Vol. 5 Núm. 11 Suplemento CICA Multidisciplinario
Enero-junio 2021
Artículo de Revisión teórica
INFORMÁTICA FORENSE – EL CAOS DE LA MANIPULACIÓN DE LA INFORMACIÓN DIGITAL
COMPUTER FORENSICS - THE CHAOS OF DIGITAL INFORMATION MANIPULATION
COMPUTADORES FORENSES - O CAOS DO MANUSEIO DE INFORMAÇÕES DIGITAIS
AUTORES
María Soraida Zambrano Quiroz[1] Autor de correspondencia maria.zambrano@uleam.edu.ec
Universidad Laica Eloy Alfaro de Manabí – Ecuador
Cruz América Tubay Segovia email[2]: cruzamerica@hotmail.com
Servidor Público Fuerza Aérea Ecuatoriana – Manta Ecuador
Jaime Javier Zambrano Quiroz[3] email: mrjazam@hotmail.com
Servidor Público Gobierno Autónomo Descentralizado Cantón El Carmen
Denny Lourdes Zambrano Quiroz[4] email: denny.zambrano@uleam.edu.ec
Universidad Laica Eloy Alfaro de Manabí - Ecuador
Recibido: 08/03/2021 Aceptado: 17/05/2021 Publicado: 30/06/2021
RESUMEN
La Informática Forense es una ciencia que estudia y analiza gran cantidad de evidencias de delitos informáticos; así el forense informático requiere ser profesional con conocimiento técnico y manejo de herramientas especializadas. En el análisis forense interviene el perito judicial quien obtiene evidencias forenses y las sustenta, las cuales son amparadas a través de formas y métodos. Muestra el alcance mediante el análisis forense, la recolección de evidencias computacionales, que información analizar y quiénes intervienen durante un proceso judicial, y lo que sugiere la IOCE (International Organization On Computer Evidence) como principios para el manejo y recolección de evidencia computacional. Dentro de sus acápites detalla que es la ciencia Forense, los dispositivos a analizar, conservar información, verificar los involucrados y bajo qué principios informáticos y legales. El propósito de esta investigación es destacar a la Informática Forense y detallar el proceso a seguir hasta llegar a un juicio. Se expone la subclasificación de las herramientas disponibles: de recolección, de monitoreo, de marcado de documento y las Encase; que indica la forma estudio de la información que haya sido manipulada; mediante estas alternativas se guía la utilización según lo que se desee manipular en función de un proceso judicial. La información que se investigó se obtuvo de un paradigma cualitativo de tipo descriptivo y con una estrategia documental. Se proyecta a la Informática Forense como un desafío interdisciplinario como apoyo a la administración de la justicia y como pauta para esclarecer fraudes cometidos en las organizaciones.
PALABRAS CLAVES: Informática forense, delito informático, perito informático, seguridad informática, herramientas tecnológicas.
SUMMARY
Computer Forensics is a science that studies and analyzes a large amount of evidence of computer crimes; thus, the computer forensic needs to be a professional with technical knowledge and use of specialized tools. The forensic analysis involves the judicial expert who obtains and supports forensic evidence, which is protected through forms and methods. It shows the scope through forensic analysis, the collection of computational evidence, what information to analyze and who intervenes during a judicial process, and what the IOCE (International Organization On Computer Evidence) suggests as principles for the management and collection of computational evidence. It details what is Forensic science, the devices to analyze, preserve information, verify those involved and under what computer and legal principles. The purpose of this investigation is to highlight Computer Forensics and detail the process to follow until reaching a legal trial through an expert and forensic analysis. The sub-classification of the available tools is exposed: collection, monitoring, document marking and Encase; that indicates the study form of the information that has been manipulated; Through these tools, the use is guided according to what the information is going to be manipulated for a judicial process. The information that was investigated was obtained from a qualitative descriptive paradigm and with a documentary strategy. Forensic Informatics is projected as an interdisciplinary challenge to support the administration of justice and as a guideline to clarify fraud committed in organizations.
KEYWORDS: Forensic informatics, computer crime, computer expert, computer security, technological tools.
RESUMO
Computer Forensics é uma ciência que estuda e analisa uma grande quantidade de evidências de crimes de computador; assim, o computador forense precisa ser um profissional com conhecimento técnico e uso de ferramentas especializadas. A perícia pericial envolve o perito judicial que obtém e sustenta as provas periciais, as quais são protegidas por meio de formulários e métodos. Mostra o escopo por meio da análise forense, a coleta de evidências computacionais, quais informações analisar e quem intervém durante um processo judicial, e o que a IOCE (International Organization On Computer Evidence) sugere como princípios para o gerenciamento e coleta de evidências computacionais. Em suas seções detalha o que é Ciência Forense, os dispositivos para analisar, manter informações, verificar os envolvidos e sob que informática e princípios jurídicos. O objetivo desta investigação é destacar a Computação Forense e detalhar o processo a seguir até que um julgamento seja alcançado. A subclassificação das ferramentas disponíveis é exposta: coleta, monitoramento, marcação de documentos e Encase; que indica a forma de estudo das informações manipuladas; Por meio dessas alternativas, o uso é orientado de acordo com o que se deseja manipular a partir de um processo judicial. As informações investigadas foram obtidas a partir de um paradigma descritivo qualitativo e com uma estratégia documental. A Informática Forense é projetada como um desafio interdisciplinar para apoiar a administração da justiça e como uma diretriz para esclarecer as fraudes cometidas nas organizações.
PALAVRAS-CHAVE: Computação forense, crime informático, especialista em informática, segurança informática, ferramentas tecnológicas
INTRODUCCIÓN
La información ha constituido lo más valioso que poseen todas las empresas; desde años atrás a medida que la tecnología avanzó, la información se multiplicó; situación que ha llevado a las empresas a ponerla como prioridad y velar por ella mediante cualquier dispositivo de almacenamiento; no siendo suficiente en la actualidad, en vista que existen ataques informáticos, violación de información, sustracción, alteración, en fin un sinnúmero de delitos informáticos que ha conllevado a seguir procesos legales para indagar quiénes o quién están involucrados en todos estos métodos maliciosos; e allí la aplicación de la Informática Forense.
Se la ha considerado como una herramienta muy valiosa, ante la necesidad de contar con un método que facilite la obtención de pruebas digitales en los casos donde se cometan fraudes o crímenes que atenten contra los usuarios de la información, sobre todo en tiempos donde el uso de la Internet se ha expandido por todo el mundo, y donde día a día más negocios tradicionales pasan a formar parte de la gran red de redes a nivel mundial. La informática forense posee un enfoque científico, basándose en una serie de alternativas electromagnéticas, con el objetivo de recolectar, analizar, verificar y validar todo tipo de información, sea esta existente, o información borrada de la computadora, para beneficio de quienes reportan ataques mal intencionados a sus sistemas informáticos y bases de datos.
La informática forense es considerada una ciencia, de reciente aparición, que se ha encargado de asegurar, identificar, preservar, analizar y presentar un conjunto de datos, también llamados, prueba digital, de tal modo que ésta pueda llegar a ser aceptada en un proceso legal y/o judicial. Más concretamente, esta ciencia y su conjunto de herramientas y técnicas permiten o facilitan, en la medida de lo posible, una reconstrucción del equipo informático afectado, el examen de los datos que se han podido recabar, la autenticación de los mismos, entre muchos otros menesteres (Rivas, 2014). El perito informático forense no podrá trasladar el equipamiento que contiene la información de análisis, por lo tanto, en el lugar del hecho, efectuar la duplicación de la información contenida en un repositorio original. Esta tarea se deberá realizar de manera tal que la duplicación o copia generada preserve la validez de su contenido original (Darahugue y Arellano, 2016).
Una característica positiva de los resultados del análisis comparativo del software forense digital publicado en la literatura científica es la exhaustividad y la base científica, mientras que un aspecto negativo es que a menudo no están actualizados debido al desarrollo de nuevas versiones de software (Stanivukovic, D., & Randjelovic, D., 2016). El sujeto pasivo analizado no se resume tan sólo a un equipo informático entendiendo como tal un ordenador, por ejemplo, si no que es mucho más amplio. Se puede tratar de redes completas de equipos, ya sean cableados o inalámbricas. Los sistemas embebidos en otros más grandes, como por ejemplo pequeños equipos de control en sistemas de seguridad, equipos industriales, automóviles o incluso electrodomésticos. Actualmente, debido al auge de los sistemas de información que se pueden encontrar en cualquier sitio y su interés estratégico, la informática forense se puede aplicar al instante anterior al del fin criminal. Se puede utilizar la informática forense con finalidades de prevención, es decir, analizar un conjunto de equipos para separar a qué riesgos potenciales están expuestos y mitigar así un posible ataque o incidente informático.
En el campo de la Informática Forense existen etapas que definen la metodología a seguir en una investigación: identificación, preservación o adquisición, análisis y presentación de los resultados. Siguiendo el flujo lógico de actividades, primero se debe identificar las fuentes de datos a analizar y aquello que se desea encontrar, luego se debe obtener las imágenes forenses de los discos o fuentes de información, posteriormente se realiza el análisis de lo recopilado para extraer información valiosa y finalmente se ordenan los resultados del análisis y se presentan, de tal modo que resulten útiles.
Para las fases anteriormente expuestas, es compensatorio las herramientas que ayudan en la Informática Forense; las mismas que son diversas y para cada área en especial: para recolectar información, para control de información, de evidencias y Encase. Todas ellas ayudan en el proceso que se evalúa en la Informática Forense y se obtienen resultados de tal forma que no se daña la información, ésta solo es supervisada e investigada para dar con el responsable del delito informático.
De esta forma se expuso lo que es la Informática Forense en sus diversas etapas, sus conceptos, sus beneficios, sus herramientas y forma de aplicarlas. Demostrando así que es posible investigar y dar con él o la persona que violentó la información de la empresa a través de cualquier medio informático especializado.
Este trabajo de investigación presenta un enfoque explicativo, que permite realizar un estudio teórico, que sirva de guía y acceda estudiar teorías que puedan ser probadas científicamente. El tipo de investigación que se usó es la descriptiva; que explica una situación o caso bajo un estudio y análisis de investigación. La recolección documental fue obtenida de fuentes bibliográfica y electrónicas, que han concedido obtener datos valiosos que contribuyen a conocer e interpretar lo que es la informática forense. Se estipula criterios científicos sobre lo que es la informática forense, perito judicial; en la segunda parte análisis forense, objetivos y dispositivos que es posible analizar y en la tercera sección las herramientas que sirven de apoyo en este proceso judicial de la Informática Forense. “La Informática Forense presenta alternativas efectivas para la identificación de caos de la manipulación de la información digital”, como a continuación se presentará un análisis completo, se espera disponer del fundamento teórico suficiente para poder esclarecer si la manipulación digital puede ser identificada o no por la Informática Forense.
MATERIALES Y MÉTODOS
Se utilizó la revisión literaria que permitió obtener resultados bibliográficos científicos relevantes, los cuales contribuyeron a seleccionar información destacada y que generó aporte científico para conocimiento y aplicación profesional sobre la Informática Forense.
La metodología empleada pertenece a (Sampieri, 2014) ,según el autor Hernández Sampieri la metodología cualitativa utiliza la recolección y análisis de los datos para afinar las preguntas de investigación o revelar nuevas interrogantes en el proceso de interpretación. Se recopiló información no numérica, que señaló aspectos relevantes y primordiales que generan análisis y toma de decisiones frente a un caso de Informática Forense; aportando criterios científicos que permitan continuar ampliando esta área de la Informática.
La investigación documental es un proceso basado en la búsqueda, recuperación, análisis, crítica e interpretación de datos secundarios, es decir, los obtenidos y registrados por otros investigadores en fuentes documentales: impresas, audiovisuales o electrónicas. Como en toda investigación, el propósito de este diseño es el aporte de nuevos conocimientos. (Arias, 2012). La documentación permitió ordenar ideas, clasificar criterios y resaltar herramientas informáticas útiles que conllevan a la toma de decisiones frente a los diferentes casos de delitos informáticos que se pudieran presentar.
Como instrumento de investigación se adjuntó documentos de archivos, en donde se encuentra información sobre lo que contiene la informática forense. Considerando que tal información, se demostró un grado de confianza, para aportar lo que es desenvolverse en la Informática Forense y sus diversas aplicaciones. Considerando tales interpretaciones científicas la documentación obtenida fue recopilada de repositorios digitales, clasificados tanto de libros y artículos relacionados con el tema. Estos resaltan lo que es la Informática Forense en sus diferentes perspectivas o criterios de interpretación, así como los diferentes procesos y herramientas existentes que son útiles en el estudio de algún delito informático cometido.
Se expone los diferentes criterios y posibles soluciones legales a seguir hasta llegar a un juicio si así lo requiera el delito informático cometido. Todo esto generó a reunir criterios científicos con sus diferentes aportes analíticos, que conllevaron a presentar la información que se destaca en el desarrollo de este artículo.
Desarrollo
Informática Forense
La informática forense está siendo considerada como una herramienta muy valiosa ante la necesidad de contar con algún método que facilite la obtención de pruebas digitales en los casos donde se cometan fraudes o crímenes que atenten contra los usuarios de la información, máxime en tiempos donde el uso de la Internet se ha expandido por todo el mundo, y donde día a día más negocios tradicionales pasan a formar parte de la gran red de redes a nivel mundial. (RODRÍGUEZ).
Es la aplicación de técnicas científicas y analíticas especializadas a infraestructuras tecnológicas que permiten realizar los procesos de preservación, colección, análisis y presentación de evidencia digital, de acuerdo a procedimientos técnico-legales preestablecidos, como apoyo a la administración de justicia en la resolución de un caso legal. Por lo tanto, cuando se sufre un delito tecnológico es necesario neutralizarlo, saber cómo se ha perpetrado la vulnerabilidad, el alcance realizado y prevenir futuros ataques mediante el uso de técnicas, programas y herramientas forenses que determinen de manera infalible la evidencia legal. Su misión es auxiliar a los abogados, fiscales y jueces a identificar, preservar y analizar datos almacenados en medios magnéticos y transacciones electrónicas en un litigio judicial o extrajudicial. (Ariza, A., J. Cano, J. Ruíz, 2009). Es la respuesta a vulneraciones en el uso que empleados y extraños hacen de tus sistemas de información. (Alto Nivel, 2010).
Todo delito informático es penado bajo ley. La información respaldada mediante seguridad no debe ser violentada; sin embargo, pasan los años ésta se vuelve más susceptible a tal punto de que es forzada, robada, alterada y manipulada, es de ahí donde surge la Informática Forense que viene a constituirse un amparo para que quienes violenten la información sean procesados legalmente a través de procesos de Informática Forense.
¿Qué es el análisis Forense?
El análisis forense en un sistema informático es una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este análisis puede determinar quién, desde dónde, cómo, cuándo y qué acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad. (Helena Rifà Pous, Jordi Serra Ruiz, José Luis Rivas López , 2009).
El análisis forense informático se deriva del peritaje y cabe recalcar que son dos conceptos diferentes. Mediante el peritaje se buscan evidencias, pruebas y se efectúa en base a procedimientos técnicos y científicos que conforman el análisis informático. En la seguridad informática es importante tener en cuenta que la posibilidad de ver ciertos datos no significa necesariamente que esta exista en verdad; de acuerdo con esto, se puede asegurar que toda información puede provenir de muchos otros sitios (Hidalgo Cajo, 2014). El Análisis Forense Digital es un campo de investigación excitante y dinámico que tiene cada vez más un poderoso impacto en una variedad de situaciones, incluyendo ambientes corporativos, investigaciones internas, litigación civil, investigaciones criminales, investigaciones de inteligencia, e incluso asuntos de seguridad nacional. (Ariza, A., J. Cano, J. Ruíz, 2009). El Análisis Forense es utilizado para obtener detalles del robo de información a través me procedimientos técnicos y científicos. Todo esto se involucra en todas las áreas de un País donde se haya cometido delito informático.
Perito Judicial o Perito Forense
Es el profesional dotado de conocimientos especializados y reconocidos a través de sus estudios que suministra información u opinión con fundamentos a los tribunales de justicia, sobre cuestiones relacionadas con sus conocimientos en caso de ser requeridos como expertos. (Sánchez Cordero, 2014). Un perito judicial es un profesional con conocimientos profundos y reconocidos oficialmente en una materia y que, en virtud de ellos, suministra información al juez, a los magistrados, a los fiscales y a los abogados sobre los puntos en litigio que son materia de los juicios que se desarrollan ( (Perito Judiciales, s.f.)
Cuáles son los objetivos de la informática forense
Prevenir, lo que permite a empresas y profesionales a auditar gracias a diferentes pruebas técnicas, que los mecanismos de protección que haya instalados en los equipos informáticos y también sobre las condiciones y estrategias de seguridad con las que cuenta la empresa. Detectar las posibles vulnerabilidades de seguridad que pueda haber en los equipos informáticos con el objetivo de corregirlas en caso de ser detectadas. Un experto en este campo podrá redactar las pautas acerca del uso de los sistemas informáticos para poder mantener la máxima seguridad en cada uno de sus equipos y evitar que pueda haber cualquier compromiso que pueda dejar expuestos datos o cualquier otra información de valor.
En caso de que la seguridad de la empresa haya sufrido una brecha, un informático forense tiene otra misión, la de recopilar toda la información y evidencias necesarias para poder averiguar cuál es el origen del ataque o qué ha podido pasar para que se haya producido este suceso. Para poder llevar a cabo esto, una empresa debe contar o con un equipo multidisciplinar de profesionales encargados de diferentes áreas o un experto informático especializado en informática forense, quien estará al tanto de las últimas tendencias de su sector. (OnRetrieval, 2018)
Según (Isabel), plantea los siguientes objetivos para la Informática Forense:
Finalidad preventiva, en primer término. Como medida preventiva sirve a las empresas para auditar, mediante la práctica de diversas pruebas técnicas, que los mecanismos de protección instalados y las condiciones de seguridad aplicadas a los sistemas de información son suficientes. Asimismo, permite detectar las vulnerabilidades de seguridad con el fin de corregirlas. Cuestión que pasa por redactar y elaborar las oportunas políticas sobre uso de los sistemas de información facilitados a los empleados para no atentar contra el derecho a la intimidad de esas personas. Por otro lado, cuando la seguridad de la empresa ya ha sido vulnerada, la informática forense permite recoger rastros probatorios para averiguar, siguiendo las evidencias electrónicas, el origen del ataque (si es una vulneración externa de la seguridad) o las posibles alteraciones, manipulaciones, fugas o destrucciones de datos a nivel interno de la empresa para determinar las actividades realizadas desde uno o varios equipos concretos.
¿Qué finalidad busca la informática forense?
Básicamente la importancia de la informática forense radica en identificar y determinar los perjuicios generados por el ataque(s) al que ha sido víctima una organización en particular. El poder cuantificar el nivel de daño recibido, e incluso, identificando a los responsables del crimen, se puede elevar la situación ante las autoridades respectivas como se mencionó anteriormente, con el fin de buscar justicia y que los responsables tengan su pena correspondiente al delito cometido. Posteriormente, y aprovechando la experiencia acumulada en ataques recibidos, es posible generar información que sirva como un historial para tomar acciones preventivas en un futuro. Al utilizar la informática forense es posible investigar (incluso cuando Internet permite el anonimato y el uso de nombres falsos) quién es el dueño de algún sitio Web, quiénes son los autores de determinados artículos y otros documentos enviados a través de alguna red o publicados en la misma. El rastreo que se realiza trata de indagar quién es y cómo es que realizó el ataque o cualquier otra acción ilícita. Además, es posible buscar atacantes externos de sistemas e inclusive casos donde se ha determinado el contagio de virus.
Son igualmente investigables las modificaciones, alteraciones y otros manejos dolosos de bases de datos de redes internas o externas. Por supuesto, para realizar esta tarea se debe poseer un conocimiento sólido, por lo cual, normalmente quienes hacen de Informáticos forenses han realizado ataques anteriormente o conocen el uso de herramientas, dispositivos y software de incursión en redes, por lo que tienen una idea de las posibles intrusiones por parte de terceros en un sistema.
La destrucción de datos y la manipulación de los mismos también pueden rastrearse. Los hábitos de los usuarios de los computadores y las actividades realizadas pueden ayudar a la reconstrucción de hechos, siendo posible saber de todas las actividades realizadas en un computador determinado. El objetivo de un análisis forense informático es realizar un proceso de búsqueda detallada y minuciosa para reconstruir a través de todos los medios el log(registro) de acontecimientos que tuvieron lugar desde el mismo instante cuando el sistema estuvo en su estado integro hasta el momento de detección de un estado comprometedor. Recordemos que los archivos informáticos pueden guardar información sobre su autor, la compañía, fecha, hora, entre otros datos que en el caso jurídico son de gran interés. Esta información resulta desconocida para una gran mayoría de usuarios, lo que permite determinar en algunos casos.
Dónde encontrar evidencia informática.
Confiscar artículos que se detallan en la orden de cateo.
Computadoras, laptops, equipo de red (conectores e interruptores).o
Periféricos: CDR, DVD-R, cámaras digitales, PDA.
Medios externos: CD, diskettes, memorias USB.
Notas en papel, documentos y manuales, notas autoadheribles.
Antes de moverlo, documente el equipo y los periféricos.
Fotografías digitales, diagramas
La IOCE (International Organization On Computer Evidence) define los siguientes cinco puntos como los principios para el manejo y recolección de evidencia computacional:
1. Sobre recolectar evidencia digital, las acciones tomadas no deben cambiar por ningún motivo esta evidencia.
2. Cuando es necesario que una persona tenga acceso a evidencia digital original, esa persona debe ser un profesional forense.
3. Toda la actividad referente a la recolección, el acceso, almacenamiento o a la transferencia de la evidencia digital, debe ser documentada completamente, preservada y disponible para la revisión.
4. Un individuo es responsable de todas las acciones tomadas con respecto a la evidencia digital mientras que ésta esté en su posesión.
5. Cualquier agencia que sea responsable de recolectar, tener acceso, almacenar o transferir evidencia digital es responsable de cumplir con estos principios.
DISPOSITIVOS A ANALIZAR EN EL CF
La infraestructura informática a ser analizada es toda aquella que tenga una memoria (informática), por lo que se pueden considerar los siguientes dispositivos( (Análisis documental del Cómputo Forense y su situación en México):
Disco duro de una Computadora o Servidor ----- Documentación referida del caso
Logs de seguridad ----- Información de Firewalls
IP, redes ----- Software de monitoreo y seguridad
Credenciales de autentificación ----- Trazo de paquetes de red
Teléfono Móvil o Celular ----- Agendas Electrónicas (PDA)
Dispositivos de GPS ----- Impresora
Memoria USB ----- Discusión de resultados
El cómputo forense lleva a cabo una serie de etapas para recabar la o las evidencias que permitan esclarecer algún hecho, son identificación, preservación, análisis y presentación se detallan de la siguiente manera (CANO, Estado del arte del peritaje Informático, 2009):
- Identificación: Es muy importante conocer los antecedentes, situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y la estrategia de investigación. Incluye muchas veces la identificación del bien informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia), la revisión del entorno legal que protege el bien y del apoyo para la toma de decisión con respecto al siguiente paso una vez revisados los resultados.
- Preservación: Este paso incluye la revisión y generación de las imágenes forenses de la evidencia electrónica para poder realizar el análisis. Dicha duplicación se realiza utilizando tecnología de punta para poder mantener la integridad de la evidencia y la cadena de custodia que se requiere. Al realizar una imagen forense, se refiere al proceso que se requiere para generar una copia “bit-a-bit” de todo el disco, el cual permite recuperar en el siguiente paso, toda la Análisis documental del Cómputo Forense y su situación en México Página 26 información contenida y borrada del disco duro. Para evitar la contaminación del disco duro, normalmente se ocupan bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura con el disco, lo que provocaría una alteración no deseada en los medios.
- Análisis: Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca, modelo), búsqueda de archivos específicos, recuperación e identificación de correos electrónicos, recuperación de los últimos sitios visitados, recuperación del caché del navegador de Internet, entre otros.
- Presentación: Es el recopilar toda la información que se obtuvo a partir del análisis para realizar el reporte y la presentación a los abogados, la generación (si es el caso) de un peritaje y de su correcta interpretación sin hacer uso de tecnicismos.
Herramientas
El Dr. Jeimy (Cano, 2006), menciona que las herramientas que utilizan los peritos forenses en materia de cómputo para dar con los intrusos y saber a ciencia cierta qué hicieron en el sistema, se han desarrollado al paso del tiempo para que ayuden en cuestiones de velocidad y faciliten identificar lo que realmente le pasó al sistema y qué es lo que le puede suceder; por otro lado, se han desarrollado herramientas bastantes sofisticadas en contra de los análisis forenses (herramientas y técnicas que intentan no dejar rastros, camuflarlos o borrarlos, de tal manera que se dificulte una posterior investigación). El personal que labora en la informática forense debe poseer sólidos conocimientos técnicos y prácticos y conocer las herramientas de uso, estar al día en bugs (vulnerabilidades) de sistemas (sistemas operativos, software y hardware).
Clasificación de las herramientas de la Informática Forense
Actualmente existen cientos de herramientas las cuales se pueden clasificar de la siguiente manera (Información de Tecnología, 2012):
A) Herramientas para la Recolección de Evidencia
Herramientas de recolección de evidencias (López, 2001)
Fig.1: Herramientas de recolección de evidencias.
Fuente: Lopez,2001
Fig.2: Herramientas de recolección de evidencias.
Fuente: Lopez,2001
Herramientas para el Monitoreo y/o Control de Computadoras (López et al., 2001)
Fig.3: Herramientas de Monitoreo
Fuente: Lopez,2001
Herramientas de Marcado de documentos
Fig. 4: Herramientas de Monitoreo
Fuente: Lopez,2001
Fig.5: Herramientas de Monitoreo 
Fuente: Lopez,2001
Herramienta EnCase
Como caso específico se hace referencia a la herramienta EnCase porque es la más utilizada por un informático forense durante un análisis forense. El análisis con esta herramienta permite analizar cualquier dispositivo electrónico como disco duro, memoria de celular, memoria USB, es decir todo aquello que pueda almacenar información importante para detectar alguna anomalía y así encontrar una evidencia. La herramienta EnCase es desarrollada por Guidance Software Inc., permite asistir al especialista forense durante el análisis de un crimen digital, es una herramienta de software líder en el mercado, es el producto más ampliamente difundido y de mayor uso en el campo del análisis forense (Xombra, 2012). Sus principales características son:
Copiado comprimido de discos fuente: EnCase emplea un estándar sin pérdida (loss-less) para crear copias comprimidas de los discos origen, los archivos comprimidos resultantes pueden ser analizados, buscados y verificados, de manera semejante a los normales (originales). Esta característica ahorra cantidades importantes de espacio en el disco de la computadora del laboratorio forense, permitiendo trabajar en una gran diversidad de casos al mismo tiempo, examinando la evidencia y buscando otra evidencia.
Búsqueda y análisis de múltiples partes de archivos adquiridos: Permite al examinador buscar y analizar múltiples partes de la evidencia, muchos investigadores involucran una gran cantidad de discos duros, discos extraíbles, discos “zip” y otros tipos de dispositivos de almacenamiento de la información con EnCase, el examinador puede buscar todos los datos involucrados en un caso en un solo paso. La evidencia se clasifica, si está comprimida o no y puede ser colocada en un disco duro y ser examinada por el especialista. En varios casos la evidencia puede ser ensamblada en un disco duro grande o un servidor de red.
Diferente capacidad de almacenamiento: Los datos pueden ser colocados en diferentes unidades, como discos duros IDE o SCSI, drives ZIP y Jazz. Los archivos pertenecientes a la evidencia pueden ser comprimidos o guardados en CD-ROM manteniendo su integridad forense intacta, estos archivos pueden ser utilizados directamente desde el CD-ROM evitando costos, recursos y tiempo de los especialistas.
Varios campos de ordenamiento: EnCase permite al especialista ordenar los archivos de la evidencia de acuerdo a diferentes campos, incluyendo campos como las tres estampillas de tiempo (cuándo se creó, último acceso, última escritura), nombres de los archivos, firma de los archivos y extensiones.
Análisis compuesto del documento: Permite la recuperación de archivos internos y meta-datos con la opción de montar directorios como un sistema virtual para la visualización de la estructura de estos directorios y sus archivos, incluyendo el slack interno y los datos del espacio unallocated.
Búsqueda automática y análisis de archivos de tipo zip y attachments de e-mail. firmas de archivos, identificación y análisis: La mayoría de las gráficas y de los archivos de texto comunes contienen una pequeña cantidad de bytes en el comienzo del sector los cuales constituyen una firma del archivo. EnCase verifica esta firma para cada archivo contra una lista de firmas conocida de extensiones de archivos. Si existe alguna discrepancia, como en el caso de que un sospechoso haya escondido un archivo o simplemente lo haya renombrado, EnCase detecta automáticamente la identidad del archivo e incluye en sus resultados un nuevo ítem con la bandera de firma descubierta, permitiendo al investigador darse cuenta de este detalle.
Análisis electrónico del rastro de intervención: Son sellos de fecha, sellos de hora, registro de accesos y la actividad de comportamiento reciclado son a menudo puntos críticos de una investigación por computadora. EnCase proporciona los únicos medios prácticos de recuperar y de documentar esta información de una manera no invasora y eficiente con la característica de ordenamiento, el análisis del contenido de archivos y la interfaz de EnCase, virtualmente toda la información necesitada para un análisis de rastros se puede proporcionar en segundos.
Soporte de múltiples sistemas de archivo: EnCase reconstruye los sistemas de archivos forenses en DOS, Windows (todas las versiones), Macintosh (MFS, HFS, HFS+), Linux, UNIX (Sun, Open BSD), CD-ROM, y los sistemas de archivos DVDR. Con EnCase un investigador va a ser capaz de ver, buscar y ordenar archivos desde estos discos concurridos con otros formatos en la misma investigación de una manera totalmente limpia y clara. EnCase provee una interfaz tipo Explorador de Windows y una vista del Disco Duro de origen, también permite ver los archivos borrados y todos los datos en el espacio (Unallocated). También muestra el Slack File con un color rojo después de terminar el espacio ocupado por el archivo dentro del cluster, permitiendo al investigador examinar inmediatamente y determinar cuándo el archivo reescrito fue creado. Los archivos Swap y Print Spooler son mostrados con sus estampillas de datos para ordenar y revisar.
Integración de Reportes: EnCase genera el reporte del proceso de la investigación forense como un estimado. En este documento realiza un análisis y una búsqueda de resultados, en donde se muestra el caso incluido, la evidencia relevante, los comentarios del investigador, favoritos, imágenes recuperadas, criterios de búsqueda y tiempo en el que se realizaron las búsquedas.
Visualizador integrado de imágenes con galería: EnCase ofrece una vista completamente integrada que localiza automáticamente, extrae y despliega muchos archivos de imágenes como .gif y .jpg del disco. Seleccionando la "Vista de Galería" despliega muchos formatos de imágenes conocidas, incluyendo imágenes eliminadas, en el caso de una vista pequeña. El examinador puede después escoger las imágenes relevantes al caso e inmediatamente integrar todas las imágenes en el reporte de EnCase. No es necesario ver los archivos gráficos usando software de terceros, a menos que el formato de archivo no sea muy conocido y todavía no sea soportado por EnCase.
Futuro
La IF es un desafío interdisciplinario que requiere un estudio detallado de la tecnología, los procesos y los individuos que permitan la conformación de un cuerpo de conocimiento formal, científico y legal para el ejercicio de una disciplina que apoye directamente la administración de la justicia y el esclarecimiento de los hechos alrededor de los incidentes o fraudes en las organizaciones. En este sentido, se tienen agendas de investigación a corto y mediano plazo para que se avancen en temas de especial interés en la conformación y fortalecimiento de las ciencias forenses aplicadas a los medios informáticos (CANO, Introducción a la Informática Forense, 2006).
La informática Forense resalta beneficios al aplicarse su uso:
Disminución de pérdidas, tanto económicas como humanas.
La empresa gana en imagen y reputación.
Optimización de los recursos.
Continuidad de negocio.
Cumplimiento de la normatividad legal.
Efectividad en el cumplimiento de los objetivos estratégicos de la compañía.
Generación de cultura preventiva.
Ambiente de control.
En el mismo nivel se encuentran ventajas que permiten ampararse en evidencias incriminatorias; las cuales serán el respaldo para la empresa. Con la aplicación de ésta en las computadoras, les respalda para disminuir costos por reclamos amparados en situaciones no legales y descubiertas a través de la IF. En la parte corporativa sustenta a la empresa por el robo de la información o confidencial, o en una suplantación de marca.
DISCUSIÓN
“La Informática Forense presenta alternativas efectivas para la identificación de caos de la manipulación de la información digital”, como se ha demostrado, la fundamentación teórica es efectiva para la identificar la manipulación digital. Las herramientas narradas permiten dicho análisis
Este artículo de revisión se desarrolló en base a un estudio literal detallado en el apartado anterior; se consideró la calidad del documento en base a la aportación científica que se cita en este trabajo. El objetivo de éste estudio fue realizar una revisión literaria sobre la informática forense, la cual permitió conocer programas que permiten identificar los delitos informáticos, y cuáles son los que más se usan según la naturaleza del delito. Detalla, hace análisis de dispositivos y proporciona alternativas para ser evaluadas y ejecutadas a través de herramientas disponibles.
Los dispositivos siguen siendo el objetivo de ataques en vista que están expuestos a todo tipo de delitos informáticos, actualmente se han incrementado robos, alteraciones y fraudes a raíz de la pandemia del covid – 19, sin embargo, si los escudos de los firewalls o antivirus no se actualizan con frecuencias o se aplican políticas de seguridad, los ataques serán progresivamente mas agudos.
Se presentó varias herramientas de IF, entre ellas por ejemplo, las Herramientas de recolección de evidencias (López, 2001) Forensis kits que permite analizar evidencias de archivos y volúmenes de datos, usada en windows y gratis para su posterior uso. Herramientas para el Monitoreo y/o Control de Computadoras (López et al., 2001), que son gratis y permiten recuperar archivos que han sido borrados con intenciones de perjudicar a una persona. Herramientas Endcase que es utilizada para el análisis forense, que permite analizar cualquier dispositivo electrónico como disco duro, memoria de celular, memoria USB, es decir todo aquello que pueda almacenar información importante para detectar alguna anomalía y así encontrar una evidencia. A medida que avanzan los años, crece la tecnología y estamos más expuestos a fraudes informáticos, sin embargo se presentan alternativas de las cuales algunas son pagadas y otras gratuitas, que permiten experimentarnos y obtener resultados calificados que pueden ser aplicados como medio de prueba o en las empresas donde podemos desenvolvernos profesionalmente.
CONCLUSIONES
- La Informática Forense es importante porque se obtienen evidencias necesarias sobre un fraude informático. Las mismas que resultan de gran relevancia para resolver casos de delitos informáticos, constituyéndose una realidad indispensable y primordial.
- Los dispositivos a analizar y que fueron mencionados en esta investigación, son de gran importancia porque sirven para guiar un hecho que acontecido y que debe ser investigado para su posterior proceso.
- Se respalda el proceso del análisis forense a través de herramientas que son útiles para inducirnos en este proceso; las mismas que sirven de guía sin dañar o alterar todo lo que será analizado por medio de ellas.
- La Informática Forense incluso al final de una investigación es base que respalda el planteamiento de recomendaciones, ya que permite establecer los principales controles y seguridades que deben implementarse en la empresa u organización e incluso en el hogar.
BIBLIOGRAFÍA
(s.f.). Obtenido de http://www.informaticaforense.com.ar/informatica_forense.htm
Altamiranda, J., Aguilar, J., & Hernandez, L. (2015). Sistema de reconocimiento de patrones de sustancias químicas cerebrales basado en minería de datos. Computación y Sistemas, 19(1), 89-107. doi:10.13053/CyS-19-1-1409
Alto Nivel. (23 de 11 de 2010). Recuperado el 08 de 11 de 2019, de https://www.altonivel.com.mx/tecnologia/7102-que-es-la-informatica-forense/
Análisis documental del Cómputo Forense y su situación en México. (s.f.). ANTECEDENTES Y TERMINOLOGÍA DEL CÓMPUTO FORENSE (CF) O INFORMÁTICA FORENSE (IF).
AREITO.G. (2013).
Argudín. (2005). Educación basada en competencias: nociones y antecedentes. México Trillas.
Arias, F. G. (2012). El Proyecto de Investigación. Introducción a la metodología Científica. Caracas: EPISTEME S.A.
Ariza, A., J. Cano, J. Ruíz. (2009). iPhone 3G: Un nuevo reto para la informática forense.
Baeza-Yates, R. (209). Tendencias en minería de datos de la Web. (U. P. Valencia, Ed.) El profesional de la información, 18(1), 5-10. doi:10.3145/epi.2009.ene.01
Benjumea, M. (2010). La motricidad como dimensión humana -un abordaje transdiciplinar-. Barcelona: Instituto Internacional del Saber.
Bishop, J. V. (2013). The Flipped Clasroom: A Survey of a Research. Paper presented at the ASEE Anual Conference & Exposition.
CANO. (2006). Introducción a la Informática Forense. Revista ACIS.
CANO. (2009). Estado del arte del peritaje Informático.
Cano, D. J. (2006). Introducción a la Informática Forense. Revista ACIS.
Carmena, G., Cerdán, J., Ferrandis, A., & Vera, J. (1998). Niveles de desarrollo de la población infantil al acceder al ciclo inicial. Madrid: Ministerio de Educación y Ciencia.
Carrasco Ochoa, J. A., & Martínez Trinidad, J. F. (2011). Reconocimeinto de patrones. Komputer Sapiens, II, 5-32. Obtenido de http://smia.mx/komputersapiens/index.php?option=com_content&view=article&id=72&Itemid=84
Constituyente, A. (20 de Octubre de 2008). Constitución del Ecuador. Registro Oficial.
Correa Delgado, R. (26 de Julio de 2012). Reglamento General a la Ley Organica de Educación Intercultural. Quito: Registro Oficial.
Darahugue y Arellano. (2016). Manual de Informática Forense III. Buenos Aires: ERREPAR S.A.
De la Pineda, J. A. (2012). Educación, Axiología y Utopía. Oviedo: Universidad de Oviedo.
Descamps Vila, L., Casas, J., Conesa, J., & Pérez Navarro, A. (2012). Problemas en la implementación de algoritmos. VI Jornadas de SIG Libre 2012. Girona.
Duran, E., & Costaguta, R. (2007). Mineria de datos para descubrir estilos de aprendizaje. Revista Iberoamericana de Educación(42), 1-10. Obtenido de https://rieoei.org/historico/deloslectores/1674Duran.pdf
Febles Rodríguez, J. P., & González Pérez, A. (2002). Aplicación de la minería de datos en la bioinformática. ACIMED, 10(2), 69-76. Obtenido de http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S1024-94352002000200003&lng=es&nrm=iso
Frankl, V. (1991). El hombre en busca de sentido. Barcelona: Herder.
Giacomonte, J., Abásolo, M. J., Bria, O., Cristina, F., Dapoto, S., Artola, V., . . . Naiouf, M. (2012). sistema de visión automática y reconocimeinto de patrones interfaces avanzadass, realidad viertual y aumentada. En R. d. (RedUNCI) (Ed.). (págs. 373-377). La Plata - Argentina: XIV Workshop de Investigadores en Ciencias de la Computación. Obtenido de http://sedici.unlp.edu.ar/handle/10915/18859
Helena Rifà Pous, Jordi Serra Ruiz, José Luis Rivas López . (2009). Análisis forense de sistemas informáticos. Barcelona.
Hidalgo Cajo, I. (2014). Análisis Preliminar y diseño de una Herramienta de toma de decisiones como soporte para las tareas de Análisis Informático Forense. Tarragona.
Información de Tecnología. (17 de 09 de 2012). Obtenido de http://www.nist.gov/itl/
Isabel, S. M. (s.f.). Informática Forense. Bolivia.
Johnson, D., & Johnson, R. (1999). El aprendizaje cooperativo en el aula. New York: Johnson Holubec.
Klenzi, R. O., Malberti, M. A., & Beguerí, G. E. (2018). Visualización en un entorno de minería de datos desde una perspectiva interacción humeno computador. Computación y Sistemas, 22(1), 279-290. doi:10.13053/CyS-22-1-2558
Koettgen L, S. S. (2014). Flipped classroom on top –excellent teaching through a method-mix. 8th International Technology,Education & Development Conference. Valencia, Spain.
López, O. H. (2001). Informática Forense: Generalidades, aspectos técnicos y Herramientas. Colombia, Colombia.
Marcano Aular, Y. J., & Rosalba, T. P. (2007). Minería de datos como soporte a la toma de decisiones empresariales. Opción, 23(52), 104-118. Obtenido de http://www.redalyc.org/articulo.oa?id=31005208
Martínez Luna, G. L. (2011). Minerí de datos: Como hallar una aguja en un pajar. Ingenierías, XIV(53), 55-63. Obtenido de http://www.ingenierias.uanl.mx/53/53_Mineria.pdf
Moine, J. M., Haedo, A. S., & Gordillo, S. E. (2011). Estudio comparativo de metodologías para minería de datos. XIII Workshop de Investigadores en Ciencias de la Computación (págs. 278-281). La Plata: Red de Universidades con Carreras en Informática (RedUNCI). Obtenido de http://creativecommons.org/licenses/by-nc-sa/2.5/ar/
MORENO, O. (2017). TicALS - Educación y Tecnología a un solo Click. Clase invertida como estrategia didáctica para la enseñanza de la multiplicación en grado tercero, 7.
Nuevo, M. (2013). guiainfantil.com. Obtenido de Desarrollo de la psicomotricidad fina: https://www.guiainfantil.com/1600/desarrollo-de-la-psicomotricidad-fina.html
OnRetrieval. (16 de 05 de 2018). OnRetrieval, especialistas en Recuperación de Datos, Informática Forense y Ciberseguridad. Obtenido de https://onretrieval.com/objetivos-de-la-informatica-forense/
Perito Judiciales. (s.f.). Obtenido de https://peritos.online/peritos-judiciales/perito-judicial-quien-es-a-que-se-dedica-y-para-que-sirve.html
Rivas, C. G. (2014). Metodología para un Análisis Forense. Cataluña - España.
RODRÍGUEZ, F. (s.f.). La informática forense: el rastro digital del crimen.
Sampieri, D. R. (2014). Metodología de la Investigación. México.
Sánchez Cordero, P. (2014). Análisis Forense Informático, Adquisición, Clonación. España.
Schneider, E. F. (2013). Sala de Aula Invertida em EAD: uma proposta de Blended Learning. Obtenido de Revista Intersaberes 8(16): www.grupouninter.com.br/intersaberes/index.php/revista/issue/view/77
Stanivukovic, D., & Randjelovic, D. (2016). Application of multiple criteria decision making in the selection of digital forensics software. Military Technical Courier.
Xombra. (04 de 09 de 2012). Cómputo Forense o Informática Forense.
1