¿QUÉ ES LA INFORMÁTICA FORENSE?

 ¿QUÉ ES LA INFORMÁTICA FORENSE? 

El término forense significa literalmente utilizar algún tipo de proceso científico establecido para la recopilación, análisis y presentación de la evidencia que se ha recopilado. Sin embargo, todas las formas de evidencia son importantes, especialmente cuando se ha producido un ataque cibernético.

Por lo tanto, una definición de informática forense se puede presentar de la siguiente manera:

Es la disciplina que combina los elementos del derecho y la informática para recopilar y analizar datos de sistemas informáticos, redes, comunicaciones inalámbricas y dispositivos de almacenamiento de una manera que sea admisible como prueba en un tribunal de justicia.

Obviamente, cuando se ha producido un ataque cibernético, la recopilación de todas las pruebas relevantes es de suma importancia para responder a las preguntas que se describieron anteriormente. Sin embargo, ten en cuenta que el investigador forense está particularmente interesado en una evidencia en particular, que se conoce específicamente como “datos latentes“.

En el mundo de la Ciberseguridad, este tipo de datos (también conocidos como “datos ambientales“) no se pueden ver ni acceder fácilmente a primera vista en la escena de un ataque cibernético. En otras palabras, se necesita un nivel mucho más profundo de investigación por parte del experto en informática forense para desenterrarlos.

Obviamente, estos datos tienen muchos usos, pero se implementaron de tal manera que el acceso a ellos ha sido extremadamente limitado.

Los ejemplos de datos latentes incluyen los siguientes:

Información que se encuentra en el almacenamiento del ordenador pero que no se menciona fácilmente en las tablas de asignación de archivos;

Información que el sistema operativo o las aplicaciones de software de uso común no pueden ver fácilmente;

Datos que se han eliminado deliberadamente y ahora se encuentran en:

Espacios no asignados en el disco duro;

Intercambiar archivos;

Imprimir archivos de cola de impresión;

Volcados de memoria;

El espacio flojo entre los archivos existentes y el caché temporal.

Objetivos del cómputo forense

En caso de que se haya producido una brecha de seguridad, estos son los objetivos esenciales del uso de la computación forense:

Ayuda a recuperar, analizar y preservar el ordenador y los materiales relacionados de tal manera que ayuda a la agencia de investigación a presentarlos como evidencia en un tribunal de justicia.

Ayuda a postular el motivo detrás del crimen y la identidad del principal culpable.

Diseñar procedimientos en una presunta escena del crimen que ayudan a garantizar que la evidencia digital obtenida no esté corrupta.

Adquisición y duplicación de datos: recuperación de archivos eliminados y particiones eliminadas de medios digitales para extraer la evidencia y validarlos.

Ayuda a identificar la evidencia rápidamente y también permite estimar el impacto potencial de la actividad maliciosa en la víctima

Producir un informe forense informático que ofrece un informe completo sobre el proceso de investigación.

Preservar la evidencia siguiendo la cadena de custodia.

Tipos de informática forense

Los principales tipos de informática forense son los siguientes:

De sistemas operativos

Es el proceso de recuperación de información útil del sistema operativo (SO) del ordenador o dispositivo móvil en cuestión. El objetivo de recopilar esta información es adquirir evidencia empírica contra el autor.

La comprensión de un sistema operativo y su sistema de archivos es necesaria para recuperar datos para investigaciones informáticas. El sistema de archivos proporciona un sistema operativo con una hoja de ruta para los datos en el disco duro. El sistema de archivos también identifica cómo el disco duro almacena los datos.

De redes

El análisis forense de la red se refiere a la recopilación, monitorización y análisis de las actividades de la red para descubrir la fuente de ataques, virus, intrusiones o violaciones de seguridad que ocurren en una red o en el tráfico de la red.

Como tal, el análisis forense de la red se considera junto con el análisis forense móvil o el análisis forense de imágenes digitales, como parte del análisis forense digital.

Por lo general, se usa cuando se trata de ataques a la red. En muchos casos, se usa para monitorizar una red para identificar proactivamente el tráfico sospechoso o un ataque inminente. Por otro lado, se utiliza para recopilar pruebas mediante el análisis de datos de tráfico de red para identificar la fuente de un ataque.