El análisis forense digital se corresponde con un conjunto de técnicas destinadas a extraer información valiosa de discos, sin alterar el estado de los mismos. Esto permite buscar datos que son conocidos previamente, tratando de encontrar un patrón o comportamiento determinado, o descubrir información que se encontraba oculta. En este post se introducirá el tema, así como la utilidad del mismo, ya sea dentro o fuera de una investigación.
En el campo de la Informática Forense existen diversas etapas que definen la metodología a seguir en una investigación: identificación, preservación o adquisición, análisis y presentación de los resultados. Siguiendo el flujo lógico de actividades, primero se debe identificar las fuentes de datos a analizar y aquello que se desea encontrar, luego se debe adquirir las imágenes forenses de los discos o fuentes de información, posteriormente se realiza el análisis de lo adquirido para extraer información valiosa y finalmente se ordenan los resultados del análisis y se presentan, de tal modo que resulten útiles. Hace unas semanas se analizó en este blog el proceso de adquisición, comparando medidas de rendimiento y facilidad de uso, para determinar qué herramienta de adquisición de imágenes forenses elegir. Es tiempo de pasar a la siguiente etapa: el análisis de la información adquirida.
Tener una copia exacta de un disco permite al investigador acceder al sistema de archivos e inspeccionar las cuentas de usuario existentes, los documentos asociados a un usuario, y los programas instalados, entre otras cosas. Sin embargo, mediante la utilización de herramientas y suites forenses, se puede buscar una gran variedad de información que es difícil de encontrar por simple inspección. En primera instancia, se puede indexar el contenido del disco de acuerdo con ciertas palabras clave, pudiendo realizar luego búsquedas de esas palabras, visualizando los archivos donde se encuentran y su contenido. Por ejemplo, si se quiere encontrar evidencia de un fraude, se pueden buscar palabras como “fraude”, “robo” o “soborno”.
Además, es posible realizar una recuperación de archivos borrados o datos en partes especiales del disco, como espacios no asignados. En cuanto a las comunicaciones y actividades sociales, estas herramientas proveen características para acceder a correos electrónicos almacenados, así como recuperar correos eliminados, o ver historiales de chat y de navegación por Internet. Por último, vale la pena mencionar que se puede recuperar información como el último usuario que inició sesión, o los dispositivos USB que fueron introducidos en el equipo, entre otros datos de sesión.
Para concluir, es importante mencionar que, si bien el proceso de análisis forense se aplica principalmente en investigaciones, en las cuales se desea encontrar evidencia que soporte una hipótesis, las herramientas disponibles son cada vez más accesibles para el usuario final. Así, es posible utilizar herramientas para realizar algunas tareas específicas, como la recuperación de archivos eliminados, en forma sencilla. Para este proceso de análisis forense existen diversas suites con capacidades integradas de recuperación de archivos, visores de correos electrónicos, imágenes y documentos ofimáticos. También pueden utilizarse herramientas específicas para cada tarea, las cuales pueden ser gratuitas o pagas. En un próximo post se aplicarán las actividades descriptas a un determinado caso, para observar las posibilidades que existen en este tipo de análisis.
Matías Porolli
Especialista de Awareness & Research