Informática Forense

%

DELITOS INFORMATICOS

Se considera que el 75% de los delitos relacionados con sistemas informáticos se producen desde dentro de una organización (hacker dentro del muro de fuego).

%

INFORMACION

Tendemos a que la totalidad de la información se almacene por medios digitales.

La Informática Forense se encarga de analizar sistemas informáticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociación extrajudicial.
Es la aplicación de técnicas y herramientas de hardware y software para determinar datos potenciales o relevantes.
También puede servir para informar adecuadamente al cliente acerca de las posibilidades reales de la evidencia existente o supuesta.
Los naturales destinatarios de este servicio son los estudios jurídicos, aunque cualquier empresa o persona puede contratarlo.
La necesidad de este servicio se torna evidente desde el momento en que la enorme mayoría de la información generada está almacenada por medios electrónicos.

En la recuperación de datos nos enfrentamos con información que no es accesible por medios convencionales, ya sea por problemas de funcionamiento del dispositivo que lo contiene, ya sea porque se borraron o corrompieron las estructuras administrativas de software del sistema de archivos. La información se perdió por un problema de fallo de la tecnología de hard y/o soft o bien por un error humano.

El usuario nos indica su versión de los hechos y, a menudo, encontramos sobre la falla original otras que el usuario o sus prestadores técnicos agregaron en un intento de recuperación. A partir del análisis del medio, debemos determinar qué ocurrió desde el momento en que todo funcionaba bien y la información era accesible.

En informática forense hablamos ya no sólo de recuperación de información sino de descubrimiento de información, dado que no hubo necesariamente una falla del dispositivo ni un error humano sino una actividad subrepticia para borrar, adulterar u ocultar información. Por lo tanto, es esperable que el mismo hecho de esta adulteración pase desapercibido.

La informática forense apela a nuestra máxima aptitud, puesto que enfrentamos desde casos en que el dispositivo fue borrado, golpeado y dañado físicamente, hasta ligeras alteraciones de información que pueden constituir un crimen.

Este servicio es de utilidad a empresas que llevan adelante juicios laborales con sus empleados, o con sus asociados por conflictos de intereses, a estudios jurídicos que necesitan recabar información ya sea para presentarla frente a un tribunal o bien para negociar con las partes un acuerdo extrajudicial de resarcimiento, renuncia, etc. Es de utilidad a los organismos judiciales y policiales que buscan evidencias de todo tipo de crímenes. Es un componente indispensable en litigios civiles.

 

Algunos hechos:

* La computación forense tiene aplicación en un amplio rango de crímenes incluido pero no limitado a: mal uso de la computadora que conlleve a pérdida de productividad de empleados (uso personal de correo electrónico, uso de internet para actividades personales o entretenimiento). Robo de secretos comerciales e industriales, robo o destrucción de propiedad intelectual, destrucción de archivos judiciales, de auditoría, etc.

* La evidencia informática es frágil por definición y puede fácilmente ser alterada o modificada y así perder autenticidad frente a una corte. Se deben por lo tanto establecer rígidas normas de preservación y cadena de custodia de la misma.

* Se considera que el 75% de los delitos relacionados con sistemas informáticos se producen desde dentro de una organización (hacker dentro del muro de fuego).

* Tendemos a que la totalidad de la información se almacene por medios digitales.

Si requiere nuestro servicio, complete el siguiente formulario y envíelo junto al disco, CPU, notebook o servidor. Debe enviarlo en una bolsa antiestática y bien embalado en una caja con goma espuma. Trabajaremos únicamente con su disco y preferimos que envíe sólo el disco, pero si tiene algún problema en extraerlo de la CPU (gabinete) puede enviarnos la CPU completa. Lo mismo si se trata de una notebook.

Contáctenos para instrucciones adicionales si perdió información de un RAID o unidad de cinta

Procedimientos

Los procedimientos llevados a cabo se dividen en las siguientes etapas:

1- Adquisición

Significa copiar de una manera especial el contenido en bruto de la información del sistema en observación. Luego se trabaja sobre esta copia, dejando intacta la información original. Esta tarea se hace accediendo a los volúmenes en modo de sólo lectura para que ni un byte sea alterado desde el momento en que empieza nuestra intervención.

Hay que tener en cuenta que el simple booteo (arranque) de una computadora altera por lo menos algunos archivos en sus contenidos y fechas, varía la cantidad total de archivos, etc. Lo mismo ocurre cuando abrimos un archivo aunque más no sea para leerlo o imprimirlo. Se puede rastrear todo este tipo de actividad en una computadora. La adquisición puede involucrar desde un disquette o un disco rígido de una computadora hasta un conjunto de discos de un servidor, un juego de cintas, o varias computadoras de una organización.

2- Validación y preservación de los datos adquiridos
Por medios matemáticos se debe calcular de manera normalizada un código único correspondiente a esa combinación única de bytes que constituye la totalidad del medio en observación. Este código de validación debe ser lo suficientemente complejo como para impedir que sea generado en forma reversa con fines dolosos y normalizado como para que cualquier auditor independiente pueda por su cuenta verificar la autenticidad de la imagen tomada y así establecer una cadena de custodia consistente. Desde este momento, ya se pueden efectuar copias exactamente iguales de la imagen a los efectos de que diferentes actores puedan conservar una copia de seguridad.
3- Análisis y descubrimiento de evidencia

Se procede a realizar una batería de pruebas en el laboratorio sobre la copia validada. Es posible analizar y buscar información a muchos diferentes niveles. Partimos de la base de que el usuario sospechoso de una actividad ilícita puede haber borrado la información que lo compromete o pudo haberla ocultado almacenándola por medios no convencionales. Estas búsquedas están orientadas por cada caso en particular y aquí contamos con la información que provee quien solicita el servicio.

Se pueden buscar:

* Archivos borrados, archivos creados, accedidos o modificados dentro de determinado rango de fechas

* Tipos de archivos con un formato particular que hayan sido alterados (por ejemplo, archivos de un sistema de contabilidad renombrados como archivos de un procesador de texto).

* Imágenes, mensajes de correo electrónico, actividad desarrollada en Internet

* A diferentes niveles, palabras claves tales como un número telefónico, el nombre de una ciudad o una empresa, etc.

En base a este análisis se determina un patrón de comportamiento del usuario en cuanto a la creación, modificación y borrado de mensajes, actividad de correo electrónico, etc.

4- Informe
Se presenta un informe escrito en un lenguaje, a la vez técnico y claro, y un CD donde se hace accesible al usuario no especializado de una forma ordenada la evidencia recuperada y su interpretación.

Aunque a menudo se subestima la importancia de los pasos 1 y 2, y se considera el paso 3 el específico de la informática forense, hay que tener en cuenta que la evidencia informática es por definición frágil y puede ser alterada haciendo que la misma pierda su validez frente a un tribunal.

Casos

 

Caso 1
Un gerente de una empresa importadora de maquinaria tenía el control de los contactos de los proveedores en USA y de los clientes locales. Armó una empresa paralela, empleando relaciones, información y recursos de la empresa que lo empleaba. Durante un tiempo mantuvo ambas actividades. Cuando el caso llega a CompExcell ya la empresa lo había despedido y le había iniciado juicio. El análisis de su computadora permitió recabar información y asesorar acerca de cuáles eran los puntos fuertes y débiles de la evidencia hallada.
Caso 2
Una empresa de transporte de pasajeros de larga distancia del interior piensa que no son casuales los reiterados desperfectos en los sistemas Unix de su sucursal en la estación de Retiro. Estos desperfectos les provocan grandes perjuicios en cuanto a la fluidez del manejo de ómnibus y clientes. Nuestra auditoría independiente de los sistemas permite determinar la responsabilidad de los empleados.
Caso 3
Un organismo oficial de la Provincia de Bs.As detecta una serie de crímenes hormiga de robo de equipamiento informático. Las piezas robadas son reemplazadas por otras obsoletas y fuera de funcionamiento. El análisis del contenido de un disco roto colaboró a rastrear a los implicados en esta actividad.
Caso 4
Una empresa se da cuenta de que el uso del correo electrónico y de Internet trajo más dispersión y baja de productividad que beneficios. Nuestro informe colaboró a delimitar el problema y a que se adoptase una política explícita acerca del uso de Internet, a través de un convenio al que cada empleado debe suscribir.
Caso 5
Una empresa despide personal. Un disco es dañado intencionalmente. El cliente nos informa que el disco fue mojado y que se le dañó la plaqueta electrónica con un destornillador. Además fue duramente golpeado por lo que se encuentran totalmente dañados los mecanismos de cabezales y parcialmente dañados los medios magnéticos. La recuperación de información de este disco permitió rearmar un sistema de contabilidad que puede revelar actividades dolosas por parte de los empleados.
Caso 6
Una empresa quebró. Luego de algunos años aparecen cartuchos de cinta de respaldo de información. No está disponible el personal del área de informática, ni las computadoras empleadas, ni nadie que pudiera informar qué sistema operativo se usaba, ni con qué programa se realizaba el backup. La única información que se tiene es que las cintas contendrían información contable de varios ejercicios de la empresa.
Caso 7
Desaparece una persona. A partir del análisis de su computadora personal podemos buscar indicios acerca de sus actividades, comunicaciones, etc.
Caso 8
No se sabe quién cometió un crimen en una empresa u organización. Podemos analizar varios medios de almacenamiento y concentrarnos en las actividades que desarrollaron distintas personas en una fecha determinada y en los días anteriores para determinar patrones de conducta anómalos en uno o más sistemas.