El campo de la investigación forense informática está creciendo, especialmente a medida que las fuerzas del orden y las entidades legales se dan cuenta de lo valiosos que son los profesionales de la tecnología de la información (TI) cuando se trata de procedimientos de investigación. Con el advenimiento del delito cibernético, el seguimiento de la actividad maliciosa en línea se ha vuelto crucial para proteger a los ciudadanos privados, así como para preservar las operaciones en línea en seguridad pública, seguridad nacional, gobierno y aplicación de la ley. El seguimiento de la actividad digital permite a los investigadores conectar comunicaciones cibernéticas e información almacenada digitalmente con pruebas físicas de actividad delictiva; la informática forense también permite a los investigadores descubrir intenciones delictivas premeditadas y puede ayudar en la prevención de futuros delitos cibernéticos. Para aquellos que trabajan en el campo, hay cinco pasos críticos en la informática forense, todos los cuales contribuyen a una investigación exhaustiva y reveladora.
Desarrollo de políticas y procedimientos
Ya sea relacionado con actividades cibernéticas maliciosas, conspiración criminal o la intención de cometer un delito, las pruebas digitales pueden ser delicadas y altamente sensibles. Los profesionales de la ciberseguridad entienden el valor de esta información y respetan el hecho de que se puede comprometer fácilmente si no se maneja y protege adecuadamente. Por esta razón, es fundamental establecer y seguir directrices y procedimientos estrictos para las actividades relacionadas con las investigaciones forenses informáticas. Estos procedimientos pueden incluir instrucciones detalladas sobre cuándo se autoriza a los investigadores forenses informáticos a recuperar posibles pruebas digitales, cómo preparar adecuadamente los sistemas para la recuperación de pruebas, dónde almacenar las pruebas recuperadas y cómo documentar estas actividades para ayudar a garantizar la autenticidad de los datos.
Los organismos encargados de hacer cumplir la ley dependen cada vez más de los departamentos de TI designados, que cuentan con expertos en ciberseguridad experimentados que determinan los protocolos de investigación adecuados y desarrollan programas de capacitación rigurosos para garantizar que se sigan las mejores prácticas de manera responsable. Además de establecer procedimientos estrictos para los procesos forenses, las divisiones de ciberseguridad también deben establecer reglas de gobierno para todas las demás actividades digitales dentro de una organización. Esto es esencial para proteger la infraestructura de datos de los organismos encargados de hacer cumplir la ley y de otras organizaciones.
Una parte integral de las políticas y procedimientos de investigación para las organizaciones policiales que utilizan departamentos forenses informáticos es la codificación de un conjunto de acciones explícitamente declaradas con respecto a lo que constituye evidencia, dónde buscar dicha evidencia y cómo manejarla una vez que ha sido recuperada. Antes de cualquier investigación digital, se deben tomar las medidas adecuadas para determinar los detalles del caso en cuestión, así como para comprender todas las acciones de investigación permisibles en relación con el caso; esto implica leer los escritos del caso, comprender las órdenes y autorizaciones y obtener los permisos necesarios antes de continuar con el caso.
Evaluación de pruebas
Un componente clave del proceso de investigación consiste en la evaluación de posibles pruebas en un delito cibernético. Para el procesamiento eficaz de las pruebas es fundamental comprender claramente los detalles del caso en cuestión y, por lo tanto, la clasificación del delito cibernético en cuestión. Por ejemplo, si una agencia busca probar que un individuo ha cometido delitos relacionados con el robo de identidad, los investigadores forenses informáticos utilizan métodos sofisticados para examinar discos duros, cuentas de correo electrónico, sitios de redes sociales y otros archivos digitales para recuperar y evaluar cualquier información que pueda servir como evidencia viable del delito. Esto es, por supuesto, cierto para otros delitos, como participar en conductas delictivas en línea, como publicar productos falsos en eBay o Craigslist, destinados a atraer a las víctimas para que compartan información de tarjetas de crédito. Antes de llevar a cabo una investigación, el investigador debe definir los tipos de pruebas buscadas (incluidas plataformas y formatos de datos específicos) y comprender claramente cómo preservar los datos pertinentes. A continuación, el investigador debe determinar la fuente y la integridad de esos datos antes de presentarlos como pruebas.
Adquisición de pruebas
Quizás la faceta más crítica de una investigación forense computarizada exitosa es un plan riguroso y detallado para la adquisición de pruebas. Se necesita documentación extensa antes, durante y después del proceso de adquisición; se debe registrar y conservar información detallada, incluidas todas las especificaciones de hardware y software, cualquier sistema utilizado en el proceso de investigación y los sistemas que se están investigando. En este paso es donde las políticas relacionadas con la preservación de la integridad de las pruebas potenciales son más aplicables. Las directrices generales para preservar las pruebas incluyen la eliminación física de los dispositivos de almacenamiento, el uso de discos de arranque controlados para recuperar datos confidenciales y garantizar la funcionalidad, y la adopción de medidas adecuadas para copiar y transferir las pruebas al sistema del investigador.
La obtención de pruebas debe llevarse a cabo de manera deliberada y legal. Poder documentar y autenticar la cadena de pruebas es crucial cuando se persigue un caso judicial, y esto es especialmente cierto para la informática forense, dada la complejidad de la mayoría de los casos de ciberseguridad.
Examen de pruebas
Para investigar eficazmente las pruebas potenciales, deben existir procedimientos para recuperar, copiar y almacenar pruebas en bases de datos apropiadas. Los investigadores suelen examinar los datos de archivos designados, utilizando una variedad de métodos y enfoques para analizar la información; estos podrían incluir el uso de software de análisis para buscar archivos masivos de datos en busca de palabras clave o tipos de archivos específicos, así como procedimientos para recuperar archivos que se han eliminado recientemente. Los datos etiquetados con horas y fechas son particularmente útiles para los investigadores, al igual que los archivos o programas sospechosos que se han cifrado u ocultado intencionalmente.
Analizar nombres de archivos también es útil, ya que puede ayudar a determinar cuándo y dónde se crearon, descargaron o cargaron datos específicos y puede ayudar a los investigadores a conectar archivos en dispositivos de almacenamiento a transferencias de datos en línea (como almacenamiento basado en la nube, correo electrónico u otras comunicaciones por Internet). Esto también puede funcionar en orden inverso, ya que los nombres de archivo generalmente indican el directorio que los alberga. Los archivos ubicados en línea o en otros sistemas a menudo apuntan al servidor y computadora específicos desde los que se cargaron, proporcionando a los investigadores pistas sobre dónde se encuentra el sistema; hacer coincidir los nombres de los archivos en línea con un directorio en el disco duro de un sospechoso es una forma de verificar la evidencia digital. En esta etapa, los investigadores forenses informáticos trabajan en estrecha colaboración con investigadores criminales, abogados y otro personal calificado para garantizar una comprensión profunda de los matices del caso, las acciones de investigación permisibles y los tipos de información que pueden servir como prueba.
Documentación y presentación de informes
Además de documentar plenamente la información relacionada con las especificaciones de hardware y software, los investigadores forenses informáticos deben mantener un registro preciso de todas las actividades relacionadas con la investigación, incluidos todos los métodos utilizados para probar la funcionalidad del sistema y recuperar, copiar y almacenar datos, así como todas las medidas adoptadas para adquirir, examinar y evaluar pruebas. Esto no solo demuestra cómo se ha conservado la integridad de los datos de los usuarios, sino que también garantiza que todas las partes cumplan las políticas y procedimientos adecuados. Como el propósito de todo el proceso es obtener datos que puedan presentarse como pruebas en un tribunal, el hecho de que un investigador no documente con precisión su proceso podría comprometer la validez de esas pruebas y, en última instancia, el caso en sí.
Para los investigadores forenses informáticos, todas las acciones relacionadas con un caso particular deben contabilizarse en formato digital y guardarse en archivos debidamente designados. Esto ayuda a garantizar la autenticidad de cualquier hallazgo al permitir que estos expertos en ciberseguridad muestren exactamente cuándo, dónde y cómo se recuperaron las pruebas. También permite a los expertos confirmar la validez de las pruebas comparando la documentación grabada digitalmente del investigador con las fechas y horas en que los posibles sospechosos accedieron a estos datos a través de fuentes externas.
Ahora más que nunca, los expertos en ciberseguridad en esta función crítica están ayudando a los organismos gubernamentales y policiales, las corporaciones y las entidades privadas a mejorar su capacidad para investigar varios tipos de actividad delictiva en línea y enfrentar una creciente variedad de amenazas cibernéticas de frente. Los profesionales de TI que lideran las investigaciones forenses informáticas tienen la tarea de determinar las necesidades específicas de ciberseguridad y asignar recursos de manera efectiva para abordar las amenazas cibernéticas y perseguir a los autores de dichas amenazas. Un máster en ciberseguridad tiene numerosas aplicaciones prácticas que pueden dotar a los profesionales de TI de una sólida comprensión de la informática forense y las prácticas para mantener la cadena de custodia mientras documentan la evidencia digital. Las personas con el talento y la educación para gestionar con éxito las investigaciones forenses informáticas pueden encontrarse en una posición altamente ventajosa dentro de un campo profesional dinámico.
Más información
Como el colegio militar privado más antiguo del país, la Universidad de Norwich ha sido líder en educación innovadora desde 1819. A través de sus programas en línea, Norwich ofrece currículos relevantes y aplicables que permiten a sus estudiantes tener un impacto positivo en sus lugares de trabajo y sus comunidades.
En la Universidad de Norwich, extendemos una tradición de educación basada en valores, donde los estudios estructurados, disciplinados y rigurosos crean una experiencia desafiante y gratificante. Los programas en línea, como la Maestría en Ciencias en Ciberseguridad, han hecho que nuestro plan de estudios integral esté disponible para más estudiantes que nunca.
La Universidad de Norwich ha sido designada como Centro de Excelencia Académica en Educación de Defensa Cibernética por la Agencia de Seguridad Nacional y el Departamento de Seguridad Nacional. A través de su programa, puede elegir entre cinco concentraciones que están diseñadas de manera única para proporcionar un examen en profundidad de las políticas, los procedimientos y la estructura general de un programa de garantía de información.
Lecturas recomendadas:
Robo de identidad en los Estados Unidos
5 Violaciones de Datos significativas de 2017 & Cómo ocurrieron
El Delito en la Web Profunda Requiere Nuevos Enfoques Forenses