Skip to content Skip to sidebar Skip to footer
3 items - 21,00€ 3
PROMOCIONALIA
Contactar
3 items - 21,00€ 3
PROMOCIONALIA

Informática Forense, seguridad informática y recuperación de datos

HomeTodas las entradas...Informática Forense, seguridad informática y...
Close
Servicio Técnico Informático Software Informático
0Comments

Cada vez son más las causas judiciales en las cuales interfiere algún medio informático como prueba. Analizar, localizar y recolectar los datos necesarios de una forma profesional es tarea de la Informática Forense.

En el ámbito de la Seguridad Informática la realización de un proceso de estas características debe ser minuciosamente ejecutado por expertos en informática forense de tal forma que se garantice el cumplimiento de una serie de normas. La recuperación de datos desde soportes donde la información supuestamente no es accesible es posible gracias a la utilización de herramientas forenses profesionales, aunque no en todos los casos hay garantías de éxito.

Si quieres saber más sobre este apasionante mundo, en este artículo recopilatorio de multitud de fuentes expertas se intentará dar un poco más de luz al tema.

 

Índice del Contenido ocultar
1 INTRODUCCIÓN A LA INFORMÁTICA FORENSE
1.1 ¿Que es la Informática Forense?
1.2 Glosario de términos en Informática Forense
2 LA ADQUISICIÓN EN LA INFORMÁTICA FORENSE
2.1 Introducción
2.2 Buenas Prácticas antes de comenzar la recolección
2.3 Identificando unidades
2.4 Recolectando la evidencia
2.5 El comando “dd”
2.6 Adquisición Indirecta
3 DISTRIBUCIONES LINUX DEDICADAS A LA INFORMÁTICA FORENSE
3.1 DEFT
3.2 DART
3.3 Huemul
3.4 Santoku
4 SEGURIDAD INFORMÁTICA Y RECUPERACIÓN DE DATOS
5 OTRO SOFTWARE DE RECUPERACIÓN DE DATOS
6 LAS ETAPAS DE LA CONTRATACIÓN DE UN PERITO INFORMÁTICO PARA UNA INVESTIGACIÓN INFORMÁTICA FORENSE
7 MÁS INFORMACIÓN:

INTRODUCCIÓN A LA INFORMÁTICA FORENSE

¿Que es la Informática Forense?

Partiendo de la definición de que es la “Informática”, que la RAE define como un “Conjunto de conocimientos científicos y técnicas que hacen posible el tratamiento automático de la información por medio de computadoras”, pasamos a la segunda definición de “Ciencia Forense” que se define así: “Es la aplicación de prácticas científicas dentro del proceso legal”.

Ahora realizando una conjunción de las anteriores definiciones, podemos hacerlos la pregunta de que es la Informática Forense y darnos una respuesta clara: La Informática Forense es la aplicación de técnicas científicas y analíticas especializadas en la infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Como inciso en el proceso forense, no podemos dejar de nombrar a Edmon Locard, criminalista francés considerado uno de los principales pioneros de esta ciencia. Es famoso por enunciar el conocido “Principio de intercambio de Locard” en donde especifica que “Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto”. Una lectura recomendable es el “Manual de Técnica Policíaca” de Locard.

Es muy importante disponer de una metodología de trabajo bien definida y apuntar cada paso realizado, de tal forma que se puedan volver a reproducirse todas las acciones realizadas para llegar al mismo resultado en el caso de que nos lo pidieran realizar de nuevo.

Hay que tener en cuenta que los medios presentados como prueba digital podrían convertirse posteriormente en importantes evidencias para procesos judiciales donde un Juez las pueda tener en cuenta para dictar sentencia.

En algunos casos nos vamos a poder encontrar con medios a analizar que tengan ciertas barreras criptográficas que serán laboriosas de analizar.

Cuando se realiza un proceso informático forense hay que realizar un desglose para comprender cada una de sus acciones, hay que introducirse en el momento, el entorno, la causa y el medio informático al cual hay que realizarle el proceso forense. Dependiendo de cada caso se aplicará una metodología u otra para a partir de lo adquirido llegar a las conclusiones finales.

Tras conocer todos estos preámbulos fundamentales, vamos a establecer según nuestro criterio, los pasos que debe seguir un perito informático en una investigación dentro de la Informática Forense:

  1. Estudio preliminar
    Se trata de registrar toda la mayor información posible sobre los dispositivos objeto del análisis y generar su documentación correspondiente. Conviene apuntar las marcas, modelos, números de serie, descripciones lo más completas posibles así como todos los datos posibles desde la compra del dispositivo hasta el momento de la entrega, e incluso quien ha tenido acceso al mismo, si se necesita acceso por usuarios y contraseñas, ubicación física y un completo registro fotográfico de todos los dispositivos objeto del estudio.
  2. Adquisición de datos
    Si ese paso ha de realizarse cuando aún el dispositivo se encuentra encendido, y una vez detectado el problema de seguridad y lo que ha sido afectado, es importante que el investigador encargado de realizar el análisis forense decida apagar el equipo o no. Se trata de una decisión difícil debido a que si el equipo es apagado, pueden existir evidencias que todavía estén en la memoria volátil, usuarios conectados, procesos en ejecución, conexiones existentes, logs del sistema, etc que se perderían con el apagado. Por lo tanto, y a modo preventivo es interesante y muy útil hacer un volcado de todo ello con las herramientas apropiadas en cada caso antes de apagar el equipo.
    Si trabajamos sobre un dispositivo desconectado de corriente, tenemos que saber que nunca se ha de trabajar sobre los dispositivos originales, antes de empezar se ha de apuntar sus claves “hash” en sólo modo lectura y después proceder al clonado bit a bit de esos dispositivos con herramientas de análisis forense que no monten esos dispositivos en el sistema para no modifiquen ni un sólo bit.
    Si la clonación ha sido exitosa, podemos realizar una verificación por medio de las funciones hash, aplicando algoritmos de cifrado de datos como MD5 o SHA, que nos generará un código hexadecimal que se ha de comparar con el del disco original y verificar si es el mismo, lo que nos confirmará que se ha realizado una copia exacta del dispositivo y que no se ha cambiado su contenido.
    Las clonaciones forenses se deben realizar sobre dispositivos preferentemente nuevos y formateados previamente a bajo nivel para eliminar restos de datos anteriores si los hubiera. Lo recomendable es utilizar sistemas de clonado hardware independientes o si no fuera posible alguna distribucion linux Live CD de software forense como Helix, CAINE, ForLEX, EnCase, DEFT Linux, …
  3. Análisis e investigación
    Es la etapa donde se lleva a cabo la investigación de las evidencias digitales iniciales obtenidas. En primer lugar se recolectará información sobre los registros de los sistemas analizados, como detectores de intrusión, cortafuegos y ficheros del sistema como carpetas personales.
    El acceso a la información contenida en los dispositivos se puede analizar de forma física, que no es interpretada por el sistema operativo y de forma lógica que es interpretada por el sistema operativo, como puede ser la estructura de directorios, ficheros almacenados y eliminados, horas y fechas de creación o modificación, tamaño, etc.
  4. Emisión del informe pericial informático
    La redacción de un informa pericial es donde se recogen todas las evidencias, indicios y pruebas recabadas. Estas deben ser redactadas de una manera clara y sencilla, donde aquel que no sea profesional de la informática pueda entender claramente lo que se está explicando.
    Este informe es el instrumento que se utiliza como medio de prueba cuando los jueces quieren conocer, interpretar y valorar lo que en el se expresa.El Informe Pericial viene definido en el Capítulo VII de la Ley de Enjuiciamiento Criminal (Real Decreto de 14 de Septiembre de 1882) a través de los artículos 456 al 485.
    Un Juez acordará el Informe Pericial cuando, para conocer o apreciar algún hecho o circunstancia importante en el sumario, fueran necesarios o convenientes conocimientos científicos o artísticos (art. 456).
    Los Peritos pueden ser o no titulares. Son Peritos Titulares los que tienen título oficial de una ciencia o arte cuyo ejercicio esté reglamentado por la Administración. Son peritos no titulares los que, careciendo de título oficial, tienen sin embargo, conocimientos o prácticas especiales en alguna ciencia o arte (art. 457).
    El Juez se valdrá de Peritos Titulares con preferencia a los que no tuviesen título (art. 458).No podrán prestar Informe Pericial acerca del delito las personas ofendidas, es decir, toda aquella que según el artículo 416 no están obligadas a declarar como testigos. Si un Perito presentara Informe Pericial y estuviera comprendido en alguno de los casos citados en el mencionado artículo, y lo hiciera sin poner antes esa circunstancia en conocimiento del Juez que le hubiese nombrado incurriría en una multa de 200 a 5.000 euros, a no ser que el hecho diera lugar a responsabilidad criminal (art. 464).
    Antes de darse principio al acto pericial, todos los peritos, así nombrados por el Juez como los que lo hubieran sido por las partes, prestarán juramento, conforme al artículo 434, de proceder bien y fielmente en sus operaciones, y de no proponerse otro fin mas que el de descubrir y declarar la verdad (art. 474).Tenemos que tener en cuenta, que por lo general, los jueces tienen las visiones que les aportan la Fiscalía y la Defensa, pero ambas están sesgadas por sus respectivos objetivos de acusar y defender. Por lo tanto, requieren una opinión exterior que les aporte objetividad sobre el tema a debatir en el juicio.  Es por ello que, en estos casos, es el especialista en peritaje quien se encarga de realizar una evaluación de los hechos desde su campo de conocimiento y especialidad aportando datos objetivos que pueden o no beneficiar a las partes implicadas.El Informe Pericial comprenderá siempre que sea posible:
  • Descripción de la persona o cosa que sea objeto del mismo, en el estado o del modo en que se halle. El Secretario extenderá esta descripción, dictándola los peritos y suscribiéndola todos los concurrentes.
  • Relación detallada de todas las operaciones practicadas por los peritos y de su resultado, extendida y autorizada en la misma forma que la anterior.
  • Las conclusiones que en vista de tales datos formulen los peritos, conforme a los principios y reglas de su ciencia o arte (art. 478).Por otra parte, el Juez podrá, por su propia iniciativa o por reclamación de las partes presentes o de sus defensores, hacer a los peritos, cuando obtengan sus conclusiones, las preguntas que estime pertinentes y pedirles las aclaraciones necesarias. Las contestaciones de los peritos se considerarán como parte de su informe, según contempla el artículo 483.
    Cabe recordar que a nivel nacional (España), la norma UNE 197010:2015, de «Criterios generales para la elaboración de informes y dictámenes periciales sobre Tecnologías de la Información y las Comunicaciones (TIC)» publicada por AENOR, define la forma en que debe redactarse un informe pericial informático.Hay que recordar que la principal característica que se busca en un Informe Pericial es la objetividad del mismo en grado máximo que emana, obviamente, de la objetividad del Perito.

 

 

En la preservación de los medios que vayamos adquiriendo durante el proceso es esencial mantener la integridad de los mismos, de otro modo se estaría contaminando la evidencia y la misma no tendría valor alguno judicialmente.

Por último, se encuentra la acción de presentar Informes Periciales, uno más resumido que tenga un vocabulario adecuado para ser comprendido por personas no expertas en la materia, como pueden ser jueces o jurados y otro informe pericial más técnico y profesional que pueda seguramente será comprendido por expertos en informática forense.

 

Glosario de términos en Informática Forense

En algunas causas judiciales algunos letrados suelen emplear la frase en latín “ut supra”, que significa literalmente “como arriba” y se emplea en ciertos documentos para referirse a una fecha, cláusula o frase escrita más arriba y evitar su repetición.

Medios, Artefactos: son objetos obtenidos sobre el proceso de adquisición forense.

Prueba digital: parte de la Documental presentada en una Causa Judicial, la cual deberá ser constatada por un Perito Informático.

Evidencia digital: prueba que ha sido constatada por un experto, en donde se tiene una certeza clara y manifiesta de la que no se puede dudar.

Criptografía: arte y técnica de escribir con procedimientos y claves secretas o no tan secretas, de tal forma que lo escrito solamente sea inteligible para quien sepa y posea de la/s clave/s necesaria/s para descifrarlo. Existe la Criptografía Simétrica y la Asimétrica. Ejemplos de la primera podrían ser los algoritmos 3DES y AES, los cuales utilizan la misma clave tanto para cifrar como para descifrar. Por el lado de los algoritmos criptográficos Asimétricos se encuentran RSA y DSA, en este caso se utiliza una clave para cifrar y otra para descifrar.

HASH: se trata de un algoritmo criptográfico bastante particular, debido a que, el mismo no tiene una función de retorno, esto quiere decir que de un objeto (por ejemplo un archivo) aplicándole un algoritmo de hash obtendríamos el hash de dicho objeto pero desde este resultado será imposible obtener el objeto original. Este algoritmo va a tener un gran valor en cuestiones forenses, ya que, con el mismo podremos asegurar la integridad de los artefactos desde el momento de la adquisición hasta el momento de la entrega del Informe Pericial.

Cadena de Custodia: concepto muy importante dentro de la Informática Forense y es la manera en que se asegura la NO alteración de los artefactos recolectados desde su adquisición hasta la presentación de la evidencia.

 

LA ADQUISICIÓN EN LA INFORMÁTICA FORENSE

Uno de los puntos más importantes en la Informática Forense es la recolección de la Evidencia, también conocido como Adquisición Forense, ya que, si al momento de tomar la evidencia no se cumplen ciertos requisitos puede echarse a perder todo el análisis posterior. Es tan importante hacer hincapié en este proceso ya que la mínima alteración de la evidencia podrá llevar a cabo la invalidez de toda una investigación.

Introducción

En este artículo se explicará principalmente cómo recolectar los datos de un disco rígido sin la alteración de los mismos utilizando herramientas OpenSource y gratuitas.

En este caso se usará la distribución Linux DEFT Zero, la cual dispone de todas las herramientas necesarias para realizar la toma de evidencia. Para la misma utilizaremos una herramienta muy sencilla y útil a la vez: dd.

Buenas Prácticas antes de comenzar la recolección

Según las Buenas Prácticas del Servicio Secreto de Estados Unidos, estos son algunos puntos importantes a tener en cuenta al momento de comenzar con la recolección de la evidencia dentro del ámbito de la Informática Forense:

  • No utilizar el mismo computador ni intentar buscar evidencias con el.
  • Fotografiar los equipos desde todos los ángulos, donde se vea su estado, con cables y dispositivos conectados.
  • Si el computador se encuentra apagado, nunca encenderlo.
  • Si el computador se encuentra encendido y en la pantalla se muestra algo, sacar unas fotografías a la misma.
  • Desconectar el cable de alimentación del equipo para apagarlo. Si se trata de un portátil/notebook y no se apaga, extraer la batería para que se apague.
  • Etiquetar los computadores, dispositivos y cables de tal manera que se identifiquen como van conectados.
  • Desconectar todos los cables y dispositivos.
  • Documentar todo el procedimiento realizado.
  • Mantener absolutamente todos los medios lejos de imanes, radiotransmisores y otros elementos potencialmente dañinos.

 

Identificando unidades

Tal Y como se dijo al principio del artículo, lo más importante es que al momento de la recolección la evidencia no sea alterada. Por tal motivo, es indispensable que el sistema con el que trabajemos no monte las unidades conectadas de manera automática, ya que si el mismo es montado la evidencia se altera. La versión de DEFT Zero que utilizaremos no monta las unidades automáticamente.

 

En este caso, sabemos que contamos con 2 unidades de disco. Ambos de tecnología SATA, por lo tanto, el sistema los reconocerá como sd. El que contiene la evidencia a recolectar tiene un tamaño de 100MB y el otro de 1GB. Para ver cómo los reconoce el sistema es necesario ver los logs.

 

En donde identificamos ambos discos. En el caso de la evidencia el sistema lo detectó como sda y el otro como sdb. Por lo tanto, para guardar la evidencia necesitaremos montar nuestro disco, en particular la unidad lógica del mismo (sdb1).

 

Recolectando la evidencia

La recolección de evidencia se puede hacer por partición o por disco. Es recomendable trabajar con el disco completo, ya que si eligiésemos trabajar con particiones y fuese necesario buscar información borrada en el disco no estaremos analizando las partes que no se encuentren particionadas. Durante todo el post se realizarán copias de disco completo, o como se lo conoce: Adquisición Física.

El comando “dd”

Es un comando de la familia de los Sistemas Operativos Unix/Linux que permite copiar a bajo nivel (bit a bit o bloque a bloque) cualquier archivo dentro del sistema. Es importante recordar que para este tipo de Sistemas Operativos todo es un archivo. Uno de los puntos fuertes de dd es que copia los datos en crudo (raw data) y otro punto muy importante es que viene por defecto con todas las distribuciones de Unix/Linux.

Un ejemplo de cómo utilizar el comando puede ser el siguiente:

 

Para determinar este tipo de tamaño es importante saber si la unidad se encuentra dañada o no, ya que de estarlo es preferible utilizar bloques más pequeños de manera de reducir la cantidad de datos corruptos. En el caso de encontrar errores en la unidad también es recomendable utilizar las opciones conv=noerror,sync. La opción noerror permite continuar después de encontrar errores y la opción sync permite rellenar los errores encontrados con 0’s.

Si bien con ambos archivos se crean en momentos diferente y se utiliza el parámetro bs distinto, se puede ver que los HASH’s tanto del dispositivo y de las evidencias tomadas son iguales.

 

Una buena metodología para corroborar la integridad de la evidencia es tomando los HASHs de los mismos. En este post se utilizaremos SHA256, esto es debido a que MD5 y SHA1 son algoritmos que se encuentran rotos.

Problemas de espacio
Debido a que en la actualidad los discos rígidos son muy grandes y en el hipotético caso de que necesitemos partir el archivo, podemos utilizar el comando split (también incorporado en todos los sistemas Linux)

split -d -b 50m artefacto01.dd artefacto-partido

Cuando necesitemos volver a ensamblarlo podemos utilizar el comando cat de la siguiente manera:

cat artefacto-partido* >> artefacto-reensamblado.dd

Siempre tenemos que tener presente comprobar que el HASH sea el mismo que el original, hay que recordar que estamos manejando evidencia y que la misma tiene que ser integra y consistente.

 

Otra manera de reducir el tamaño de la evidencia es comprimir el archivo al momento de generarlo utilizando el comando gzip

 

Claramente el tamaño del archivo comprimido es muy inferior, pero no debemos olvidar de corroborar su integridad comparando los HASH’s.

 

Adquisición Indirecta

En el caso que estemos imposibilitados de realizar la copia en el mismo equipo (Adquisición directa), podemos enviar la evidencia por la red a algún equipo donde podamos almacenar el archivo. Para este proceso podemos utilizar el comando nc.

 

Nuevamente corroboramos que tanto el origen como el destino tienen el mismo contenido.

 

Una de las contras de dd es que no muestra progreso y que todas las comprobaciones deben realizarse de forma manual, aunque podemos utilizar las siguientes alternativas:

Utilizando el comando kill, el cual viene con todas las distribuciones Linux podremos ver el estado de nuestra copia bit a bit.

Ojo que si lo utilizamos mal podríamos matar el proceso de copia y no queremos volver a empezar.

Para que nos diga el estado de dd le pasaremos el parámetro -USR1, también es necesario pasarle el PID. Nos quedará algo por el estilo algo por el estilo:

kill -USR1 $(ps -ef | fgrep .dd | grep -v grep | awk '{print $2}')

El comando ps -ef | fgrep .dd | grep -v grep | awk ‘{print $2}’ nos permite extraer el PID, siempre y cuando hayamos utilizado la extensión .dd.

La ejecución del kill nos dará la siguiente pantalla:

También podríamos utilizar otra herramienta que nos mantenga al tanto de lo que hace dd, como por ejemplo pv.

pv no viene por defecto con esta distro, con lo cual hay que instalarla desde el repo

apt-get update
apt-get install pv

 

 

Como no podía ser de otra manera, tenemos que corroborar el HASH de nuestra copia.

 

Bueno, hemos hecho un largo recorrido con el copiado bit a bit de la mano del comando dd. Tambien suelen utilizarse otros comandos para realizar adquisiciones bit a bit como pueden ser:

dc3dd, dd_rescue, ewfadquire y para los que les gusta el entorno gráfico Guymager.

 

 

DISTRIBUCIONES LINUX DEDICADAS A LA INFORMÁTICA FORENSE

Lo primero que hay que destacar es que el software utilizado en informática forense solamente es válido si la herramienta utilizada no altera el medio a analizar.

A continuación vamos a reseñar algunas de las herramientas GRATUITAS disponibles para realizar análisis forenses como la identificación, preservación y análisis. Existen muchas más, gratuitas o de pago, pero estas son las de uso gratuito más recomendables.

Casi todas surgen de distribuciones Linux, como pueden ser DEFT, Huemul, SIFT y Santoku. Ya que no todas estas herramientas son utilizadas para realizar la misma tarea, hay que saber cual conviene usar para cada caso ya que cada una tiene sus características particulares.

DEFT

Es el acrónimo de Digital Evidence & Forensic Toolkit, tiene 2 distribuciones: DEFT 8.2 y DEFT Zero rc1

DEFT 8.2

Se encuentra basada en Lubuntu 12.10, tiene un tamaño de 3.1 GB y dispone de una gran variedad de herramientas para realizar nuestras labores forenses, tanto para la adquisición como para el análisis del mismo. Como vemos en la siguiente imagen, en DEFT tenemos distribuídas las aplicaciones en los siguientes grupos: Analysis, Antimalware, Data Recovery, Hashing, Imaging, Mobile Forensics, Network Forensics, OSINT, Password recovery y Reporting tools.

Descargar DEFT 8.2

 

DEFT Zero rca

Es una distribución Linux reducida de 403 MB dedicada únicamente para realizar la adquisición forense y después utilizar otras herramientas que consideremos oportunas.

Descargar DEFT Zero

DART

Acrónimo de Digital Advanced Response Toolkit, DART es un conjunto de herramientas que trabaja bajo entornos Microsoft. Posee “tools”· de Adquisición entre las que cabe destacar la aplicación FTK Imager, herramienta gratuita perteneciebte a una empresa lider en el ámbito forense. Data Recovery, Forensics, Incident Response, Networking, Password, Visualize y Utility son otros de los tópicos dentro de DART.

Huemul

Es una distro Linux argentina basada en Debian, diseñada de tal manera que tiene un menú separado en Etapas, adquisición, clonación y análisis. También están las opciones de Borrado seguro, Celulares y Cifrado. En cada opción del menú aparece una breve descripción de cada una.

Descargar Huemul
(actualmente se encuentra desaparecido)

Santoku

Distribución basada en Ubuntu 14.04.1 LTS con sponsor de VIA Forensic. Tiene varias herramientas para trabajar con telefonía móvil, tanto para la adquisición como para el análisis. Posee Herramientas para realizar “reversing” de aplicaciones desarrolladas para Android y algunas otras para “hacking”.

En su menú tiene los siguientes grupos de aplicaciónes: Development Tools, Device Forensics, Penetration Testing, Reverse Engineering y Wireless Analyzers. Esta puede ser una buena opción en el caso de tener que trabajar con dispositivos con sistema operativo Android.

Descargar Santoku

 

Nota: En algunas de estas distribuciones Linux nos encontramos con algunas herramientas de “hacking”, el motivo es porque en algunos casos existe la necesidad de romper algunas barreras para llegar a realizar la labor forense. En estos casos es absolutamente necesario disponer legalmente de una autorización por escrito del Propietario del medio analizado y/o del Juez interviniente en la causa si estuviéramos en un proceso judicial.

Un perito informático forense puede utilizar distintas herramientas para desarrollar su labor, pero es absolutamente recomendable utilizar herramientas lo más conocidas posibles. Además se debe especificar cuales son y que versiones se han utilizado por si fuera necesario aportar esa información en casos judiciales. De esta manera será mucho más fácil defender un caso ante la parte contraria ya que al ser herramientas de código abierto, contrastadas y ampliamente utilizadas por otros usuarios cuya experiencia nos puede servir de apoyo.

 

 

================

SEGURIDAD INFORMÁTICA Y RECUPERACIÓN DE DATOS

Motivos de la pérdida de datos en los dispositivos de almacenamiento

  • Accidente: golpes, humedad, subidas de tensión eléctrica, fallos electrónicos
  • Negligencia: extracción del cable de conexión con el ordenador de forma no segura en el sistema operativo, borrado accidental de la información
  • Premeditación: borrado de datos para ocultar información, formateo del disco duro, disquete o tarjeta de memoria

Tipos de dispositivos de almacenamiento

  • Discos duros de ordenadores
  • Unidades externas USB, como discos duros, pendrives
  • Memoria ROM interna de teléfonos móviles o Smartphones
  • Tarjetas de memoria de distintos tipos, SD, microSD, XD, Memory Stick, Compact Flash

La importancia de la información perdida

  • Información personal: documentación privada, trabajos importantes y proyectos de estudiantes, fotografías y recuerdos irrepetibles
  • Información empresarial: documentación de empresa, contabilidad, facturación
  • Información como parte de evidencias y pruebas en investigaciones procesales y policiales.

Resultados

En el análisis forense no siempre es posible obtener obtener resultados satisfactorios, se trata de un laborioso proceso de muchas horas de trabajo tras el cual puede resultar no obtener la información deseada, aunque en muchos casos siempre es posible obtener pequeños rastros de lo ocurrido. Es por esto que la contratación de profesionales de la recuperación de datos no es un servicio económico.

Coste

A no ser que la información a recuperar sea de vital importancia es posible que no merezca la pena contratar los servicios de recuperación de datos debido a que este tipo de servicios son muy profesionales y caros por la cantidad de horas necesarias para el análisis y la recuperación efectiva. Si no se está dispuesto a desembolsar una cantidad económica importante es mejor olvidarse de esos datos y empezar de cero o probar con herramientas básicas de recuperación de datos si la información no es tan importante, porque si se hace mal se puede perder del todo la información.

Tipos de fallos de los dispositivos de almacenamiento

Solamente un experto puede determinar que tipo de fallo tiene un dispositivo y no conviene aventurarse a probar soluciones caseras si la información es de vital importancia.

Se pueden distinguir 2 tipos de fallos:

  • Fallo físico: cuando el dispositivo de almacenamiento tiene un problema físico, bien sea mecánico o electrónico, por lo que la recuperación de la información es más difícil y costosa pues se requieren medios de recuperación muy complejos y no al alcance de todo el mundo.
  • Fallo lógico: cuando el medio de almacenamiento a estudiar se encuentra físicamente en buen estado, o sea no tiene fallos mecánicos ni electrónicos por lo que simplemente no se puede acceder a la información contenida.

El fallo físico

Cuando un profesional ha determinado este tipo de fallo y no se desea correr riesgos innecesarios para para obtener el mayor porcentaje de éxito posible, es absolutamente necesario hacer un exhaustivo análisis en laboratorio donde se cuenta con herramientas especiales como cámaras de vacío y placas electrónicas de repuesto de los distintos modelos de dispositivos. Los precios de recuperación cuando ocurre este tipo de problema son muy elevados, pero la información en casos de vital importancia muchas veces es más importante que las pérdidas que pueda ocasionar no intentar recuperar dicha información.

El fallo lógico

Este tipo de fallo aunque también puede ser realizado en laboratorio, al ser un poco menos complejo  dentro de una dificultad notable, es posible realizarlo en unas condiciones menos especiales, donde en la recuperación de datos se emplean diversas herramientas profesionales de software y hardware. Es fundamental que estos procesos sean realizados por profesionales porque la manipulación indebida puede acarrear la pérdida final de datos vitales y en casos judiciales la pérdida de validez si no se sabe con absoluta garantía lo que se está haciendo.

Es cierto que existe software doméstico que se vende por internet y que cualquiera puede comprarlo porque es relativamente económico. Existe una pequeña probabilidad de que entre la multitud de soluciones ofertadas alguna pueda llegar a recuperar datos, pero por experiencia profesional los casos de éxito son muy pequeños. Si la información a recuperar no es excesivamente importante, y no se busca una validez legal o pericial cualquier persona puede intentar su recuperación de forma no profesional, pero hay que tener en cuenta que en este caso los riesgos de perder definitivamente la información son enormes y si después se acude a un profesional lo más probable que te diga es que por haber sido manipulada la información no hay prácticamente posibilidades de éxito en un segundo intento de recuperación. Por tanto, si es muy importante la información, no intentes por tus propios medios recuperarla o correrás un riesgo innecesario.

 

 

—————–

OTRO SOFTWARE DE RECUPERACIÓN DE DATOS

Recuva y programas similares:

En Windows tenemos programas de relativa efectividad como Recuva, son más o menos efectivos siempre y cuando no se haya escrito en la zona «liberada» al eliminar el fichero. Cuanto más tiempo haya pasado más probabilidad de que no se recupere nada.

Kali Linux: 

La sentencia de uso es relativamente sencilla.

(imagen) foremost

Donde -t es para indicar que tipo de extensión buscamos, sino la sabemos quitamos este parámetro. La opción -i es para decir donde buscar, y la -o en que carpeta de salidad colocará los archivos recuperados.

Como he mencionado, se puede tener éxito o no. Hay que tener en cuenta que estamos intentando encontrar algo eliminado.

En Kali Linux podemos encontrar muchas aplicaciones de análisis forense para diferentes objetivos. Unas muy potentes, otras simples de usar, y otras que cuesta un «suplicio» poder configurarlas o echarlas a andar. Aplicaciones para recuperar archivos: Foremost, Scalpel,

PhotoRec:

 

R-Linux:

Este software recupera software eliminado por una ataque de virus, corte de corriente eléctrica o fallo de sistema después de haber formateado, dañado o eliminado la partición con archivos.
Cuando la estructura de particiones del disco duro ha sido cambiada o dañada R-Linux puede escanear el disco intentando encontrar las particiones que existían antes y recuperar sus archivos.

En el caso de discos con sectores dañados, R-Linux primero puede crear una imagen de disco o de su parte y después procesar este archivo de imagen. Es especialmente útil cuando en el disco duro constantemente aparecen sectores dañados y hace falta guardar inmediatamente la información que se queda.

 

*Caine Computer Forensics Linux Live Distro:

Esta distribución de Linux basada en Ubuntu es bastante RECOMENDADA por distintos expertos forenses. Es un software que tiene muchas utilidades y es posible montarlo como maquina virtual para no tener que salir de nuestro sistema operativo.

*Autopsy digital forensics:

 

FTK Imager:

Este software se utiliza para realizar imágenes forenses de dispositivos.

En este video se explica su uso:

 

SOFTWARE PARA DISPOSITIVOS MÓVILES 

MOBILedit mobile forensics:

SANTOKU mobile forensics:

 

——————–

LAS ETAPAS DE LA CONTRATACIÓN DE UN PERITO INFORMÁTICO PARA UNA INVESTIGACIÓN INFORMÁTICA FORENSE

Etapa 1. Toma de contacto

  • Análisis de la situación inicial. El cliente contacta con el perito informático para solicitar la realización de un Peritaje Informático o Investigación Informática Forense. El perito informático lleva a cabo un análisis de la situación inicial. Posteriormente, se realiza un encuentro con el cliente, a partir del cual:
    *Se determinan los objetivos de la investigación
    *Se realiza un estudio de la viabilidad
    *Se establece el procedimiento a seguir para la extracción de pruebas
    *Se estiman los tiempos de ejecución y planifica el tiempo a emplear
  • Presupuesto del peritaje o investigación. Una vez hecho el Análisis Inicial, se realiza un presupuesto del servicio o investigación, que incluye el valor de tarifa de las acciones llevadas a cabo para la obtención de la prueba pericial. Este detalle presupuestario recoge las labores técnicas del laboratorio, la redacción de informes, desplazamientos, etc.
  • Aceptación del presupuesto. A continuación, el cliente recibe el presupuesto y si está conforme, lo devuelve firmado, dando comienzo a la siguiente etapa.

Etapa 2. Desarrollo de la investigación y elaboración del Informe Pericial.

En esta etapa se desarrollan las siguientes acciones:

  • Recogida, por parte del perito informático, de los elementos que puedan intervenir en la investigación, como serían los equipos informáticos, dispositivos de almacenamiento, dispositivos móviles, etc.
  • Esta recogida será ante notario, si así lo requiere el mantenimiento de la cadena de custodia.
  • A continuación, se realiza un análisis exhaustivo de dichos elementos por parte del perito informático y se desarrolla el trabajo requerido en el laboratorio.
  • Finalizado el análisis o investigación, se confeccionará el Informe Pericial siguiendo la norma UNE 197010:2015.

Etapa 3. Declaración ante Tribunales.

En caso de que sea necesario, el perito informático deberá defender y testificar ante los Tribunales de Justicia para aportar las conclusiones de la investigación y resolver las dudas oportunas.

Cabe añadir que la metodología empleada por el perito informático contratado debe garantizar una óptima aceptación por los Tribunales de Justicia, ya que los procesos de examen realizados en el laboratorio, no alteran la información almacenada en los soportes informáticos, garantizando así la conservación de la evidencia electrónica en perfecto estado.

El cuidadoso y riguroso protocolo de Peritaje Informático utilizado por el perito informático debe garantizar la seguridad, la autenticidad y la cadena de custodia de la prueba, desde su adquisición hasta su presentación ante los Tribunales

La realización del Informe Pericial siguiendo la norma UNE 197010:2015 garantiza el cumplimiento de los «Criterios generales para la elaboración de informes y dictámenes periciales sobre Tecnologías de la Información y las Comunicaciones (TIC)».

Adicionalmente, el Informe Pericial podrá ser Visado por un Colegio Oficial de Peritos, si así se requiere, dando mayor validez al mismo en el Proceso Judicial.

——————–

 

 

 

MÁS INFORMACIÓN:

En este vídeo demostrativo realizado por Fabian Hurtado de la empresa Ecforensics.ec se explica la manera de trabajar de un forense informático:

 

Fuentes:

Fabian Hurtado de la empresa https://ecforensics.ec/
https://jdgperitajesinformaticos.es/

Peritos Informáticos


https://www.securetia.com/
https://www.securetia.com/blog/informatica-forense-introduccion.html
https://www.securetia.com/blog/informatica-forense-adquisicion.html
https://www.securetia.com/blog/informatica-forense-distribuciones.html
https://www.incibe-cert.es/blog/rfc3227

 

Tags:
0Likes

Dejar un comentario

0.0/5

You May Also Like

Servicio Técnico Informático, Software Informático
OBS Open Broadcaster Software, grabación de vídeo y transmisión en vivo
Servicio Técnico Informático, Software Informático
Instalación correcta de drivers marca SIS audio y video tarjeta grafica
Camino de las Aguas 1037003 - Salamanca (España)
923282726 (WhatsApp)
923282726 (Llamar)
Horario: 9:00 a 14:00hTardes cita previa
Enlaces
Boletín de Noticias

© 2024 PROMOCIONALIA más que informática– Ordenadores, Portátiles, Tablets, Accesorios. Servicio Técnico, Mantenimiento Empresas. Diseño páginas web, Email, Dominios, Hosting. Marketing digital, Social Media Management. Rotulación en vinilo. Distribuidor Fibra y móvil: O2 / Simyo / Digi / Masmovil. Venta, Reparación y Alquiler de Máquinas Arcade Retro. Más de 25 años de experiencia, desde 1997 hasta hoy.

Suscríbete si te interesa nuestro Blog de noticias!