¿Qué es la informática forense?

Qué es la informática forense

En la era actual, todos somos más susceptibles a ser víctimas de delitos digitales e informáticos. La cantidad de información, herramientas disponibles y la llegada de la IA facilitan este tipo de hechos.

Ante el aumento de los ciberataques y fraudes tecnológicos, la informática forense surge para ayudar a las víctimas en la recolección de datos e información y su debida custodia. Así como el análisis para probar ante el juez el ilícito. Conoce más sobre esta disciplina aquí.

¿Qué es la informática forense?

La informática forense es una disciplina que se encarga de investigar, recuperar, analizar y presentar evidencia digital en el contexto de investigaciones legales o incidentes de seguridad informática.

Un informático forense tiene la capacidad de investigar los delitos que involucran dispositivos digitales, tales como ordenadores, móviles, redes o sistemas de almacenamiento. Pero su función no se limita a buscar las evidencias digitales; también deben analizarlas, preservarlas y presentarlas de manera que no se pierda la fidelidad de las mismas.

Su principal objetivo es investigar hechos delictivos relacionados con el uso de dispositivos electrónicos y sistemas informáticos. A través de esta se obtienen pruebas, se recuperan datos e información digital que sirve para construir hechos, recolectar evidencias y aportar pruebas que pueden ser válidas para un proceso legal o administrativo.

Su aplicación se enfoca en la investigación de acceso sin autorización de cuentas o dispositivos, fraude o robo de información, ataques cibernéticos, deepfake, recuperación y análisis de archivos eliminados.

Ámbito de aplicación

El ámbito de aplicación de la informática forense es amplio e incluye la investigación de delitos informáticos como fraude electrónico, robo de identidad, piratería, distribución de malware, etc. En ciberseguridad se utiliza para identificar vulnerabilidades, responder a intrusiones y otros incidentes.

También se utiliza en investigaciones corporativas, por ejemplo, si se sospecha del robo de información confidencial o espionaje industrial. De igual manera, las pruebas se pueden utilizar en litigios civiles como robo de propiedad intelectual, divorcios, etc.

Breve historia de la informática forense

Los primeros delitos informáticos surgieron en la década de 1970. Esto llevó a crear la Ley de Delitos Informáticos de Florida en 1978, en la cual se reconocen estas infracciones. Con el avance de la tecnología, los delitos informáticos se volvieron más sofisticados, por lo que surgió la necesidad de técnicas forenses especializadas para investigar estos crímenes.

Ya en la década de 1980 aparecieron los ordenadores personales y la sociedad comenzó a depender más de los sistemas informáticos. Al mismo tiempo aumentaba la cantidad de delitos, por lo que surgieron también nuevas herramientas para investigarlos.

Te puede interesar  Herramientas de informática forense

Con la aparición de la World Wide Web, y herramientas como el correo electrónico y las redes informáticas, los ataques se volvieron aún más complejos. Lo que llevó a que la informática forense se consolidara como una disciplina en la década de 1990.

A partir de entonces, la informática forense ha evolucionado a la par de la tecnología. De manera que en la actualidad abarca una amplia gama de dispositivos digitales. A medida que los ataques informáticos son más complejos, también aparecen técnicas y herramientas que permiten investigarlos.

Características de la informática forense

Las características principales de la informática forense se basan en lo siguiente:

  • Cadena de custodia: se registra todo movimiento de la evidencia, desde su incautación, transferencia y examen, hasta su presentación como prueba para no perder su carácter legal.
  • Preservación e inalterabilidad: para evitar que las pruebas sean alteradas, se hacen réplicas exactas con hardware, técnicas de cifrado u otras herramientas especializadas.
  • Analiza datos borrados u ocultos: los peritos realizan rastreo de información en chats, correos electrónicos, tablets, PC, teléfonos, entre otros, inclusive si la información ha sido eliminada.
  • Testimonio del perito: el perito encargado debe explicar en el juicio de forma sencilla todo acerca de la información hallada.

Tipos de informática forense

  • Forense de dispositivos móviles: implica la recuperación y el análisis de datos de estos dispositivos. Incluye registros de llamadas, mensajes de texto, fotos, vídeos, datos de aplicaciones y más.
  • Forense de redes: se centra en el análisis del tráfico de red y los registros de eventos para identificar actividades sospechosas o maliciosas.
  • Forense de bases de datos: incluye la recuperación de registros eliminados, la identificación de modificaciones no autorizadas y el rastreo de la actividad del usuario.
  • Forense de correo electrónico: analiza los mensajes que se envían por este medio para identificar evidencia relevante.
  • Forense de malware: su objetivo es proteger los sistemas y prevenir ataques cibernéticos. Para ello, busca comprender el funcionamiento del malware, identificar su origen y determinar su impacto.
  • Forense de memoria: esta técnica implica el análisis de la memoria RAM de los ordenadores para identificar procesos en ejecución, archivos abiertos, conexiones de red y otra información relevante.

Componentes clave de la informática forense

Recopilación de evidencias digitales

Recopilar la evidencia digital es uno de los pilares de la informática forense. Requiere un conocimiento amplio tanto de los sistemas informáticos, como de las técnicas de investigación forense.

Durante esta primera etapa, el perito informático identifica, preserva y recopila la evidencia digital. Para ello recurre a técnicas como la extracción de datos, análisis de registros, creación de imágenes forenses, entre otros. Estos procesos los debe hacer siguiendo protocolos estrictos para evitar que la evidencia se altere.

Análisis forense de dispositivos digitales

El informático forense toma los dispositivos involucrados en el caso y los analiza para encontrar evidencia relevante. Este proceso implica extraer los datos de los dispositivos, recuperar archivos, identificar los metadatos, detectar malware y tráfico sospechoso en las redes, etc.

Te puede interesar  ¿A partir de cuántas llamadas es acoso en España?

Herramientas esenciales en informática forense

Con las herramientas adecuadas, los informáticos forenses pueden clonar discos duros, recuperar datos borrados, analizar archivos de imagen, descifrar contraseñas y examinar el tráfico de red. Estas herramientas permiten hacer un análisis meticuloso en cada dispositivo y evolucionan conforme lo hacen la tecnología y los crímenes cibernéticos.

Recuperación de archivos eliminados

Entre las técnicas más comunes con las que trabaja la informática forense está la recuperación de archivos eliminados del sistema operativo. Estos no siempre desaparecen por completo, por lo que un especialista puede escanear un disco duro en busca de fragmentos de archivos eliminados y reconstruirlos.

Análisis de tráfico de red

Cuando navegamos en la red quedan rastros de nuestra actividad y esa información puede ser valiosa en muchos casos. El análisis de los datos que viajan a través de la red puede llevar a descubrir comunicaciones, identificar los dispositivos involucrados y los datos que se transfirieron.

Esteganografía inversa

La esteganografía consiste en ocultar mensajes dentro de otros archivos, mediante la esteganografía inversa busca descubrir y extraer estos mensajes ocultos.

Análisis en tiempo real

Esta técnica permite monitorear la actividad del sistema en tiempo real para identificar y prevenir incidentes de seguridad.

Fases de un análisis forense informático

Un análisis forense informático debe pasar por las siguientes fases:

Preparación y evaluación de riesgos

En primer lugar, se determinan los sistemas que se van a investigar y se establecen los objetivos de la investigación. Para ello es necesario obtener información sobre el incidente, así como de los dispositivos que se han visto afectados o que pudieran estar involucrados.

Implica también la evaluación de riesgos, como la contaminación o pérdida de los datos.

Asimismo, durante esta etapa se crea el plan que guiará la investigación. Es decir, el método que se seguirá, las herramientas a utilizar, quién se encargará del análisis.

Preservación

Con el plan de investigación listo, se procede a identificar los dispositivos que pueden tener alguna evidencia. Antes de continuar, se deben aislar y proteger para evitar que se modifiquen o se eliminen datos.

Una vez que se protegen los dispositivos, se crean copias exactas de cada uno para analizarlos sin correr el riesgo de modificar la evidencia original.

Durante todo este proceso es imprescindible preservar la cadena de custodia para garantizar la integridad de la evidencia.

Adquisición

Se hacen copias forenses de la prueba original. A continuación, se analizan los datos forenses para identificar la evidencia digital relevante. Durante esta etapa se recuperan los archivos borrados, se identifica el tráfico y la presencia de malware, se evalúan los metadatos.

Te puede interesar  ¿Con qué se hace un análisis forense de un teléfono móvil?

Análisis

Se estudian los datos e información obtenidos para ubicar el origen del caso. El informático forense analiza los datos extraídos para identificar las pistas que puedan conducir a la resolución del caso.

Documentación

Por último, se redacta el informe pericial. En este documento se detalla cómo se hizo el peritaje, los hallazgos que se encontraron y las conclusiones del perito.

Presentación

Los resultados se presentarán al cliente y, si es necesario, se presentará el testimonio del experto en audiencias judiciales. El informático forense puede testificar ante un juez.
informática forense

Aplicaciones de la informática forense

Resolución de delitos cibernéticos

Una de las principales aplicaciones de la informática forense es la resolución de delitos. Esta disciplina es fundamental para investigar casos de fraude electrónico, el robo de identidad, la distribución de malware, la pornografía infantil y el ciberacoso, entre otros crímenes.

Apoyo en litigios legales

De igual manera, la información que recopila un profesional en informática forense es útil en litigios legales relacionados con competencia desleal, espionaje industrial, reclamaciones de seguros y muchos otros. Mediante técnicas especiales, es posible recuperar y analizar evidencia electrónica relevante, como correos electrónicos, documentos y registros de actividad.

Seguridad corporativa

Dentro de las organizaciones pueden ocurrir incidentes de seguridad informática que lleven a la pérdida de datos. Gracias a la informática forense es posible recuperarlos, así como identificar el origen del problema. Por ejemplo, si se debió a alguna intrusión en el sistema, un fallo en los sistemas de seguridad, entre otras causas.

Protección de la propiedad intelectual

La informática forense puede ayudar a identificar y rastrear la copia o distribución no autorizada de propiedad intelectual, como software, música, películas o diseños.

Seguridad nacional

Asimismo, la informática forense tiene un papel clave para combatir el terrorismo, el espionaje y otras amenazas a la seguridad nacional.

Conclusión

La informática forense está en constante evolución y tiene diversas aplicaciones. Esta disciplina permite recopilar, analizar y presentar evidencia digital que puede ser determinante en la resolución de litigios legales y en la investigación criminal.

Los métodos que se utilizan se adaptan a los distintos casos, gracias a su versatilidad. En la actualidad, es necesario entender qué es la informática forense y cómo puede ayudarte, ya que nadie está exento de ser víctima de un ciberdelito.

Preguntas frecuentes

¿Para qué sirve la informática forense en un juicio?

La informática forense sirve para recolectar, extraer, analizar y resguardar evidencia digital. Luego, siguiendo las normas de la cadena de custodia, pueden ser presentadas como pruebas en un juicio.

¿Qué pruebas digitales puede analizar un perito informático forense?

El perito está capacitado para analizar teléfonos, correos, WhatsApp, redes sociales, metadatos, historiales web, registros GPS y archivos eliminados.

¿Cómo se garantiza la cadena de custodia de una evidencia digital?

La cadena de custodia de una evidencia digital se garantiza dejando todo meticulosamente documentado; se garantiza por la aplicación de procedimientos técnicos, garantizando su integridad, autenticidad y rastreabilidad desde su hallazgo u obtención hasta su presentación en el juicio.

Fuentes

  • https://saber.ucv.ve/ojs/index.php/rev_vdtic/article/view/12126
  • https://www.ibm.com/es-es/think/topics/computer-forensics
¡Haz clic para puntuar esta entrada!
(Votos: 1 Promedio: 5)
Picture of D. Eduardo García de la Beldad Sanchis

D. Eduardo García de la Beldad Sanchis

Experto Universitario en Análisis Forense Web y Redes Sociales en Ciberseguridad y Peritaje Informático Judicial, en Derecho Informático y Peritaciones Judiciales, en Hacking Ético de Sistemas y Redes de la UDIMA. Experto Universitario en Delegado de Protección de Datos LOPD. Master en Informática Forense y Delitos Informáticos (UDIMA).

Comparte este post:
Posts relacionados

🕵🏻 ¿Necesitas un Perito Informático? 👉​

X


    Por favor, prueba que eres humano seleccionando el estrella.