Informática forense qué es

Es probable que, en un día de relajación viendo un poco de televisión, te hayas topado con una serie o programa cuya temática principal giraba en torno a casos criminales (puedes pensar en la famosa saga, CSI), donde el punto principal de la historia tenía un objetivo claro: resolver el caso. 

Para ello, los investigadores llevaban a cabo diferentes técnicas de investigación para el análisis los diferentes tipos de evidencias encontradas: las biológicas (cabellos, sangre, saliva, etc.), las físicas (rastros de ropa, incendios, objetos cercanos, etc.), y las digitales (celulares, computadores, discos, memorias, etc.). 

También podrás haber notado que cada tipo de evidencia era crucial para cada caso, y que estas no eran analizadas por el mismo equipo, pues, por ejemplo, solo los expertos en medicina forense eran capaces de analizar los estados de los cuerpos encontrados en la escena del crimen. 

Entonces, qué es informática forense, la informática forense es la rama de las ciencias forenses enfocada en la recolección, análisis y presentación de evidencias digitales para que puedan usarse en un proceso judicial. 

En algunos casos, también se habla de DFIR (Digital Forensics and Incident Response), ya que los especialistas no solo investigan después de un ataque, sino que también participan en la respuesta inmediata a incidentes de ciberseguridad. 

El DFIR, es un profesional que abarca aspectos tanto del área del forense informático, como también de los conocimientos concernientes a la ciberseguridad. 

¿Qué hace un informático forense?

Como te lo habíamos adelantado, las principales funciones del informático forense se basan en la adquisición, procesamiento, análisis y reporte de cualquier tipo de información que haya sido almacenada por medios digitales. 

Una buena forma de explicar cada una de estas funciones, es por medio del estándar internacional ISO/IEC 27037, el cual permite a los informáticos forenses tener una referencia para desarrollar cada una de las fases mencionadas dentro de su investigación. 

Identificación 

En esta etapa, el informático forense evalúa cuál o cuáles evidencias son relevantes para su recolección, basándose en criterios como la volatilidad de la evidencia (qué tan fácil es que la información se borre después de cierto tiempo).

Recolección 

Una vez se ha identificado en la fase previa la relevancia del material, se procede a su recolección, la cual puede ser estática (llevar los dispositivos al laboratorio es viable), o de adquisición en vivo (la información debe ser tomada en la propia escena del crimen). 

Adquisición 

Cuando los dispositivos y la información se han identificado y agrupado, el informático forense procede entonces a realizar la extracción de los datos por medio de duplicados (copias), sumas de comprobación hash, entre otros métodos más. 

Preservación 

Este es uno de los pasos más importantes del proceso, pues se trata de una etapa de documentación que tendrá posterior relevancia en el juicio del caso. En este momento, se crea la llamada “cadena de custodia”, la cual puedes pensar como la historia de una evidencia. 

Dicha historia contiene información (registros) respecto a quién manipuló la evidencia, cuándo lo hizo, cómo y cuándo se recolectó la misma, entre otras. 

Como te lo habíamos comentado, la correcta implementación de estos registros es vital, pues pueden ser un determinante en la consideración del juez para tomar por válida una evidencia.  

Análisis

Teniendo a disponibilidad los dispositivos y sus datos, así como la correcta documentación de estos (cadena de custodia), el informático forense se encuentra listo para ejecutar el análisis de la información que ha obtenido. 

¿Cómo se hace informático forense? Para esta tarea, nuestro especialista se apoya en herramientas informáticas (programas) para desarrollar sus respectivos análisis. Un ejemplo de ello es FTK Imager, un software que permite al profesional la rápida evaluación de un sistema por medio de la visualización de datos dentro del mismo. 

Para hacerlo más claro, la importancia principal de esta etapa es mostrar el valor probatorio de las evidencias y datos obtenidos de las mismas. 

Reporte 

Como su nombre lo indica, esta etapa es el resumen de todo lo desarrollado anteriormente durante el caso, redactándolo dentro de un informe final donde el investigador o investigadores describen de forma detallada el paso a paso del proceso, y generan conclusiones con respecto a sus hallazgos. 

Subespecialidades en la informática forense

Una vez comprendidas las funciones del forense digital, debes saber que, dentro de este campo, hay subespecialidades con enfoques claros. 

Dada la gran diversificación de dispositivos digitales con los que contamos en la actualidad, no es extraño descubrir que la informática forense requiere de especialistas con conocimientos específicos para el manejo de ciertos dispositivos particulares.  

Por ejemplo, la manipulación y tratamiento de dispositivos de red (switches, por ejemplo), no es igual a la que se hace en una computadora portátil o de escritorio. Es por esto por lo que existen subespecialidades dentro de la informática forense: 

Forense de discos

El forense de discos es el especialista en el funcionamiento y manipulación de sistemas de archivos y dispositivos de almacenamiento digital, ya sean estos discos duros, de estado sólido, memorias flash, etc.

Forense en bases de datos

Este especialista se encarga de monitorear la actividad de acceso y modificación de datos dentro de las bases de datos. 

Forense en análisis de datos 

El enfoque del forense en análisis de datos se basa esencialmente en el análisis de datos dentro de sistemas y bases de datos, con el objetivo principal de encontrar patrones en casos de fraude financiero. 

Forense de redes

Como indica su nombre, el forense en redes es un especialista en el funcionamiento del flujo de las comunicaciones a través de redes, de forma que las analiza por medio del monitoreo, registro y actividad de la misma. 

Forense de dispositivos móviles

Su función principal es el análisis de la información y dispositivos de los teléfonos móviles, tablets, relojes inteligentes, etc.  

Forense de computadores

Tal vez este sea el campo más conocido por el público general dada la popularidad de los computadores en la actualidad por su uso generalizado. Este especialista se encarga del funcionamiento y análisis de las computadoras, por lo cual posee conocimientos avanzados en distintos OS (Linux, Windows, MacOS, Solaris, etc.)

Tipos de informática forense 

Al hablar de los tipos de informática forense, nos encontramos con que su categorización está basada en la especialización del manejo de una tecnología específica. Así, por ejemplo, existen informáticos forenses que poseen más conocimientos en tecnologías de redes de computadora, mientras otros podrían tener mejores conocimientos acerca de Sistemas Operativos (OS), y otros más acerca de bases de datos, etc. 

A continuación, te presentamos los tipos de informática forense que existen según el tipo de tecnología tratada: 

Forense de redes de computadora

El especialista en redes de computadora se encarga de monitorear y analizar el tráfico de una red, evaluando la presencia de cualquier tipo de actividad sospechosa y actuando de forma activa en la respuesta a cualquier tipo de ataque, pues las redes suponen uno de los puntos críticos para el éxito de un ciberataque. 

Además, este cargo supone una tarea de gran responsabilidad, pues el tráfico de red es muy dinámico y difícilmente recuperable una vez ha pasado, complicando así la labor del forense de redes. 

Forense de móviles

Aunque los dispositivos móviles son computadoras en miniatura, su funcionamiento y la disposición del software varían ampliamente de aquello que podemos encontrar en una PC o laptop.  

Por ello, el especialista en dispositivos móviles se encarga de la recolección y análisis de estos dispositivos, indagando en aspectos como memorias, dispositivos GPS, smartphones o tabletas, dispositivos IoT, entre otros.  

Forense de computadoras

Su nombre ya nos da pista de su función, pues, efectivamente, el forense en computadoras es el profesional encargado de llevar a cabo la recolección, preservación y análisis de computadoras, ya sean PC's o portátiles, de forma que evalúan aspectos como discos de almacenamiento, memorias, actividad de red, archivos y cualquier otro tipo de información que pueda adquirirse del dispositivo.  

Forense de Sistemas Operativos (OS) 

El Sistema Operativo (OS) es el programa que permite a otros programas tomar los recursos de la computadora y funcionar correctamente sin la interrupción de unos con otros. En este sentido, el OS es un sistema complejo, pero que a su vez puede brindar mucha información relevante en un caso criminal, tales como documentos, fotos, videos, correos, etc. 

Entonces, el forense de sistemas operativos es el encargado de recuperar, copiar y analizar toda la información y reportarla por medio de un informe. 

Forense de bases de datos 

Las bases de datos son uno de los puntos más críticos para la mayoría de los sistemas modernos y, en ocasiones, puede darse la situación en la que se presentan algunas inconsistencias que podrían levantar sospechas, especialmente en el sector financiero para la detección de fraudes. El seguimiento y análisis de estos escenarios es cubierto por el forense en bases de datos.  

¿Te ha interesado la informática forense?

La informática forense no solo es fascinante, también es un campo en constante crecimiento y con gran proyección profesional. Formarte en él te permitirá abrir puertas en áreas como la ciberseguridad, la consultoría digital o la investigación judicial. 

En la Universidad El Bosque contamos con el Curso en Informática Forense, diseñado para que aprendas desde los conceptos básicos hasta el análisis práctico de evidencias digitales, dispositivos y procesos forenses. Podrás conocer las herramientas más utilizadas y adquirir competencias que fortalecen tu perfil profesional en el mundo digital. 

¿Qué esperas para impulsar tu futuro? El Bosque te mueve a crecer y ser excelente en Curso de Informática forense.