Informática forense qué es

Es probable que, en un día de relajación viendo un poco de televisión, te hayas topado con una serie o programa cuya temática principal giraba en torno a casos criminales (puedes pensar en la famosa saga, CSI), donde el punto principal de la historia tenía un objetivo claro: resolver el caso. 

Para ello, los investigadores llevaban a cabo diferentes técnicas de investigación para el análisis los diferentes tipos de evidencias encontradas: las biológicas (cabellos, sangre, saliva, etc.), las físicas (rastros de ropa, incendios, objetos cercanos, etc.), y las digitales (celulares, computadores, discos, memorias, etc.). 

También podrás haber notado que cada tipo de evidencia era crucial para cada caso, y que estas no eran analizadas por el mismo equipo, pues, por ejemplo, solo los expertos en medicina forense eran capaces de analizar los estados de los cuerpos encontrados en la escena del crimen. 

Si bien es cierto que dichas historias están basadas en casos ficticios o la recreación de casos reales, lo que puedes apreciar en ellas no se aleja demasiado de la realidad, especialmente en el apartado del análisis de evidencias. 

Entonces, qué es informática forense, también conocida como forense digital o computacional, la informática forense es la rama de las ciencias forenses enfocada en la obtención, análisis e interpretación de evidencias digitales, para que puedan ser utilizadas de manera válida en un contexto jurídico. 

No se trata únicamente de escenas del crimen tradicionales: hoy en día la informática forense es crucial para resolver ataques cibernéticos, accesos no autorizados a sistemas de información o fraudes financieros. De ahí su estrecha relación con la ciberseguridad y la respuesta a incidentes (DFIR), una especialidad cada vez más demandada en el mundo digita.

El DFIR, es un profesional que abarca aspectos tanto del área del forense informático, como también de los conocimientos concernientes a la ciberseguridad. 

¿Qué hace un informático forense? 

Como te lo habíamos adelantado, las principales funciones del informático forense se basan en la adquisición, procesamiento, análisis y reporte de cualquier tipo de información que haya sido almacenada por medios digitales. 

Una buena forma de explicar cada una de estas funciones, es por medio del estándar internacional ISO/IEC 27037, el cual permite a los informáticos forenses tener una referencia para desarrollar cada una de las fases mencionadas dentro de su investigación. 

Identificación

En esta etapa, el informático forense evalúa cuál o cuáles evidencias son relevantes para su recolección, basándose en criterios como la volatilidad de la evidencia (qué tan fácil es que la información se borre después de cierto tiempo). 

Recolección

Una vez se ha identificado en la fase previa la relevancia del material, se procede a su recolección, la cual puede ser estática (llevar los dispositivos al laboratorio es viable), o de adquisición en vivo (la información debe ser tomada en la propia escena del crimen). 

Adquisición 

Cuando los dispositivos y la información se han identificado y agrupado, el informático forense procede entonces a realizar la extracción de los datos por medio de duplicados (copias), sumas de comprobación hash, entre otros métodos más. 

Preservación 

Este es uno de los pasos más importantes del proceso, pues se trata de una etapa de documentación que tendrá posterior relevancia en el juicio del caso. En este momento, se crea la llamada “cadena de custodia”, la cual puedes pensar como la historia de una evidencia. 

Dicha historia contiene información (registros) respecto a quién manipuló la evidencia, cuándo lo hizo, cómo y cuándo se recolectó la misma, entre otras. 

Como te lo habíamos comentado, la correcta implementación de estos registros es vital, pues pueden ser un determinante en la consideración del juez para tomar por válida una evidencia.  

Análisis 

Teniendo a disponibilidad los dispositivos y sus datos, así como la correcta documentación de estos (cadena de custodia), el informático forense se encuentra listo para ejecutar el análisis de la información que ha obtenido. 

¿Cómo se hace informático forense? Para esta tarea, nuestro especialista se apoya en herramientas informáticas (programas) para desarrollar sus respectivos análisis. Un ejemplo de ello es FTK Imager, un software que permite al profesional la rápida evaluación de un sistema por medio de la visualización de datos dentro del mismo. 

Para hacerlo más claro, la importancia principal de esta etapa es mostrar el valor probatorio de las evidencias y datos obtenidos de las mismas. 

Reporte 

Como su nombre lo indica, esta etapa es el resumen de todo lo desarrollado anteriormente durante el caso, redactándolo dentro de un informe final donde el investigador o investigadores describen de forma detallada el paso a paso del proceso, y generan conclusiones con respecto a sus hallazgos. 

Subespecialidades en la informática forense

Una vez comprendidas las funciones del forense digital, debes saber que, dentro de este campo, hay subespecialidades con enfoques claros. 

Dada la gran diversificación de dispositivos digitales con los que contamos en la actualidad, no es extraño descubrir que la informática forense requiere de especialistas con conocimientos específicos para el manejo de ciertos dispositivos particulares.  

Por ejemplo, la manipulación y tratamiento de dispositivos de red (switches, por ejemplo), no es igual a la que se hace en una computadora portátil o de escritorio. Es por esto por lo que existen subespecialidades dentro de la informática forense: 

Forense de discos 

El forense de discos es el especialista en el funcionamiento y manipulación de sistemas de archivos y dispositivos de almacenamiento digital, ya sean estos discos duros, de estado sólido, memorias flash, etc.  

Forense en bases de datos 

Este especialista se encarga de monitorear la actividad de acceso y modificación de datos dentro de las bases de datos. 

Forense en análisis de datos

El enfoque del forense en análisis de datos se basa esencialmente en el análisis de datos dentro de sistemas y bases de datos, con el objetivo principal de encontrar patrones en casos de fraude financiero. 

Forense de redes 

Como indica su nombre, el forense en redes es un especialista en el funcionamiento del flujo de las comunicaciones a través de redes, de forma que las analiza por medio del monitoreo, registro y actividad de la misma. 

Forense de dispositivos móviles

Su función principal es el análisis de la información y dispositivos de los teléfonos móviles, tablets, relojes inteligentes, etc.  

Forense de computadores

Tal vez este sea el campo más conocido por el público general dada la popularidad de los computadores en la actualidad por su uso generalizado. Este especialista se encarga del funcionamiento y análisis de las computadoras, por lo cual posee conocimientos avanzados en distintos OS (Linux, Windows, MacOS, Solaris, etc.) 

¿Te ha interesado la informática forense?

La informática forense no solo es fascinante, también es un campo en constante crecimiento y con gran proyección profesional. Formarte en él te permitirá abrir puertas en áreas como la ciberseguridad, la consultoría digital o la investigación judicial. 

En la Universidad El Bosque contamos con el Curso en Informática Forense, diseñado para que aprendas desde los conceptos básicos hasta el análisis práctico de evidencias digitales, dispositivos y procesos forenses. Podrás conocer las herramientas más utilizadas y adquirir competencias que fortalecen tu perfil profesional en el mundo digital. 

¿Qué esperas para impulsar tu futuro? El Bosque te mueve a crecer y ser excelente en Curso de Informática forense.