¿A qué Problemas se Enfrentan Los Examinadores Forenses Informáticos?

El estudio forense informático, en ocasiones conocido como informática forense, es llevado a cabo por examinadores capacitados que extraen datos (historiales de búsqueda, registros de compras, registros de tiempo y más) de dispositivos que incluyen, entre otros: pcs, tabletas y smartphones.

Después, tienen la posibilidad de buscar y examinar los datos, anterior a presentarlos de una forma que se logre comprender de forma sencilla a quienes pueden no estar familiarizados con la ciencia forense o la informática.

Los examinadores forenses informáticos se enfrentan a tres categorías principales de problemas: técnicos, legales y administrativos.

Problemas técnicos

Cifrado

Los datos cifrados tienen la posibilidad de ser imposibles de ver sin la clave o contraseña adecuada. Si la clave no está disponible o el dueño no la expone, puede almacenarse:

• En otra parte del computador;
• En otra PC a la que el sospechoso puede entrar;
• En la memoria volátil (RAM) del computador. Esto principalmente se pierde una vez que una PC se apaga.

Una vez que el cifrado puede estar presente, el examinador puede necesitar tener en cuenta la utilización de las técnicas de “adquisición en vivo” descritas previamente.

Aumento del espacio de almacenamiento

Los medios de almacenamiento tienen dentro cantidades cada vez más grandes de datos, por lo cual las pcs de estudio del examinador requieren suficiente poder de procesamiento y capacidad de almacenamiento disponible para buscar y examinar gigantes cantidades de datos de forma eficiente.

Novedosas tecnologías

La informática es un campo en continua evolución, con nuevos hardware, programas y sistemas operativos que emergen una y otra vez. Ningún examinador forense informático podría ser un experto en cada una de las áreas, aunque siempre se espera que analicen cosas que no han encontrado previamente.

Esto quiere decir que los examinadores forenses informáticos tienen que estar preparados y ser capaces de experimentar con novedosas tecnologías.

En este punto, la construcción de redes y el intercambio de conocimientos con otros examinadores forenses informáticos resulta eficaz, ya que es posible que alguien más ya se haya encontrado con el mismo problema.

Anti-forense

Es la práctica de intentar frustrar la exploración forense informática por medio del cifrado, sobrescribiendo datos para hacerlos irrecuperables, modificando los metadatos de los archivos y ofuscando archivos (disfrazarlos).

Al igual que con el cifrado, la prueba de que se han usado estos procedimientos puede almacenarse en otro sitio del computador o en otra PC a la que el sospechoso logre entrar.

Es bastante raro ver que los instrumentos antiforenses se utilicen de manera correcta y con la suficiente frecuencia como para oscurecer plenamente su presencia o la existencia de la prueba que se utilizaron para esconder.

Asuntos legales

Dominios legislativos

Los datos generalmente no se almacenan en la computadora de una persona, sino en pcs remotas en las que alquilan espacio de almacenamiento, además conocido como la “nube”.

Dichos datos tienen la posibilidad de estar en un país distinto, lo que supone que el acceso a ellos podría involucrar una legislación distinta. Y si la entrada es posible, podría ser difícil y costosa.

Argumentos legales

Los asuntos legales tienen la posibilidad de confundir o distraer la atención de los hallazgos de un examinador de pcs.

Un troyano es un fragmento de código informático disfrazado de algo bueno, que sin embargo tiene un objetivo escondido y maligno. Los troyanos tienen varios usos, como el registro de claves, la carga o descarga de archivos y la instalación de virus.

Un abogado puede argumentar que las actividades en una PC no fueron llevadas a cabo por un cliente, sino que fueron automatizadas por un troyano sin el razonamiento del cliente.

Esta clase de protección contra troyanos se ha usado exitosamente inclusive una vez que no se localizó ningún rastro de un troyano u otro código maligno en la PC del sospechoso.

En tales casos, un abogado competente que se oponga y que cuente con pruebas de un analista forense informático competente debe poder desestimar el argumento. Un buen examinador habrá reconocido y abordado los posibles argumentos de la ‘contraposición’ a lo largo de los periodos de estudio y redacción de su informe.

Problemas administrativos

Reglas aceptadas

Hay toda clase de reglas y directrices en informática forense, pocas de las cuales son universalmente aceptadas. Las razones para esto incluyen:

• Los organismos de normalización tienen la posibilidad de vincularse a legislaciones particulares;
• Los estándares permanecen dirigidos a la aplicación de la ley o al estudio forense comercial, sin embargo no a los dos;
• Los autores de estos estándares no son aceptados por sus pares;
• Las altas tarifas de inscripción para los organismos expertos tienen la posibilidad de desalentar a los expertos

Apto para ejercer

Muchas jurisdicciones no tienen un organismo calificador para revisar la competencia e integridad de los expertos de informática forense.

Esto quiere decir que cualquier persona puede manifestarse como experto en informática forense, lo que paralelamente puede producir tests de mala calidad y una perspectiva negativa de la profesión en su grupo.

Para quienes estén interesados en hacer informática forense, recomendamos el curso de Informática Forense de Comunidad Reparando.