Informática Forense
%
DELITOS INFORMATICOS
%
INFORMACION
La Informática Forense se encarga de analizar sistemas informáticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociación extrajudicial.
Es la aplicación de técnicas y herramientas de hardware y software para determinar datos potenciales o relevantes.
También puede servir para informar adecuadamente al cliente acerca de las posibilidades reales de la evidencia existente o supuesta.
Los naturales destinatarios de este servicio son los estudios jurídicos, aunque cualquier empresa o persona puede contratarlo.
La necesidad de este servicio se torna evidente desde el momento en que la enorme mayoría de la información generada está almacenada por medios electrónicos.
En la recuperación de datos nos enfrentamos con información que no es accesible por medios convencionales, ya sea por problemas de funcionamiento del dispositivo que lo contiene, ya sea porque se borraron o corrompieron las estructuras administrativas de software del sistema de archivos. La información se perdió por un problema de fallo de la tecnología de hard y/o soft o bien por un error humano.
El usuario nos indica su versión de los hechos y, a menudo, encontramos sobre la falla original otras que el usuario o sus prestadores técnicos agregaron en un intento de recuperación. A partir del análisis del medio, debemos determinar qué ocurrió desde el momento en que todo funcionaba bien y la información era accesible.
En informática forense hablamos ya no sólo de recuperación de información sino de descubrimiento de información, dado que no hubo necesariamente una falla del dispositivo ni un error humano sino una actividad subrepticia para borrar, adulterar u ocultar información. Por lo tanto, es esperable que el mismo hecho de esta adulteración pase desapercibido.
La informática forense apela a nuestra máxima aptitud, puesto que enfrentamos desde casos en que el dispositivo fue borrado, golpeado y dañado físicamente, hasta ligeras alteraciones de información que pueden constituir un crimen.
Este servicio es de utilidad a empresas que llevan adelante juicios laborales con sus empleados, o con sus asociados por conflictos de intereses, a estudios jurídicos que necesitan recabar información ya sea para presentarla frente a un tribunal o bien para negociar con las partes un acuerdo extrajudicial de resarcimiento, renuncia, etc. Es de utilidad a los organismos judiciales y policiales que buscan evidencias de todo tipo de crímenes. Es un componente indispensable en litigios civiles.
Algunos hechos:
* La computación forense tiene aplicación en un amplio rango de crímenes incluido pero no limitado a: mal uso de la computadora que conlleve a pérdida de productividad de empleados (uso personal de correo electrónico, uso de internet para actividades personales o entretenimiento). Robo de secretos comerciales e industriales, robo o destrucción de propiedad intelectual, destrucción de archivos judiciales, de auditoría, etc.
* La evidencia informática es frágil por definición y puede fácilmente ser alterada o modificada y así perder autenticidad frente a una corte. Se deben por lo tanto establecer rígidas normas de preservación y cadena de custodia de la misma.
* Se considera que el 75% de los delitos relacionados con sistemas informáticos se producen desde dentro de una organización (hacker dentro del muro de fuego).
* Tendemos a que la totalidad de la información se almacene por medios digitales.
Si requiere nuestro servicio, complete el siguiente formulario y envíelo junto al disco, CPU, notebook o servidor. Debe enviarlo en una bolsa antiestática y bien embalado en una caja con goma espuma. Trabajaremos únicamente con su disco y preferimos que envíe sólo el disco, pero si tiene algún problema en extraerlo de la CPU (gabinete) puede enviarnos la CPU completa. Lo mismo si se trata de una notebook.
Contáctenos para instrucciones adicionales si perdió información de un RAID o unidad de cinta
Procedimientos
Los procedimientos llevados a cabo se dividen en las siguientes etapas:
1- Adquisición
Significa copiar de una manera especial el contenido en bruto de la información del sistema en observación. Luego se trabaja sobre esta copia, dejando intacta la información original. Esta tarea se hace accediendo a los volúmenes en modo de sólo lectura para que ni un byte sea alterado desde el momento en que empieza nuestra intervención.
Hay que tener en cuenta que el simple booteo (arranque) de una computadora altera por lo menos algunos archivos en sus contenidos y fechas, varía la cantidad total de archivos, etc. Lo mismo ocurre cuando abrimos un archivo aunque más no sea para leerlo o imprimirlo. Se puede rastrear todo este tipo de actividad en una computadora. La adquisición puede involucrar desde un disquette o un disco rígido de una computadora hasta un conjunto de discos de un servidor, un juego de cintas, o varias computadoras de una organización.
2- Validación y preservación de los datos adquiridos
3- Análisis y descubrimiento de evidencia
Se procede a realizar una batería de pruebas en el laboratorio sobre la copia validada. Es posible analizar y buscar información a muchos diferentes niveles. Partimos de la base de que el usuario sospechoso de una actividad ilícita puede haber borrado la información que lo compromete o pudo haberla ocultado almacenándola por medios no convencionales. Estas búsquedas están orientadas por cada caso en particular y aquí contamos con la información que provee quien solicita el servicio.
Se pueden buscar:
* Archivos borrados, archivos creados, accedidos o modificados dentro de determinado rango de fechas
* Tipos de archivos con un formato particular que hayan sido alterados (por ejemplo, archivos de un sistema de contabilidad renombrados como archivos de un procesador de texto).
* Imágenes, mensajes de correo electrónico, actividad desarrollada en Internet
* A diferentes niveles, palabras claves tales como un número telefónico, el nombre de una ciudad o una empresa, etc.
En base a este análisis se determina un patrón de comportamiento del usuario en cuanto a la creación, modificación y borrado de mensajes, actividad de correo electrónico, etc.
4- Informe
Aunque a menudo se subestima la importancia de los pasos 1 y 2, y se considera el paso 3 el específico de la informática forense, hay que tener en cuenta que la evidencia informática es por definición frágil y puede ser alterada haciendo que la misma pierda su validez frente a un tribunal.
Casos