión contra la persona. Los casos civiles, por otro lado, tratan de la protección de los derechos y la propiedad de las personas (a menudo asociados con disputas familiares), pero también pueden estar relacionados con disputas contractuales entre entidades comerciales en las que se utiliza una forma de análisis forense digital denominado descubrimiento electrónico (ediscovery). puede estar implicado.

Los análisis forenses también pueden aparecer en el sector privado, como durante las investigaciones corporativas internas o las investigaciones de intrusión (una investigación especial sobre la naturaleza y el alcance de una intrusión no autorizada en la red ).

El aspecto técnico de una investigación se divide en varias subramas relacionadas con el tipo de dispositivos digitales involucrados: informática forense, investigación forense de redes, análisis de datos forenses y investigación forense de dispositivos móviles . @ref>«The Different Branches of Digital Forensics». BlueVoyant. 8 de marzo de 2022.  AzulVoyant . 2022-03-08. </ref> El proceso forense típico abarca la incautación, la obtención de imágenes forenses (adquisición) y el análisis de medios digitales, seguido de la producción de un informe de las "handbook"s recopiladas.

Además de identificar pruebas directas de un delito, la ciencia forense digital se puede utilizar para atribuir pruebas a sospechosos específicos, confirmar coartadas o declaraciones, determinar la intención, identificar fuentes (por ejemplo, en casos de derechos de autor) o autenticar documentos. @ref name="handbook" /> Las investigaciones tienen un alcance mucho más amplio que otras áreas del análisis forense (donde el objetivo habitual es proporcionar respuestas a una serie de preguntas más simples), y a menudo involucran líneas de tiempo o hipótesis complejas. @ref name="df-basics"/>

Historia[editar]

Antes de la década de 1970, los delitos relacionados con computadoras se resolvían utilizando las leyes existentes. Los primeros delitos informáticos fueron reconocidos en la Ley de Delitos Informáticos de Florida de 1978,@ref>«The Florida Computer Crimes Act, Probably the First U. S. Legislation against Computer Crimes, Becomes Law». History of Information. 1978. Archivado desde el original el 12 de junio de 2010.  Historia de la Información . 1978. Archivado desde el original el 12 de junio de 2010. </ref> que incluía legislación contra la modificación o eliminación no autorizada de datos en un sistema informático.@ref name="casey" /> Durante los años siguientes, la variedad de delitos informáticos cometidos aumentó y se aprobaron leyes para combatirlos. con cuestiones de derechos de autor, privacidad/acoso (por ejemplo, acoso cibernético, bofetadas felices, acoso cibernético y depredadores en línea ) y pornografía infantil . @ref name="exposed" />@ref name="briefhistory" /> No fue hasta la década de 1980 que las leyes federales comenzaron a incorporar delitos informáticos. Canadá fue el primer país en aprobar una legislación en 1983. @ref name="casey" /> A esto le siguieron la Ley Federal de Abuso y Fraude Informático de EE. UU. en 1986, las enmiendas australianas a sus leyes penales en 1989 y la Ley británica sobre uso indebido de computadoras en 1990. @ref name="casey" /> @ref name="briefhistory" />

Décadas de 1980 a 1990: crecimiento del campo[editar]

El crecimiento de los delitos informáticos durante las décadas de 1980 y 1990 hizo que los organismos encargados de hacer cumplir la ley comenzaran a establecer grupos especializados, generalmente a nivel nacional, para manejar los aspectos técnicos de las investigaciones. Por ejemplo, en 1984, el FBI creó un Equipo de Respuesta y Análisis Informático y al año siguiente se creó un departamento de delitos informáticos dentro de la brigada antifraude de la Policía Metropolitana Británica. Además de ser profesionales encargados de hacer cumplir la ley, muchos de los primeros miembros de estos grupos también eran aficionados a la informática y se convirtieron en responsables de la investigación y dirección inicial del campo. @ref name="mohay" /> @ref name="sommer" />

Uno de los primeros ejemplos prácticos (o al menos publicitados) de análisis forense digital fue la persecución del hacker Markus Hess por parte de Cliff Stoll en 1986. Stoll, cuya investigación utilizó técnicas forenses informáticas y de redes, no era un examinador especializado. @ref name="garfinkel" /> Muchos de los primeros exámenes forenses siguieron el mismo perfil. @ref name=dummies />

A lo largo de la década de 1990, hubo una gran demanda de estos recursos de investigación nuevos y básicos. La presión sobre las unidades centrales llevó a la creación de grupos a nivel regional, e incluso local, para ayudar a manejar la carga. Por ejemplo, la Unidad Nacional Británica contra Delitos de Alta Tecnología se creó en 2001 para proporcionar una infraestructura nacional para los delitos informáticos, con personal ubicado tanto en el centro de Londres como en las diversas fuerzas policiales regionales (la unidad se incorporó a la Agencia contra el Crimen Organizado Serio). (SOCA) en 2006). @ref name="sommer" />

Durante este período, la ciencia forense digital surgió a partir de las herramientas y técnicas ad hoc desarrolladas por estos aficionados. Esto contrasta con otras disciplinas forenses, que se desarrollaron a partir del trabajo de la comunidad científica. @ref name="ijde-2002" />@ref name="palmer" /> No fue hasta 1992 que el término "informática forense" se utilizó en la literatura académica (aunque antes de esto, había tenido un uso informal) ; Un artículo de Collier y Spaul intentó justificar esta nueva disciplina ante el mundo de la ciencia forense. @ref name="wilding" />@ref name="collier" /> Este rápido desarrollo resultó en una falta de estandarización y capacitación. En su libro de 1995, Crimen de alta tecnología: investigación de casos que involucran computadoras, K. Rosenblatt escribió lo siguiente:

Década de 2000: desarrollo de estándares[editar]

Desde el año 2000, en respuesta a la necesidad de estandarización, varios organismos y agencias han publicado directrices para la ciencia forense digital. El Grupo de Trabajo Científico sobre "handbook"s Digitale (SWGDE) produjo un artículo en 2002, Mejores prácticas para la informática forense, al que siguió, en 2005, la publicación de una norma ISO ( ISO 17025, Requisitos generales para la competencia de los laboratorios de pruebas y calibración ). . @ref name="casey" />@ref name="SWGDE" />@ref name="iso17025" /> En 2004 entró en vigor un tratado internacional liderado por Europa, el Convenio sobre la Ciberdelincuencia, con el objetivo de conciliar las leyes sobre delitos informáticos, técnicas de investigación y cooperación internacional. El tratado ha sido firmado por 43 naciones (incluidos Estados Unidos, Canadá, Japón, Sudáfrica, Reino Unido y otras naciones europeas) y ratificado por 16.

También recibió atención la cuestión de la formación. Las empresas comerciales (a menudo desarrolladores de software forense) comenzaron a ofrecer programas de certificación y el análisis forense digital se incluyó como tema en Centrex, el centro de formación de investigadores especializados del Reino Unido. @ref name="casey" /> @ref name="sommer" />

A finales de la década de 1990, los dispositivos móviles estuvieron más disponibles, fueron más allá de los simples dispositivos de comunicación y se descubrió que eran formas ricas de información, incluso para delitos no asociados tradicionalmente con la ciencia forense digital. @ref name="punja" /> A pesar de esto, el análisis digital de los teléfonos se ha quedado atrás con respecto a los medios informáticos tradicionales, en gran parte debido a problemas relacionados con la naturaleza patentada de los dispositivos. @ref name="ahmed" />

La atención también se ha desplazado hacia los delitos en Internet, en particular el riesgo de guerra cibernética y terrorismo cibernético . Un informe de febrero de 2010 del Comando de Fuerzas Conjuntas de los Estados Unidos concluyó lo siguiente:

El campo de la ciencia forense digital todavía enfrenta problemas sin resolver. Un artículo de 2009, "Investigación forense digital: lo bueno, lo malo y lo no abordado" de Peterson y Shenoi, identificó un sesgo hacia los sistemas operativos Windows en la investigación forense digital. @ref name="goodbadugly" /> En 2010, Simson Garfinkel identificó los problemas que enfrentarán las investigaciones digitales en el futuro, incluido el tamaño cada vez mayor de los medios digitales, la amplia disponibilidad de cifrado para los consumidores, una creciente variedad de sistemas operativos y formatos de archivos, una número cada vez mayor de personas que poseen múltiples dispositivos y limitaciones legales para los investigadores. El documento también identificó problemas de capacitación continua, así como el costo prohibitivamente alto de ingresar al campo. @ref name="garfinkel" />

Desarrollo de herramientas forenses.[editar]

Durante la década de 1980, existían muy pocas herramientas forenses digitales especializadas. En consecuencia, los investigadores a menudo realizaban análisis en vivo de los medios, examinando las computadoras desde el sistema operativo utilizando herramientas de administrador de sistemas existentes para extraer "handbook"s. Esta práctica conllevaba el riesgo de modificar datos en el disco, ya sea sin darse cuenta o de otra manera, lo que dio lugar a denuncias de manipulación de pruebas. A principios de la década de 1990 se crearon una serie de herramientas para abordar el problema.

La necesidad de dicho software se reconoció por primera vez en 1989 en el Centro Federal de Capacitación para el Cumplimiento de la Ley, lo que resultó en la creación de IMDUMP @ref>Mohay, George M. (2003). Computer and Intrusion Forensics. Artech House. ISBN 9781580536301.  Análisis forense informático y de intrusiones . Casa Artech. ISBN 9781580536301 . </ref>(por Michael White) y en 1990, SafeBack @ref>Fatah, Alim A.; Higgins, Kathleen M. (February 1999). Forensic Laboratories: Handbook for Facility Planning, Design, Construction and Moving. DIANE Publishing. ISBN 9780788176241.  Laboratorios forenses: manual para la planificación, el diseño, la construcción y el traslado de instalaciones . Editorial DIANE. ISBN 9780788176241 . </ref>(desarrollado por Sydex). En otros países se desarrolló software similar; DIBS (una solución de hardware y software) se lanzó comercialmente en el Reino Unido en 1991, y Rob McKemmish lanzó la imagen de disco fijo de forma gratuita para las autoridades australianas. @ref name="mohay" /> Estas herramientas permitieron a los examinadores crear una copia exacta de un medio digital para trabajar, dejando el disco original intacto para su verificación. A finales de la década de 1990, a medida que crecía la demanda de "handbook"s digitales, se desarrollaron herramientas comerciales más avanzadas, como EnCase y FTK, que permitían a los analistas examinar copias de medios sin utilizar ningún análisis forense en vivo. @ref name="casey" /> Más recientemente, ha crecido una tendencia hacia la "memoria forense viva", lo que ha resultado en la disponibilidad de herramientas como WindowsSCOPE .

Más recientemente, se ha producido la misma progresión en el desarrollo de herramientas para dispositivos móviles ; Inicialmente, los investigadores accedían a los datos directamente en el dispositivo, pero pronto aparecieron herramientas especializadas como XRY o Radio Tactics Aceso. @ref name="casey" />

Proceso forense[editar]

Una investigación forense digital comúnmente consta de 3 etapas:

• adquisición o visualización de pruebas@ref name="adams" />
• análisis.
• informes. @ref name="casey" /> @ref name="first" />

Idealmente, la adquisición implica capturar una imagen de la memoria volátil (RAM) de la computadora@ref name="liveram" /> y crear un duplicado exacto a nivel de sector (o "duplicado forense") del medio, a menudo usando un dispositivo de bloqueo de escritura para evitar modificaciones. del original. Sin embargo, el crecimiento del tamaño de los medios de almacenamiento y avances como la computación en la nube @ref name="adamscloud" /> han llevado a un mayor uso de adquisiciones "en vivo", mediante las cuales se adquiere una copia "lógica" de los datos en lugar de una imagen completa. del dispositivo de almacenamiento físico. @ref name="adams" /> Tanto la imagen adquirida (o copia lógica) como los medios/datos originales se procesan mediante hash (utilizando un algoritmo como SHA-1 o MD5 ) y los valores se comparan para verificar que la copia sea precisa. @ref name="horenbeeck" />

Un enfoque alternativo (y patentado) (que ha sido denominado 'forense híbrido'@ref name=":0">Richard, Adams; Graham, Mann; Valerie, Hobbs (2017). ISEEK, a tool for high speed, concurrent, distributed forensic data acquisition.  "ISEEK, una herramienta para la adquisición de datos forenses distribuidos, simultáneos y de alta velocidad" . {{ cite journal }} : Citar diario requiere | journal= ( ayuda ) </ref> o 'forense distribuido'@ref>Hoelz, Bruno W. P.; Ralha, Célia Ghedini; Geeverghese, Rajiv (8 de marzo de 2009). «Artificial intelligence applied to computer forensics». Proceedings of the 2009 ACM symposium on Applied Computing. ACM. pp. 883-888. ISBN 9781605581668. doi:10.1145/1529282.1529471.  "Inteligencia artificial aplicada a la informática forense". Actas del simposio ACM de 2009 sobre informática aplicada . ACM. páginas. 883–888. doi : 10.1145/1529282.1529471 . ISBN 9781605581668 . S2CID 5382101 . </ref>) combina procesos forenses digitales y descubrimiento electrónico. Este enfoque se plasmó en una herramienta comercial llamada ISEEK que se presentó junto con los resultados de las pruebas en una conferencia en 2017. @ref name=":0"/>

Durante la fase de análisis, un investigador recupera material de "handbook"s utilizando varias metodologías y herramientas diferentes. En 2002, un artículo del International Journal of Digital Evidence se refirió a este paso como "una búsqueda sistemática y profunda de pruebas relacionadas con el presunto delito".@ref name="ijde-2002" /> En 2006, el investigador forense Brian Carrier describió un "procedimiento intuitivo" en el que primero se identifica la "handbook" obvia y luego "se realizan búsquedas exhaustivas para comenzar a llenar los agujeros".@ref name="df-basics"/>

El proceso real de análisis puede variar entre investigaciones, pero las metodologías comunes incluyen realizar búsquedas de palabras clave en los medios digitales (dentro de archivos, así como en espacio no asignado y disponible ), recuperar archivos eliminados y extraer información de registro (por ejemplo, para enumerar cuentas de usuario, o dispositivos USB conectados).

Las pruebas recuperadas se analizan para reconstruir hechos o acciones y llegar a conclusiones, trabajo que muchas veces puede ser realizado por personal menos especializado. @ref name="ijde-2002" /> Cuando se completa una investigación, los datos se presentan, normalmente en forma de informe escrito, en términos sencillos .@ref name="ijde-2002" />

Aplicaciones[editar]

La ciencia forense digital se utiliza comúnmente tanto en derecho penal como en investigación privada. Tradicionalmente se ha asociado al derecho penal, donde se recopilan pruebas para apoyar o refutar una hipótesis ante los tribunales. Como ocurre con otras áreas de la ciencia forense, esto suele ser parte de una investigación más amplia que abarca varias disciplinas. En algunos casos, las pruebas recopiladas se utilizan como una forma de recopilación de inteligencia, con fines distintos de los procedimientos judiciales (por ejemplo, para localizar, identificar o detener otros delitos). Como resultado, la recopilación de inteligencia a veces se somete a estándares forenses menos estrictos.

En litigios civiles o asuntos corporativos, la ciencia forense digital forma parte del proceso de descubrimiento electrónico (o eDiscovery). Los procedimientos forenses son similares a los utilizados en las investigaciones criminales, a menudo con requisitos y limitaciones legales diferentes. Fuera de los tribunales, la ciencia forense digital puede formar parte de investigaciones corporativas internas.

Un ejemplo común podría ser el siguiente de una intrusión no autorizada en la red . Se realiza un examen forense especializado sobre la naturaleza y el alcance del ataque como ejercicio de limitación de daños, tanto para establecer el alcance de cualquier intrusión como para intentar identificar al atacante. @ref name="handbook" />@ref name="df-basics" /> Estos ataques se realizaban comúnmente a través de líneas telefónicas durante la década de 1980, pero en la era moderna generalmente se propagan a través de Internet. @ref name=kruse />

El objetivo principal de las investigaciones forenses digitales es recuperar "handbook"s objetivas de una actividad delictiva (denominada actus reus en el lenguaje legal). Sin embargo, la diversa gama de datos contenidos en dispositivos digitales puede ayudar en otras áreas de investigación. @ref name="handbook" />

Atribución

Se pueden utilizar metadatos y otros registros para atribuir acciones a un individuo. Por ejemplo, los documentos personales en la unidad de una computadora pueden identificar a su propietario.

Coartadas y declaraciones

La información proporcionada por los involucrados se puede cotejar con las "handbook"s digitales. Por ejemplo, durante la investigación de los asesinatos de Soham, la coartada del delincuente fue refutada cuando los registros del teléfono móvil de la persona con la que afirmaba estar mostraban que ella estaba fuera de la ciudad en ese momento.

Intención

Además de encontrar pruebas objetivas de la comisión de un delito, las investigaciones también pueden utilizarse para demostrar la intención (conocido con el término legal mens rea ). Por ejemplo, la historia en Internet del asesino convicto Neil Entwistle incluía referencias a un sitio que analizaba Cómo matar gente .

Evaluación de fuente

Se pueden utilizar artefactos de archivos y metadatos para identificar el origen de un dato en particular; por ejemplo, las versiones anteriores de Microsoft Word incorporaban un identificador único global en los archivos que identificaba la computadora en la que se había creado. Puede ser muy importante demostrar si un archivo se produjo en el dispositivo digital que se está examinando o si se obtuvo de otro lugar (por ejemplo, Internet). @ref name="handbook" />

Autenticación de documentos

En relación con la "Evaluación de la fuente", los metadatos asociados con documentos digitales se pueden modificar fácilmente (por ejemplo, al cambiar el reloj de la computadora se puede afectar la fecha de creación de un archivo). La autenticación de documentos se refiere a detectar e identificar la falsificación de dichos detalles.

Limitaciones[editar]

Una limitación importante de una investigación forense es el uso de cifrado; esto interrumpe el examen inicial donde se podrían ubicar las pruebas pertinentes utilizando palabras clave. Las leyes que obligan a las personas a revelar claves de cifrado son todavía relativamente nuevas y controvertidas. @ref name="garfinkel" /> Pero cada vez con mayor frecuencia existen soluciones para forzar contraseñas con fuerza bruta o evitar el cifrado, como en los teléfonos inteligentes o en las PC, donde mediante técnicas de gestor de arranque se puede primero adquirir el contenido del dispositivo y luego forzarlo a ordenar. para encontrar la contraseña o clave de cifrado.

Consideraciones legales[editar]

El examen de los medios digitales está cubierto por la legislación nacional e internacional. En el caso de las investigaciones civiles, en particular, las leyes pueden restringir la capacidad de los analistas para realizar exámenes. A menudo existen restricciones contra el monitoreo de la red o la lectura de comunicaciones personales. @ref name="mocas" /> Durante la investigación criminal, las leyes nacionales restringen la cantidad de información que se puede confiscar. @ref name="mocas" /> Por ejemplo, en el Reino Unido la incautación de pruebas por parte de las fuerzas del orden se rige por la ley PACE . @ref name="casey" /> Durante sus inicios en el campo, la "International Organization on Computer Evidence" (IOCE) fue una agencia que trabajó para establecer estándares internacionales compatibles para la incautación de pruebas. @ref name="kanellis" />

En el Reino Unido, las mismas leyes que cubren los delitos informáticos también pueden afectar a los investigadores forenses. La Ley de Uso Indebido de Computadoras de 1990 legisla contra el acceso no autorizado a material informático. Esta es una preocupación particular para los investigadores civiles que tienen más limitaciones que las fuerzas del orden.

El derecho de un individuo a la privacidad es un área de la ciencia forense digital que los tribunales aún no han decidido en gran medida. La Ley de Privacidad de las Comunicaciones Electrónicas de EE. UU. impone limitaciones a la capacidad de las fuerzas del orden o de los investigadores civiles para interceptar y acceder a las pruebas. La ley distingue entre comunicación almacenada (por ejemplo, archivos de correo electrónico) y comunicación transmitida (como VOIP ). Esto último, al considerarse más bien una invasión de la privacidad, es más difícil de obtener una orden judicial. @ref name="casey" />@ref name="rosenblatt" /> La ECPA también afecta la capacidad de las empresas para investigar las computadoras y las comunicaciones de sus empleados, un aspecto que aún está en debate sobre hasta qué punto una la empresa puede realizar dicho seguimiento.@ref name="casey" />

El artículo 5 del Convenio Europeo de Derechos Humanos afirma limitaciones de privacidad similares a las de la ECPA y limita el procesamiento y el intercambio de datos personales tanto dentro de la UE como con países externos. La capacidad de las autoridades del Reino Unido para realizar investigaciones forenses digitales está regulada por la Ley de Regulación de Poderes de Investigación . @ref name="casey" />

Prueba digital[editar]

Cuando se utiliza en un tribunal de justicia, la "handbook" digital se rige por las mismas pautas legales que otras tipos de "handbook"s, ya que los tribunales generalmente no exigen pautas más estrictas. @ref name="casey" />@ref name="legal"/> En los Estados Unidos, las Reglas Federales de "handbook"s se utilizan para evaluar la admisibilidad de las "handbook"s digitales. Las leyes PACE y Civil Evidence del Reino Unido tienen directrices similares y muchos otros países tienen sus propias leyes. Las leyes federales de Estados Unidos restringen las incautaciones a artículos que sólo tienen un valor probatorio obvio. Se reconoce que esto no siempre es posible establecerlo con medios digitales antes de un examen. @ref name="mocas" />

Las leyes que tratan sobre pruebas digitales se ocupan de dos cuestiones:

• Integridad - es garantizar que el acto de incautar y adquirir medios digitales no modifique la "handbook" (ya sea el original o la copia).
• Autenticidad: se refiere a la capacidad de confirmar la integridad de la información; por ejemplo, que las imágenes de los medios coincidan con la "handbook" original. @ref name="mocas" />

La facilidad con la que se pueden modificar los medios digitales significa que documentar la cadena de custodia desde la escena del crimen, pasando por el análisis y, en última instancia, hasta el tribunal (una forma de pista de auditoría ) es importante para establecer la autenticidad de la "handbook". @ref name="casey" />

Los abogados han argumentado que debido a que, en teoría, la "handbook" digital se puede alterar, esto socava la confiabilidad de la propia "handbook". Los jueces estadounidenses están empezando a rechazar esta teoría; en el caso US v. Bonallo, el tribunal dictaminó que "el hecho de que sea posible alterar los datos contenidos en una computadora es claramente insuficiente para establecer que no es fiable".@ref name="casey" />@ref name="bonallo"/> En el Reino Unido, se siguen pautas como las emitidas por ACPO para ayudar a documentar la autenticidad e integridad de las pruebas.

Los investigadores digitales, particularmente en investigaciones criminales, deben asegurarse de que las conclusiones se basen en pruebas fácticas y en sus propios conocimientos expertos. @ref name="casey" /> En los EE. UU., por ejemplo, las Reglas Federales de Evidencias, establecen que un experto calificado puede testificar “en forma de opinión o de otro modo” siempre que:

Cada una de las subramas de la ciencia forense digital puede tener sus propias directrices específicas para la realización de investigaciones y el manejo de pruebas. Por ejemplo, es posible que sea necesario colocar los teléfonos móviles en un escudo de Faraday durante la incautación o adquisición para evitar un mayor tráfico de radio hacia el dispositivo. En el Reino Unido, el examen forense de ordenadores en asuntos penales está sujeto a las directrices de la ACPO . @ref name="casey" /> También existen enfoques internacionales para brindar orientación sobre cómo manejar las pruebas electrónicas. La "Guía de pruebas electrónicas" del Consejo de Europa ofrece un marco para las autoridades judiciales y policiales de los países que buscan establecer o mejorar sus propias directrices para la identificación y el manejo de pruebas electrónicas. @ref name="EEG" />

Herramientas de investigación[editar]

La admisibilidad de una "handbook" digital depende de las herramientas utilizadas para extraerla. En EE.UU., las herramientas forenses están sujetas al estándar Daubert, donde el juez es responsable de garantizar que los procesos y el software utilizados sean aceptables.

En un artículo de 2003, Brian Carrier argumentó que las directrices de Daubert requerían que el código de herramientas forenses fuera publicado y revisado por pares. Concluyó que "las herramientas de código abierto pueden cumplir de forma más clara y exhaustiva los requisitos de las directrices que las herramientas de código cerrado".@ref name="tools-legal" />

En 2011, Josh Brunty afirmó que la validación científica de la tecnología y el software asociados con la realización de un examen forense digital es fundamental para cualquier proceso de laboratorio. Sostuvo que "la ciencia forense digital se basa en los principios de procesos repetibles y "handbook"s de calidad, por lo que saber cómo diseñar y mantener adecuadamente un buen proceso de validación es un requisito clave para que cualquier examinador forense digital defienda sus métodos ante los tribunales". @ref name="tools-validation" />

Ramas[editar]

La investigación forense digital no se limita a recuperar datos simplemente de la computadora, ya que los delincuentes violan las leyes y ahora se utilizan ampliamente pequeños dispositivos digitales (por ejemplo, tabletas, teléfonos inteligentes, unidades flash). Algunos de estos dispositivos tienen memoria volátil mientras que otros tienen memoria no volátil. Hay suficientes metodologías disponibles para recuperar datos de la memoria volátil; sin embargo, falta una metodología detallada o un marco para la recuperación de datos de fuentes de memoria no volátil. @ref>Jansen, Wayne (2004). Ayers. NIST. p. NIST Special Publication. doi:10.6028/NIST.SP.800-72. Archivado desde el original el 12 February 2006. Consultado el 26 February 2006.  "Ayers" (PDF) . Publicación especial del NIST . NIST. doi : 10.6028/NIST. SP.800-72 . Archivado (PDF) desde el original el 12 de febrero de 2006 . Consultado el 26 de febrero de 2006 . </ref> Dependiendo del tipo de dispositivos, medios o artefactos, la investigación forense digital se divide en varios tipos.

Informática forense[editar]

El objetivo de la informática forense es explicar el estado actual de un artefacto digital; como un sistema informático, medio de almacenamiento o documento electrónico. @ref name="cf-education">A Yasinsac; RF Erbacher; DG Marks; MM Pollitt (2003). «Computer forensics education». IEEE Security & Privacy 1 (4): 15-23. doi:10.1109/MSECP.2003.1219052.  "Educación en informática forense". Seguridad y privacidad de IEEE . 1 (4): 15-23. doi : 10.1109/MSECP.2003.1219052 . </ref> La disciplina generalmente cubre computadoras, sistemas integrados (dispositivos digitales con potencia informática rudimentaria y memoria integrada) y memorias estáticas (como memorias USB).

La informática forense puede manejar una amplia gama de información; desde registros (como el historial de Internet) hasta los archivos reales en la unidad. En 2007, los fiscales utilizaron una hoja de cálculo recuperada del ordenador de Joseph Edward Duncan para demostrar premeditación y garantizar la pena de muerte . @ref name="handbook" /> El asesino de Sharon Lopatka fue identificado en 2006 después de que se encontraran en su computadora mensajes de correo electrónico suyos que detallaban torturas y fantasías de muerte. @ref name="casey" />

Análisis forense de dispositivos móviles[editar]

La ciencia forense de dispositivos móviles es una subrama de la ciencia forense digital relacionada con la recuperación de "handbook"s o datos digitales de un dispositivo móvil . Se diferencia de la informática forense en que un dispositivo móvil tendrá un sistema de comunicación incorporado (por ejemplo, GSM ) y, normalmente, mecanismos de almacenamiento propietarios. Las investigaciones suelen centrarse en datos simples, como datos de llamadas y comunicaciones (SMS/correo electrónico), en lugar de una recuperación en profundidad de datos eliminados. @ref name="casey" />@ref name="maarten-mob" /> Los datos SMS de una investigación sobre dispositivos móviles ayudaron a exonerar a Patrick Lumumba del asesinato de Meredith Kercher . @ref name="handbook" />

Los dispositivos móviles también son útiles para proporcionar información de ubicación; ya sea desde GPS incorporado/rastreo de ubicación o mediante registros del sitio celular, que rastrean los dispositivos dentro de su alcance. Esta información se utilizó para localizar a los secuestradores de Thomas Onofri en 2006. @ref name="handbook" />

Análisis forense de redes[editar]

La ciencia forense de redes se ocupa del seguimiento y análisis del tráfico de la red informática, tanto local como WAN / Internet, con el fin de recopilar información, recopilación de pruebas o detección de intrusiones. @ref>Gary Palmer, A Road Map for Digital Forensic Research, Informe del DFRWS 2001, Primer taller de investigación forense digital, Utica, Nueva York, 7 y 8 de agosto de 2001, páginas 27 a 30</ref> El tráfico suele ser interceptados a nivel de paquete y almacenados para su posterior análisis o filtrados en tiempo real. A diferencia de otras áreas de la ciencia forense digital, los datos de la red suelen ser volátiles y rara vez se registran, lo que hace que la disciplina sea a menudo reaccionaria.

En 2000, el FBI atrajo a los piratas informáticos Aleksey Ivanov y Gorshkov a Estados Unidos para una entrevista de trabajo falsa. Al monitorear el tráfico de red desde las computadoras de la pareja, el FBI identificó contraseñas que les permitieron recolectar "handbook"s directamente desde computadoras con sede en Rusia. @ref name="casey" /> @ref name="moscowtimes" />

Análisis de datos forenses[editar]

El análisis de datos forenses es una rama de la ciencia forense digital. Examina datos estructurados con el objetivo de descubrir y analizar patrones de actividades fraudulentas resultantes de delitos financieros.@ref name="moscowtimes" />

Análisis forense de imágenes digitales[editar]

La medicina forense de imágenes digitales (o análisis de imágenes forenses) es una rama de la medicina forense digital que se ocupa del examen y verificación de la autenticidad y el contenido de una imagen. @ref name="Burns">Burns, Matt (6 March 2020). «A quick guide to digital image forensics». CameraForensics. Consultado el 21 December 2022.  "Una guía rápida para la ciencia forense de imágenes digitales" . Cámara Forense . Consultado el 21 de diciembre de 2022 . </ref> Estos pueden variar desde fotografías retocadas con aerógrafo de la era de Stalin hasta elaborados videos deepfake .@ref name="Farid">Farid, Hany (15 September 2019). «Image Forensics». Annual Review of Vision Science (en inglés) 5 (1): 549-573. ISSN 2374-4642. PMID 31525144. doi:10.1146/annurev-vision-091718-014827. Consultado el 21 December 2022.  "Imagen forense" . Revisión anual de la ciencia de la visión . 5 (1): 549–573. doi : 10.1146/annurev-vision-091718-014827 . ISSN 2374-4642 . PMID 31525144 . S2CID 202642073 . Consultado el 21 de diciembre de 2022 . </ref>@ref name="Waldrop">Waldrop, M. Mitchell (16 March 2020). «Synthetic media: The real trouble with deepfakes». Knowable Magazine (en inglés) (Annual Reviews). doi:10.1146/knowable-031320-1. Consultado el 19 December 2022.  "Medios sintéticos: el verdadero problema de los deepfakes" . Revista Conocible . Revisiones anuales. doi : 10.1146/conocible-031320-1 . Consultado el 19 de diciembre de 2022 . </ref> Esto tiene amplias implicaciones para una amplia variedad de delitos, para determinar la validez de la información presentada en juicios civiles y penales, y para verificar imágenes e información que circulan a través de noticias y redes sociales.@ref name="Farid" /> @ref name="Pawelec">Pawelec, M (2022). «Deepfakes and Democracy (Theory): How Synthetic Audio-Visual Media for Disinformation and Hate Speech Threaten Core Democratic Functions.». Digital Society: Ethics, Socio-legal and Governance of Digital Technology 1 (2): 19. PMC 9453721. PMID 36097613. doi:10.1007/s44206-022-00010-6.  "Deepfakes y democracia (teoría): cómo los medios audiovisuales sintéticos para la desinformación y el discurso de odio amenazan las funciones democráticas fundamentales" . Sociedad Digital: Ética, Sociojurídica y Gobernanza de la Tecnología Digital . 1 (2): 19. doi : 10.1007/s44206-022-00010-6 . PMC 9453721 . PMID 36097613 . </ref>@ref name="Westerlund">Westerlund, Mika (2019). «The Emergence of Deepfake Technology: A Review». Technology Innovation Management Review (en inglés) 9 (11): 39-52. ISSN 1927-0321. doi:10.22215/timreview/1282.  "La aparición de la tecnología Deepfake: una revisión" . Revisión de la gestión de la innovación tecnológica . 9 (11): 39–52. doi : 10.22215/timreview/1282 . ISSN 1927-0321 . S2CID 214014129 . </ref>@ref name="Waldrop"/>

Análisis forense de bases de datos[editar]

La ciencia forense de bases de datos es una rama de la ciencia forense digital relacionada con el estudio forense de bases de datos y sus metadatos . @ref name="db" /> Las investigaciones utilizan contenidos de bases de datos, archivos de registro y datos en RAM para crear una línea de tiempo o recuperar información relevante.

Análisis forense de IoT[editar]

La ciencia forense de IoT es una rama de la ciencia forense digital que tiene el objetivo de identificar y extraer información digital de dispositivos pertenecientes al campo de Internet de las cosas, para utilizarla en investigaciones forenses como posible fuente de "handbook"s. @ref name="stoyanova">M. Stoyanova; Y. Nikoloudakis; S. Panagiotakis; E. Pallis; E. Markakis (2020). «A Survey on the Internet of Things (IoT) Forensics: Challenges, Approaches, and Open Issues». IEEE Communications Surveys & Tutorials 22 (2): 1191-1221. doi:10.1109/COMST.2019.2962586.  Stoyanova; Y. Nikoloudakis; S. Panagiotakis; E. Pallis; E. Markakis (2020). "Una encuesta sobre la ciencia forense de Internet de las cosas (IoT): desafíos, enfoques y cuestiones abiertas" . Encuestas y tutoriales de comunicaciones IEEE . 22 (2): 1191-1221. doi : 10.1109/COMST.2019.2962586 . S2CID 213028057 . </ref>

Referencias[editar]