robot de la enciclopedia para niños

Cómputo forense para niños

Enciclopedia para niños

El cómputo forense, también conocido como informática forense o análisis forense digital, es como el trabajo de un detective, pero en el mundo de las computadoras y los aparatos electrónicos. Se trata de usar técnicas especiales y científicas para encontrar, guardar, analizar y presentar información digital de forma válida en un proceso legal.

Estas técnicas ayudan a reconstruir lo que pasó en un dispositivo, a examinar datos que parecen borrados, a verificar si la información es auténtica y a explicar cómo se usaron los datos o los equipos.

Esta área no solo usa tecnología avanzada para proteger la información, sino que también necesita personas muy expertas en computadoras y sistemas. Un especialista en informática forense sabe mucho sobre programas (software), partes físicas de la computadora (hardware), redes, seguridad, cómo se hacen cosas no permitidas en línea (como el hackeo) y cómo recuperar información.

La informática forense es muy útil para encontrar pistas sobre ataques a computadoras, robos de información, conversaciones o para reunir pruebas en correos electrónicos y chats.

La evidencia digital o electrónica es muy delicada. Por ejemplo, con solo hacer doble clic en un archivo, se cambia la fecha de su último acceso. Por eso, es muy importante mantener su estado original.

En el proceso de cómputo forense, un experto puede recuperar información que fue borrada del sistema. El informático forense siempre debe recordar la importancia de no dejar rastros al manipular la evidencia, como un detective que no contamina la escena.

Es importante saber que el cómputo forense no busca evitar que ocurran problemas, sino investigar lo que ya pasó. Para prevenir, existen otras áreas como la seguridad informática y la auditoría informática.

¿Qué es el Cómputo Forense?

Existen diferentes nombres para esta ciencia que investiga en el mundo digital. Cada uno se enfoca en aspectos específicos o generales:

  • Computación forense (computer forensics)
    • Es la parte de la ciencia forense que se encarga de los procedimientos para descubrir e interpretar información en computadoras y otros medios digitales. Su objetivo es establecer lo que ocurrió en un caso.
    • También se refiere a la ciencia que analiza la información de las tecnologías y equipos de computación para entender su funcionamiento.
  • Análisis forense de redes (network forensics)
    • Se ocupa de las operaciones en las redes de computadoras. Busca rastros e identifica movimientos y acciones. Para esto, es necesario entender cómo funcionan los protocolos, las configuraciones y la infraestructura de las comunicaciones. A diferencia de la computación forense, aquí se busca conectar eventos que pueden parecer diferentes o al azar.
  • Análisis forense digital (digital forensics)
    • Es la aplicación de los conceptos y procedimientos de la investigación a los medios informáticos o digitales. Su meta es ayudar a la justicia cuando hay problemas de seguridad en línea, como posibles acciones ilegales, aclarando incidentes o fraudes.

¿Cuáles son los Objetivos del Cómputo Forense?

El cómputo forense tiene tres metas principales:

  • Ayudar a compensar los daños causados por personas que actúan de forma incorrecta en línea.
  • Apoyar la investigación y el proceso legal de quienes cometen estas acciones.
  • Crear y aplicar medidas para evitar que situaciones similares ocurran de nuevo.

Estos objetivos se logran principalmente reuniendo pruebas o evidencias.

Es muy importante que quienes trabajan en informática forense sean profesionales con mucha ética. Su trabajo es fundamental para tomar decisiones sobre los hechos y casos que analizan.

La Evidencia Digital: Pistas en el Mundo Virtual

Los discos duros, las memorias USB y las impresoras, entre otros, pueden ser considerados pruebas en un proceso legal, al igual que las huellas dactilares o las herramientas en una investigación tradicional. Las evidencias digitales son las que se obtienen de un medio informático.

Características de la Evidencia Digital

Estas pruebas tienen algunas características que hacen que el trabajo de cómputo forense sea un reto:

  • Volatilidad: Pueden desaparecer o cambiar fácilmente.
  • Anonimato: A veces es difícil saber quién las creó.
  • Facilidad de duplicación: Se pueden copiar muchas veces sin dejar rastro.
  • Alterabilidad: Se pueden modificar con facilidad.
  • Facilidad de eliminación: Se pueden borrar rápidamente.

Tipos de Evidencia Digital

Estas pruebas se pueden clasificar en tres grupos:

  • Registros guardados en el equipo (por ejemplo, imágenes y correos electrónicos).
  • Registros creados por equipos (por ejemplo, transacciones o registros de eventos).
  • Registros que se generan y guardan parcialmente en los equipos (por ejemplo, búsquedas en bases de datos).

Dispositivos que se Analizan

Cualquier aparato informático que tenga memoria (donde se guarda información) puede ser analizado:

  • Disco duro de una computadora o servidor.
  • Documentos relacionados con el caso.
  • Tipo de sistema de telecomunicaciones.
  • Dirección MAC.
  • Registros de inicio de sesión.
  • Información de los cortafuegos.
  • Direcciones IP, redes Proxy, conexiones y pasarelas.
  • Programas (software) de supervisión y seguridad.
  • Datos de acceso (credenciales de autentificación).
  • Rastreo de paquetes de red.
  • Teléfonos móviles o celulares.
  • Agendas electrónicas (PDA).
  • Dispositivos de GPS.
  • Impresoras.
  • Memorias USB.
  • BIOS.

Los Roles en una Investigación Digital

En una investigación donde se necesita el cómputo forense, hay tres roles principales a considerar: el atacante, el administrador y el investigador.

El Atacante: ¿Quién Hace las Cosas Malas?

El atacante es la persona que intenta entrar a un sistema sin permiso, hace cambios no autorizados, manipula contraseñas o modifica configuraciones. Su intención es clave para entender el caso. No es lo mismo alguien que busca dinero que alguien que solo quiere demostrar sus habilidades.

Los atacantes suelen seguir tres fases:

  • Fase de reconocimiento: Buscan y recolectan información para saber cómo actuar y qué riesgos hay.
  • Fase de ataque: Entran al sistema y tratan de tomar el control. Esta etapa suele ser discreta para no ser detectados.
  • Fase de eliminación: Modifican, borran o hacen desaparecer cualquier evidencia que pueda conectarlos con lo que hicieron. La forma en que el atacante maneja esta fase afecta mucho el trabajo del informático forense.

El Administrador de Sistemas: El Guardián Digital

El administrador de sistemas es el experto que se encarga de la configuración de un sistema, de la infraestructura informática y de la seguridad. Son los primeros en darse cuenta de un problema, ya sea por un atacante o por una falla interna. Como son los creadores de la infraestructura de seguridad, deben reaccionar primero ante un ataque y compartir su conocimiento para ayudar a resolver el caso.

Las herramientas de seguridad han mejorado mucho con la tecnología. Antes, la información estaba en un solo equipo y la seguridad se centraba en controlar el acceso a ese equipo. Ahora, con las redes y la web, se usan herramientas como los proxies, firewall, el sistema de detección de intrusos (IDS) y el sistema de prevención de intrusos (IPS) para proteger los sistemas.

También son importantes la auditabilidad (capacidad de un sistema para registrar eventos y mantener un historial) y la trazabilidad (capacidad de rastrear relaciones entre objetos monitoreados). Estas propiedades son muy útiles como evidencia para el investigador.

El Investigador Forense: El Detective Digital

El investigador es un profesional nuevo que actúa como experto o criminalista digital. Entiende y conoce las nuevas tecnologías de la información y analiza los problemas de seguridad que surgen. Es un perfil muy necesario hoy en día.

En una investigación informática forense, hay varios roles, y los informáticos forenses pueden tomar algunos de ellos:

  • Líder del caso: Planea y organiza toda la investigación digital.
  • Auditor/ingeniero especialista en seguridad de la información: Conoce el sistema y la seguridad, y proporciona información clave.
  • Especialista en informática forense: Identifica las pruebas digitales y su relación con los hechos para descubrir lo que pasó.
  • Analista en informática forense: Examina los datos y elementos recogidos para extraer toda la información relevante.

Una misma persona puede desempeñar varios de estos roles en una investigación.

Pasos en el Proceso de Cómputo Forense

El proceso de análisis forense sigue varios pasos:

Identificación: El Primer Paso

Es crucial conocer los detalles del problema, la situación actual y el plan a seguir. Esto ayuda a tomar las mejores decisiones sobre cómo buscar y qué estrategias usar. Incluye identificar el equipo, cómo se usa en la red, iniciar la cadena de custodia (proceso para asegurar la integridad de la evidencia) y revisar el marco legal.

Preservación: Protegiendo las Pistas

Este paso implica crear "imágenes forenses" de la evidencia para poder analizarla. Una imagen forense es una copia exacta, "bit a bit", de todo el disco duro. Esto permite recuperar toda la información, incluso la borrada. Para evitar alterar el disco original, se usan bloqueadores de escritura de hardware.

Análisis: Descubriendo la Verdad

Aquí es donde el experto examina la evidencia digital para encontrar pistas y entender lo que sucedió. Se utilizan herramientas especiales para buscar archivos, correos, registros y cualquier dato relevante.

Presentación: Compartiendo los Hallazgos

Es la etapa donde se reúne toda la información obtenida del análisis para crear un informe. Este informe se presenta a abogados, jueces o a quienes lo soliciten. Debe ser claro, sin usar términos demasiado técnicos, y muy específico. La información debe manejarse con cuidado, ya que el prestigio del experto depende de ello.

Para que su trabajo sea exitoso, el investigador siempre debe:

  • Ser imparcial: Solo analizar y reportar lo que encuentre.
  • Realizar una investigación formal.
  • Mantener la cadena de custodia: Asegurar que la evidencia no se altere.
  • Documentar cada actividad realizada.

El especialista también debe conocer sobre el desarrollo de exploits (vulnerabilidades), lo que le permite anticipar qué tipos de programas o problemas podrían surgir y así observar patrones de comportamiento.

Retos y Desafíos en el Cómputo Forense

Como el mundo digital cambia muy rápido, la informática forense enfrenta nuevos retos. Algunos de ellos son la formación de expertos, la confiabilidad de las herramientas, la facilidad con la que se pueden destruir las pruebas y las nuevas tecnologías como la nube o los teléfonos móviles.

Formación de Expertos en Cómputo Forense

Las personas que cometen acciones incorrectas en línea son una nueva generación de "delincuentes digitales". Por eso, necesitamos un nuevo tipo de investigadores: los informáticos forenses. Es un desafío encontrar personas con este perfil, ya que no hay suficientes programas de formación. Además, muchas personas no son conscientes de la importancia de estos expertos porque no entienden la magnitud de los problemas en línea.

Los programas de formación en cómputo forense deben incluir:

  • Contenido multidisciplinario: Conocimientos técnicos de informática, investigación, seguridad y problemas en línea.
  • Ejercicios prácticos en el laboratorio: Usar herramientas forenses con diferentes niveles de dificultad.
  • Profesores calificados: Con mucho conocimiento en el tema.
  • Ejemplos de casos reales: Para un aprendizaje más profundo.

Confiabilidad de las Herramientas

Las herramientas para el cómputo forense son otro reto. Las herramientas con licencia son costosas, tanto para comprarlas como para mantenerlas. Además, como las herramientas avanzan constantemente, los técnicos deben estar siempre aprendiendo sobre sus actualizaciones y posibles errores. Por otro lado, las herramientas de código abierto (gratuitas) a veces son cuestionadas en los tribunales sobre su fiabilidad.

Por eso, organizaciones como el NIST de Estados Unidos investigan y establecen reglas para probar las herramientas de cómputo forense.

Herramientas de Cómputo Forense

Aquí te mostramos algunas herramientas importantes usadas en el cómputo forense:

Comparación de Herramientas de Cómputo Forense
Herramienta Licencia (¿Es de pago?) Creación de Imagen Control de Integridad Administración del caso
Encase
Forensic Toolkit
Winhex
Sleuth Kit NO

Herramientas para el Análisis General

  • Air (Herramienta gráfica para imágenes forenses)
  • Autopsy (Navegador forense para Sleuth Kit)
  • Dcfldd (Herramienta de línea de comandos para imágenes)
  • Dumpzilla (Navegador forense para Firefox y otros)
  • Encase: [1]
  • Exif Viewer (Visor de metadatos en imágenes)
  • Foremost (Herramienta de línea de comandos para recuperar datos)
  • Forensik Toolkit: [2]
  • Hetman software (Recuperador de datos borrados)
  • Md5deep (Programa para calcular códigos de verificación MD5)
  • Metashield Analyser Online (Analizador de metadatos en línea)
  • R-Studio Emergency (Creador de medios de recuperación de arranque)
  • R-Studio Network Edtion
  • R-Studio RS Agent
  • Regviewer (Visor del Registro de Windows)
  • Sleuth Kit (Kit forense de línea de comandos): [3]
  • Volatility (Reconstrucción y análisis de memoria RAM)
  • X-Ways Forensics
  • X-Ways WinHex [4]

Herramientas para el Análisis de Redes

  • E-Detective - Decision Computer Group
  • SilentRunner - AccessData
  • NetworkMiner

Herramientas para Monitorear el Tráfico de Red

  • Tcpdump
  • USBDeview
  • SilentRunner - AccessData
  • WireShark

Términos Clave en Cómputo Forense

  • Cadena de custodia: Es el registro de quién ha manejado la evidencia desde que se encontró hasta el final del caso. Asegura que los objetos se registren, se cuenten y se protejan, llevando un control de los nombres de las personas y las fechas de entrega y recepción.
  • Imagen forense: También llamada "Espejeo" (en inglés "Mirroring"), es una copia exacta de un medio de almacenamiento electrónico. En la imagen se guardan los espacios ocupados por los archivos y las áreas borradas, incluyendo particiones ocultas.
  • Análisis de archivo: Examina cada archivo digital encontrado y crea una base de datos con información relacionada (metadatos, etc.), incluyendo un código de verificación (hash) que indica si el archivo está completo y sin cambios.

Véase también

Kids robot.svg En inglés: Computer forensics Facts for Kids

Generalidades
  • Seguridad informática
  • Delitos informáticos
  • Ingeniería inversa
  • Auditoría informática
  • Economía de seguridad informática
  • Cibercriminología
Intruso
Defensas
  • Firewall o cortafuegos
  • Sistema de detección de intrusos o IDS
  • Sistema de prevención de intrusos o IPS
Otros
Obtenido de «https://ninos.kiddle.co/index.php?title=Cómputo_forense&oldid=4858077»
kids search engine
Todo el contenido de los artículos de la Enciclopedia Kiddle (incluidas las imágenes) se puede utilizar libremente para fines personales y educativos bajo la licencia Atribución-CompartirIgual a menos que se indique lo contrario. Citar este artículo:
Cómputo forense para Niños. Enciclopedia Kiddle.