Inicio > Informática Forense, Noticias > Los detectives de la era digital

Los detectives de la era digital

Gracias a la informática forense, se están desenterrando los secretos de los PC de Raúl Reyes. Le contamos cómo trabajan los peritos informáticos.

Después de muerto, confesó. Alias Raúl Reyes, cuyo nombre de pila era Luis Édgar Devia Silva, cambió los discursos a favor de la guerrilla de las Farc y de una revolución que nunca fue, por un lenguaje de unos y ceros para delatar a sus colaboradores, revelar la compra ilegal de armas e informar la ubicación de dineros escondidos en el extranjero, que son el botín de una guerra que perdió hace mucho tiempo el sentido.

Concluyó en éxito la fase de liberación unilateral de prisioneros. Nos quitamos varias cargas de encima y apuntalamos nuestra política frente al presidente Chávez. El punto negro es el incremento de la presión por Íngrid, por cuenta de las declaraciones de Luis Heladio (sic) Pérez, dando cuenta de su extrema gravedad y el trato discriminatorio contra ella. Hasta donde conozco, esta señora es de temperamento volcánico, es grosera y provocadora con los guerrilleros encargados de cuidarla. Además como sabe de imagen y semiología, las utiliza en impactar en contra de las Farc. Previendo los reclamos del Emisario francés, pienso informarlo de esta situación.

El párrafo anterior es el fragmento de un correo electrónico que envió Reyes el 28 de febrero del 2008, un día antes de ser abatido, al Secretariado de las Farc. Un mensaje que hoy en día hace parte de la ¿confesión? digital que cumple Reyes, el primer miembro del Secretariado de las Farc dado de baja por el Ejército en una lucha que está cerca de completar medio siglo de duración.

Según el Ministro de Defensa de Colombia, Juan Manuel Santos, los investigadores hallaron más de 16.000 archivos en los tres computadores portátiles encontrados en el campamento donde murió Reyes, informó el diario The New York Times.
Los datos de estos portátiles, sumados a los descubiertos en otros dos discos duros también obtenidos en la operación militar, están siendo validados por la Interpol, afirmó Santos, quien espera que la verificación concluya en abril.

Sorprendentemente, el disco duro del portátil de Reyes no estaba cifrado, le dijo a ENTER 2.0 una persona cercana al proceso, quien pidió la reserva de su nombre. Declaración que respaldaron fuentes de la Policía, quienes sostuvieron que buena parte de los archivos encontrados no estaban cifrados y por eso se han obtenido resultados en corto tiempo.

La clave: informática forense

El caso de los computadores de Reyes es uno de los ejemplos con mayor resonancia del poder que tienen las herramientas de la informática forense para obtener información almacenada en medios digitales. Gracias a esta ciencia, nada queda oculto en los dispositivos modernos, como ya se había demostrado antes en otros episodios.

En el 2006, durante un mes, especialistas en informática de la Fiscalía, apoyados por expertos de E.U., descifraron los secretos del computador del jefe paramilitar “Jorge 40″, datos que iniciaron el escándalo conocido como de la “parapolítica”, que tiene a un gran número de congresistas colombianos detenidos.

Otro ejemplo reciente es el computador portátil de “Iván Ríos”, miembro del Secretariado de las Farc muerto por uno de sus subalternos. En su equipo las autoridades hallaron datos que informan que, entre el 2005 y el 2007, Ríos ordenó más de 200 asesinatos, entre ellos de personas que él creía infiltradas del Ejército y de las Autodefensas.

A nivel internacional, la informática forense también ha cobrado mayor notoriedad en los últimos años. Según Adrián Rodríguez, consultor de seguridad de la empresa Digiware Colombia, esto se debe a los atentados del 11 de septiembre del 2001 en Estados Unidos. Se hizo evidente la necesidad de fortalecer la seguridad de los sistemas de información y específicamente la recuperación de datos después de un incidente.

Para Rodríguez, la creciente demanda de especialistas en el tema es innegable, y su campo de acción se ha ampliado a investigaciones en todo tipo de aparatos, como celulares, memorias USB, computadores de mano e incluso reproductores portátiles de música. Básicamente a cualquier dispositivo con capacidad de almacenar diversos tipos de información.

Nada se pierde realmente.

Carlos Valderrama, fundador y director de la empresa Kinetic Solutions (ww.kineticsl.com), explica que gracias a fenómenos electromagnéticos, la información se puede almacenar, borrar, leer e incluso recuperar después de borrada o de alguna falla.

La informática forense, dijo Valderrama, estudia los casos de delitos informáticos para intentar averiguar cómo fue realizado el crimen, cuándo, qué técnicas se emplearon, los recursos comprometidos, las personas implicadas, los daños ocasionados y finalmente los responsables.

Toda esta información se ordena, se clasifica, se analiza y se comprueba su veracidad, para poder tomar medidas legales en contra del responsable, dijo el especialista en cómputo forense. En la actualidad, resaltó, en gran cantidad de países los resultados digitales son totalmente válidos como pruebas de juicio y determinan culpables e inocentes. “Es ahí donde esta ciencia exacta obtiene su mayor importancia”, opinó.

Evolución de las técnicas.

“La informática forense nació de la necesidad básica de recuperar información de discos que se han dañado física o lógicamente”, explicó Adrián Rodríguez, de Digiware.

Pero en la actualidad, sostuvo Rodríguez, se han agregado nuevas cualidades de monitoreo que permiten recobrar más información y utilizando los protocolos adecuados, presentar y preservar la evidencia hallada como una prueba válida en un caso legal.

En los inicios de la informática forense, según Igor León, especialista en seguridad de Etek Internacional, era común que los investigadores usaran el equipo comprometido para llevar a cabo la investigación. El riesgo de esta técnica era que el sistema operativo de la máquina podía alterar la evidencia.

León dijo que solo hasta la década de los noventa se desarrollaron herramientas de software como SafeBack y DIBS que permitieron recolectar los datos en discos, sin alterar la información original.

Luego, creció la necesidad de tener programas más avanzados que mantuvieran el valor de la evidencia de los datos. Entonces, se desarrollaron herramientas integradas como Encase y FTK. Estas realizaban una investigación más eficiente mediante la automatización de tareas rutinarias y el uso de una interfaz gráfica para la localización visual de detalles importantes, ilustró el experto de Etek.

Análisis, contraseñas y rastreo.

Jorge Carbonell, de Panda Security, dijo que hoy en día la informática forense permite, básicamente, recuperar archivos, leer los que están protegidos con contraseña, analizar logs (archivos de texto pequeños que registran la actividad del PC o del software) y seguir el rastro de intrusiones en sistemas, entre otras aplicaciones.

“Muchas de estas actividades si no son realizadas por las autoridades con los permisos necesarios, pueden ir en contra de la ley”, advirtió Carbonell.

Así mismo, para Dmitry Bestuzhev, analista de virus y consultor técnico para América Latina de Kaspersky Lab, existen tres medios básicos que analiza esta ciencia: la fuente del ataque (por ejemplo, un portátil usado por el criminal), el medio de comunicación (red que se empleó para llevarlo a cabo, ya sea local o global) y el destino del ataque (su objetivo, como un servidor, por ejemplo).

Un trabajo complejo.

Dentro de las actividades forenses hay dos tareas que, según los expertos, requieren un mayor esfuerzo: la recuperación física de medios y la de datos que han sido encriptados.
El primer caso, precisó Adrián Rodríguez, de Digiware, es cuando físicamente se ha destruido o dañado un disco; ahí es necesario emplear recursos tecnológicos muy especializados y hasta probabilísticos para recuperar los fragmentos de datos.

El proceso que se efectúa es desbaratar muchos discos de características similares para reensamblar un disco completo con pedazos del dispositivo dañado, y de esta forma recuperar trozos de datos que serán analizados después. Podría decirse que es la creación de un nuevo disco al estilo Frankenstein.

En la segunda tarea, la metodología típica para penetrar un archivo encriptado es la llamada ‘fuerza bruta’, cuyo éxito depende de la longitud y complejidad de la contraseña de encriptación, así como de la velocidad de la tecnología existente para probar cientos de posibles contraseñas por segundo (cuanto más larga sea una contraseña, menos palabras reales use y más caracteres diferentes a letras y números tenga, más difícil es descifrarla).

Para Nicolás Sazunic, director de Informática Forense y Servicios de Tecnología de Kroll, otro factor que dificulta la labor del investigador es la misma información con la que cuenta.
“Si lo que se requiere es recuperar un archivo, cuanto más tiempo haya pasado desde que este fue eliminado, más complejo será obtener la información que contiene”, opinó Sazunic. Esto es porque en algunos casos, el archivo puede haber sido sobrescrito parcialmente en el disco, lo que complica bastante la tarea.

Por su parte, Igor León, de Etek, afirmó que la tarea más compleja en el análisis forense es correlacionar toda la información que se obtiene en la investigación para poder determinar realmente qué ha ocurrido. “Es en este punto donde se pone a prueba toda la capacidad y experiencia del examinador forense, para reconstruir todas las actividades llevadas a cabo”.

Es aquí donde el trabajo de máquina, software y hombre convierten a la informática forense en el inspector digital del presente.

Por qué es posible recuperar archivos o “resucitar discos”

Al borrar un archivo, lo que en realidad hace el sistema operativo de un PC es marcar ese elemento como eliminado, pero no lo borra físicamente del disco magnético. De esta manera, cuando el sistema operativo requiere espacio para grabar nuevos archivos, ve la marca y sabe que puede reutilizar ese espacio.

“Los bits escritos en el material magnético no se borran; cualquier tratamiento de borrado se realiza a nivel del sistema y no a nivel físico (se etiqueta dicha zona del disco como reescribible, pero el contenido permanece). Es por esto que los datos son, en su gran mayoría, totalmente recuperables; solo en casos excepcionales no es posible”, dijo Carlos Valderrama, de Kinetic Solutions.

Al examinar un disco duro se hallan archivos que se encuentran activos, otros marcados como eliminados pero que aún no han sido sobreescritos “y restos de archivos que estuvieron previamente almacenados y que han sido sobreescritos, al menos una parte de ellos, por un nuevo elemento”, explicó Nicolás Sazunic, de Kroll.

El usuario solo puede acceder desde su sistema operativo a los archivos activos. Sin embargo, mediante software especializado es posible encontrar aquellos marcados como eliminados, e incluso recuperar parte de aquellos que fueron parcialmente sobreescritos.

Valderrama subrayó que existen algunas técnicas para desmagnetizar los medios magnéticos (para hacer irrecuperables los datos), pero hoy en día no son tan efectivas. “También es posible la reescritura de datos con ceros, que es más eficaz, y en algunos casos hace imposible la recuperación de datos”.

Si se trata de discos duros dañados, manifestó Sazunic, es necesario el acceso a la información almacenada antes de empezar con el análisis de los datos. Para esto, un experto debe poner el disco nuevamente en funcionamiento (reparando sus componentes electrónicos o mecánicos) o recuperar los datos accediendo físicamente a los sectores del disco con técnicas más avanzadas.

Cómo se identifica el origen de un correo

Los correos electrónicos, ya sean enviados o recibidos, incluyen un encabezado que contiene información oculta, la cual, según Dmitry Bestuzhev, de Kaspersky Lab, permite determinar el sistema operativo del remitente, la aplicación de correo electrónico que se usó y la dirección IP externa de la red desde la cual se envió el mensaje.

“A veces también incluye el direccionamiento IP interno de la red, la IP privada del PC desde el cual se envió y el número de identificación personal del mensaje al momento de ser enviado”, indicó Bestuzhev.

De esta manera, “por lo general, y si no se emplean técnicas de anonimato, se encontrará la dirección IP de origen desde la cual se inició el correo”, dijo Adrián Rodríguez, de Digiware.

Cómo se abre un archivo protegido por contraseñas

Igor León, de la empresa de seguridad informática Etek, explica que existen diversas técnicas para romper la contraseña de un archivo; la más usada es el ‘ataque de diccionario’, que prueba a gran velocidad todas la palabras contenidas en un diccionario y es eficiente si la contraseña es una palabra simple.

Otro método es el ‘ataque de fuerza bruta’, en el cual se prueban todas las combinaciones posibles de ciertos caracteres; este sistema es eficiente cuando la contraseña es corta (de cuatro letras, por ejemplo) o cuando esta consta solo de caracteres básicos (como letras y números).

Informática forense, aliado corporativo

En América Latina, según Dmitry Bestuzhev, de Kaspersky Lab, la informática forense se usa activamente y con éxito, sobre todo en instituciones privadas donde la información tiene valor económico.

Nicolás Sazunic, de Kroll, comparte esa opinión. Dijo que en Colombia la mayoría de las compañías con casos de fraude interno ha logrado identificar a los responsables de los delitos y las modalidades que utilizan.

Así mismo, añadió el experto, se han determinado vínculos con terceros (personas externas a la empresa) que han facilitado el delito. “La informática forense es especialmente útil en estos casos, ya que la información almacenada en los servidores de las corporaciones (computadores que manejan la red interna) es propiedad de las mismas y puede ser revisada en su totalidad por los encargados de las investigaciones”.

Las herramientas forenses también se emplean para descubrir usos indebidos del correo electrónico y de Internet en las compañías.

Debilidades en Colombia

Para Carlos Álvarez, abogado en derecho informático y propiedad intelectual, el país tiene dos grandes debilidades en el tema de la informática forense: la ausencia de regulación judicial y la falta de especialización de los peritos en cómputo forense.

“Salvo los principios generales de derecho probatorio, acá no hay (en el contexto de los procesos penales) regulaciones que les digan a los fiscales y a los jueces cuáles son los requisitos que debe cumplir la evidencia digital para que pueda ser aceptada por ellos dentro de los procesos”, afirmó Álvarez.

El abogado citó como ejemplo que los fiscales a veces no aceptan como prueba las fotos tomadas con cámaras digitales, simplemente porque, según ellos, no es posible saber cuándo han sido alteradas o modificadas esas imágenes.

El otro punto débil es la formación y especialización de los peritos. “Las entidades de policía judicial en nuestro país, si bien tienen personal capacitado en este tema y con buena tecnología, en realidad están conformadas por policías y no por ingenieros de sistemas”.

Álvarez resaltó que la capacitación requerida para esta labor tiene que ser constante (se calcula que el entrenamiento de un perito forense puede costar alrededor de 50 millones de pesos). “Así que de nada sirve que el Estado le meta plata a capacitar a personal que, tras dos años, va a ser cambiado de sección. Es dinero tirado a la basura”.

De acuerdo con el experto en derecho informático, se requiere una especialización policial que les permita a los investigadores hacer una verdadera carrera en técnicas forenses y hacking.

Dónde se usa la informática forense

1. Prosecución criminal: busca evidencia incriminatoria que se pueda usar para procesos por diversos crímenes, como homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos y pornografía infantil.

2. Militar y defensa nacional: las herramientas de informática forense son utilizadas por organismos oficiales de seguridad y entidades estatales para, por ejemplo, proteger la confidencialidad de su información y rastrear los ataques a los que están expuestos.

3. Litigación civil: se emplea para la investigación de casos que implican fraude, discriminación, acoso y divorcio, entre otros.

4. Investigación de seguros: la evidencia encontrada en computadores ayuda a las compañías aseguradoras a disminuir los costos de los reclamos por accidentes y compensaciones.

5. Asuntos corporativos: ayuda a recolectar información en situaciones relacionadas con acoso sexual, robo, mal uso o apropiación de información confidencial y espionaje industrial.

6. Investigación científica: academias y universidades aprovechan las bondades de la informática forense para realizar estudios de seguridad, vigilar la evolución de las amenazas e identificar las tendencias de los ataques informáticos, entre otros.

7. Usuario final: cada vez es más común que las personas usen herramientas de software para recuperar archivos borrados, encriptar documentos y rastrear el origen de un correo electrónico.

Así trabaja un perito en cómputo forense

1. Agentes involucrados
En una operación policial, los primeros que llegan a la escena del crimen son individuos denominados first responder (primeros en responder). Su misión es preservar intacto el lugar y asegurar la correcta adquisición de la evidencia. Esta es una etapa fundamental porque de ella depende el análisis del disco duro y la veracidad de la información que se obtenga de los equipos.

En la recolección de los datos participan expertos en tres campos: fotografía, dactiloscopia y cómputo forense. El primero debe fotografiar (o grabar en video) todos los elementos (PC, celulares, CD, memorias USB, etc.) antes de moverlos o desconectarlos; además, si están encendidos los PC, debe tomar imágenes de las pantallas.

La labor del experto en dactiloscopia es obtener huellas dactilares para después, en el proceso judicial, poder comprobar que los equipos encontrados fueron manipulados por los implicados. El tercer investigador es un perito en cómputo forense, que será quien interactúe con los equipos y dispositivos digitales encontrados.

2. Imágenes espejo
El perito en cómputo forense es la única persona que debe manipular los elementos (PC, portátiles, discos duros externos, DVD, CD, memorias USB, etc.). Por ejemplo, si encuentra un PC encendido, lo primero que debe hacer es revisar qué muestra en la pantalla, cuáles son los programas abiertos y tomar fotografías.

También debe identificar si el equipo está conectado a una red local, realizar un diagrama de la misma y determinar el sistema operativo de la máquina. Luego, debe efectuar dos imágenes espejo del disco duro (copias idénticas de los archivos y de la estructura del dispositivo) a través de software especializado. Una de ellas se adjuntará al equipo original para ser almacenada como prueba, y sobre la imagen restante se realizará el análisis y el trabajo de investigación.

Todas las acciones del perito deben ser grabadas o registradas en imágenes por el experto en fotografía.

3. Separación de componentes
El perito debe asegurarse de extraer el disco duro del equipo y la batería del portátil antes de salir de la escena. El computador, por ninguna razón, se debe trasladar con sus componentes conectados. Estas precauciones brindan mayor seguridad a las pruebas y evitan que, en caso de pérdida del equipo, se malogre toda la información.

4. Extremo recelo
Se debe evitar que personas que no sean peritos en cómputo forense usen los dispositivos encontrados, manipulen los computadores o intenten ver información almacenada en el disco duro. Esto puede destruir evidencia digital. El solo hecho de apagar o desconectar dispositivos de una manera incorrecta puede hacer desaparecer datos del equipo.

El PC de un laboratorio de cómputo forense

Esta es la configuración de los computadores que utilizan las autoridades nacionales.

Hardware

* Procesador de cuatro núcleos.
* Entre 4 y 8 GB de memoria RAM.
* Capacidad de almacenamiento en el disco duro de al menos 1 terabyte (TB), es decir, 1.000 GB.
* Sistemas operativos que trabajan a 32 y 64 bits.
* Varias unidades ópticas, algunas con ‘quemador’ de CD y DVD, y otras solo para lectura de discos.
* Valor aproximado: 10.000 dólares.

Software, la herramienta clave
Estos son los principales programas usados por los peritos oficiales en los laboratorios del Estado.

EnCase Forensic Edition: programa usado en la mayoría de agencias de seguridad en el mundo. Puede crear las imágenes espejo de los discos duros, desencriptar archivos de correo y recuperar información que haya sido borrada.
Stego Suite: paquete de aplicaciones especializadas en encontrar información escondida en imágenes y archivos de audio (estas prácticas se conocen como esteganografía).
Access Data Suite: paquete de aplicaciones para la realización de las imágenes espejo de discos duros, análisis de información borrada y activa. Incluye PRTK (Password Recovery Toolkit), una herramienta para la recuperación de contraseñas.
ILook: programa del Departamento del Tesoro de Estados Unidos que permite el acceso y análisis de datos digitales.
Valor aproximado: 50.000 dólares.

Los laboratorios nacionales
Varios organismos oficiales de Colombia (la Fiscalía, el DAS, la DIAN y el Ejército, por ejemplo) tienen laboratorios especializados en informática forense. Estos centros de investigación están en Barranquilla, Medellín, Bucaramanga, Bogotá, Cundinamarca, Pereira y Cali.

Según Óscar Ruiz, consultor de Internet Solutions, una firma especializada en la materia, hay cerca de 80 peritos en cómputo forense en el país que reciben capacitación permanente.

“En la región, Colombia es uno de los líderes, junto a Brasil, en informática forense”, dijo Ruiz. Como prueba de esto, el país está montando la primera división de informática forense en México y ha capacitado a varios expertos de Honduras, Costa Rica, Chile y Argentina.

Los equipos empleados en los laboratorios nacionales tienen una alta capacidad de trabajo. Se calcula que pueden obtener y analizar la información de un disco duro de 80 GB en un mes.

Además, los computadores del laboratorio, que son PC y portátiles, tiene una infraestructura de trabajo distribuido, que les permite funcionar en red para combinar el poder de cómputo de tres o cuatro máquinas en un solo objetivo.

  1. Aún no hay comentarios.
  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: