Con el crecimiento de los ciberdelitos también se ha desarrollado una disciplina forense digital que busca ayudar a adquirir evidencias para atrapar a los cibercriminales

Imagen: Segurilatam

Álvaro García

Hoy en día, los dispositivos inteligentes se han convertido en herramientas esenciales en la vida cotidiana de las personas y las empresas, en ellos se almacenan todos los datos de los propietarios. Tan sólo en México hay 88.2 millones de personas que cuentan con un teléfono celular y 44.4 millones con una computadora, según los datos recabados en la Encuesta Nacional sobre Disponibilidad y Uso de Tecnologías de la Información en los Hogares (ENDUTIH).

El aumento exponencial de usuarios con dispositivos inteligentes ha favorecido al crecimiento de los ciberataques y los delitos digitales. Con el crecimiento de los ciberdelitos también se ha desarrollado una disciplina forense digital que busca ayudar a adquirir evidencias para atrapar a los cibercriminales.

De acuerdo con Jesús Enrique Ponce Corona, maestro en Ciencias de la Computación y profesor de la ingeniería en Telemática del Centro Universitario del Sur (CUSur), la informática forense es la ciencia que aborda la adquisición de evidencias electrónicas a través de dispositivos para saber de qué manera se llevó a cabo el robo de información, el secuestro de los datos o la destrucción de los mismos.

“Imagínense la escena de un crimen donde tú ves un cuerpo en una habitación, donde hay algunos casquillos, entonces comienzas a capturar todos los elementos como evidencia. En la informática forense es similar, el afectado o la víctima sería el dispositivo, los testigos serían los dispositivos que estarían conectados en red hacia el dispositivo víctima, se les llaman testigos porque ellos capturaron parte de la escena en la que se vio afectado este dispositivo. Por ejemplo, si te llegan a hackear tu consola de videojuegos, tu principal testigo sería el módem, porque a través de él ingresaron a tu dispositivo”, señala Ponce Corona.

El maestro explica que para llevar a cabo una investigación forense se utiliza una metodología de cuatro pasos, los cuales son: preservar, recopilar, analizar y presentar la información.

Preservar la información: Para poder preservar la información en informática forense primero se debe aislar la escena y asegurarse que ningún equipo sea apagado durante el proceso, porque si se llegara a apagar la máquina, sea el afectado o sea el testigo, se pierde la información.

Recopilar la información: Recuperar todos esos datos tampoco es fácil, al insertar una USB se realiza un nuevo registro en el dispositivo, por lo que se ve afectada la evidencia que se recopile durante la investigación, es por ello que durante el peritaje se utilizan dispositivos que se llaman bloqueadores de escritura, que se trata de aparatos con entrada USB que se conectan al sistema afectado y del otro lado del aparato se tiene una entrada USB que va a un disco duro externo, lo que hace este dispositivo es evitar que se hagan nuevos registros en la computadora y poder transferir la información a servidores de almacenamiento portátiles.

También se utilizan dispositivos sondeadores de ondas electromagnéticas, los cuales monitorean cuántas ondas hay alrededor de donde se encuentra la escena, y revisan si hay alguna onda ajena a las que debería haber en el lugar; también sirven para revisar si los dispositivos móviles han sido interrumpidos por un aparato de ruido, los cuales se utilizan para bloquear la señal del internet y del teléfono. 

Analizar la información: Una vez extraída la información del dispositivo afectado y los testigos, se crea una firma, la cual funciona como un candado que bloquea las posibilidades de que haya alguna alteración por parte del forense en la evidencia extraída del dispositivo víctima o testigo.

Presentar la información: En este último paso, el investigador forense le entrega la evidencia al juez y un equipo especializado revisa, a través de la firma electrónica, que el forense no haya modificado ninguna evidencia a su favor, una vez confirmada la evidencia ante un juez, el forense informático terminó su trabajo.

El tener claro estos pasos ayuda a los investigadores a conocer qué sucedió en el momento en que un dispositivo fue hackeado. Sin embargo, lo peor que le puede suceder a un investigador al momento de resguardar la escena, es que alguien baje la pastilla y se apaguen absolutamente todos los aparatos, ya que la evidencia se vería severamente afectada, y una vez borrada la evidencia es muy difícil recuperar, menciona Ponce Corona. El maestro en Ciencias de la Computación es profesor de la asignatura Informática Forense y comenta que no todos los administradores de redes tienen esta cultura y que con estas materias tratan de generar en los próximos ingenieros el tener sus aparatos bien configurados para que puedan ayudar el día de mañana a preservar la información ante un ataque cibernético.

aantonio.garcia@alumnos.udg.mx