PremiumEl computer forencsis: Una actividad Emergente
El computer forencsis: Una actividad Emergente
1.- ¿Qué es COMPUTER FORENSICS?
Podemo definirlo como aquel proceso computer forensics: proceso dirigido a identificar, analizar y preservar evidencias y recursos digitales, de manera que sean eficaces en el entorno judicial.
COMPUTER FORENSICS engloba la PRESERVACIÓN, IDENTIFICACIÓN, EXTRACCIÓN Y RESPALDO DOCUMENTAL de la EVIDENCIA EN ENTORNOS VIRTUALES, almacenada en forma electrónica y normalmente codificada (datos). En el pasado lo normal era que la evidencia virtual se creara de modo transparente por los sistemas operativos de las computadoras y sin explicitar conocimiento por parte del operador. Actualmente la información puede ser escondida (ocultada) y por eso las herramientas de software del Computer Forensics. son necesarias para identificar, preservar, extractar y documentar la EVIDENCIA VIRTUAL. Es también la clase de información que beneficia a las Agencias Gubernamentales y a las Agencias Militares en sus investigaciones.
Las herramientas de software de Computer Forensics pueden ser usadas para:
– identificar passwords
– log-ins de redes digitalizadas
– cualquier información que sea automáticamente transferida a soportes externos (floppy, diskettes por ejemplo)
– identificar copias de respaldo
– asociar un determinado archivo a un determinado ordenador
Las fuentes y tipos de información digitalizada objeto del análisis Computer Forensics (según el criterio de Todd N. Thompson en su trabajo «The paper trail has gone digital´´.Journal of the Kansas Bar Association, marzo 2002) son los siguientes:
– Datos en proceso.
– Datos en copias de respaldo y seguridad.
– Book marks.
– Archivos caché.
– Cookies.
– Embedded Data: Información que existe en el sistema pero que no aparece en pantalla.
– Legacy Data: información legal y procesal.
– Copias de seguridad.
– Datos residuales.
2.- Naturaleza y estructura
Ver cuadro en pagina-
3.- La prueba pericial en el ámbito de las TICíS
Uno de los problemas para su aplicación práctica consiste en la determinación de las circunstancias subjetivas y objetivas que la configuran. A modo de ejemplo citamos los siguientes puntos de necesaria concreción:
– ALCANCE TECNICO DE LA PRUEBA.
– MULTIDISCIPLINAS PARTICIPANTES.
– PROFESIONAL O EQUIPO DE PROFESIONALES ACTUANTE.
En los U.S.A y dentro de su especial conformación legal, procesal y judicial se viene desarrollando en los últimos años un modelo que integra tres vectores fundamentales: Seguridad, Derecho y Nuevas Tecnologías. Los americanos lo bautizan todo y a este nuevo modelo para plantear y resolver problemas lo denominan COMPUTER FORENSICS (C.F.) y en síntesis se trata de una estandarización para aplicar en la práctica con éxito, la convivencia positiva de los tres vectores antes citados.
A modo de ejemplo podríamos citar la enorme problemática que presenta en la práctica la evacuación de una «Prueba Pericial´´ en el ámbito TICíS, sea cual sea la instancia jurisdiccional en que se pretenda practicar. La dificultad principal se deriva de la naturaleza interdisciplinar y globalizadora de los entornos tecnológicos; las interacciones son constantes, las repercusiones imprevisibles, la desubicación espacial, etc. etc. Todo ello dificulta «prima facie´´ las siguientes consideraciones jurídicas, entre otras:
– Foro aplicable.
– Ley aplicable.
– Instancia judicial; penal, civil, administrativa.
– Naturaleza jurídica del litigio.
– Naturaleza de la prueba pericial.
– La evidencia en el plano virtual.
Si las diferentes instancias judiciales dispusieran de expertos, o de equipos de expertos, capaces de desenvolverse con soltura en un modelo metodológico como el descrito, serían capaces de responder acertada y eficazmente con éxito a todos los interrogantes expuestos antes y otros omitidos.
4.- Tareas durante una Computer forensics audit.
Ya hemos expuesto que el objetivo del Computer Forensics es la conformación de la EVIDENCIA y por su transcendencia vale la pena detenerse en este concepto dentro de un entorno TICís. Como consecuencia del proceso de datos, las modernas computadoras almacenan enormes cantidades de información ya sea en el sistema en Red (Internet) o en el disco duro. Mucha de esa información es almacenada sin que el usuario sea consciente de su existencia. Esta información puede estar almacenada en ficheros configurados o en el propio sistema para poder desarrollar una determinada tarea. Acceder a esta información para conformar la EVIDENCIA puede ser la diferencia entre sospechar lo que ha pasado y conocer lo que ha pasado con un alto nivel de certeza para su aplicación, en nuestro caso, a un procedimiento judicial.
Las tareás básicas de una Computer Forensics audit. son:
a) Salvaguardar y preservar sin alteración alguna la información digitalizada.
b) Procesar los datos y establecer copias de seguridad y respaldo.
c) Analizar los datos (información).
d) Extender un informe con lo verificado y conclusiones.
¡reas de obligado cumplimiento del profesional en Computer Forensics (Conocimiento transversal).
– TECNOLOGÍA.
– JURÍDICA Y LEGAL.
– TECNICAS DE REVISIÓN E INVESTIGACIÓN.
5.- Una profesión emergente
Esta actividad no puede ser realizada ni por los integrantes del Servicio Corporativo de Seguridad ni por el personal de Sistemas de Información; por carecer de suficiente formación y conocimiento en las tres áreas antes citadas. Se debe recurrir a empresas independientes con personal solvente en las referidas tres áreas y sometidas a un rígido Código de Ética Profesional, esto último con una triple finalidad:
a) No fabricar evidencias intencionadamente o por error.
b) No destruir evidencias intencionadamente o por error.
c) Guardar secreto profesional de sus conocimientos adquiridos bajo un encargo profesional
Por lo expuesto hasta ahora se deduce que Computer.Forensics es un nuevo ámbito de contenidos transversales, en el que convergen inicialmente las siguientes profesiones, entre otras:
– Informáticos.
– Expertos en telecomunicación.
– Economistas.
– Abogados.
– Auditores.
– Lingüistas.
– Expertos en biotecnología.
Los profesionales que aspiren a un protagonismo en este nuevo ámbito aún hoy emergente, precisarán de una formación complementaria a su formación de base, en función de sus puntos débiles y fuertes. Así:
a) Profesionales de origen tecnológico, necesitarán formación complementaria en materias como; jurídico/legal/procesal, organización empresarial, procedimientos de evidencia, etc.
b) Profesionales de origen humanista, precisarán formación principalmente en áreas de tecnología.
c) Todos, con independencia de su formación de base y quizás con excepción de los auditores, precisarán conocimientos en gestión de organizaciones, estructuras organizativas, protocolos de revisión, técnicas de investigación, etc.
...
CONTENIDO EXCLUSIVO PARA SUSCRIPTORES
