Cmo ser un detective informtico

En las series de detectives, el investigador se sienta delante del ordenador del sospechoso, pulsa
cuatro teclas y obtiene toda la informacin que buscaba. En la vida real no es tan sencillo, pero
con las herramientas adecuadas es posible explorar un ordenador en pocas horas.
En busca de qu? Pues de imgenes, texto, archivos borrados, registros de conversaciones,
historiales web, contraseas y todos aquellos archivos que permiten rastrear la actividad de
una persona en un ordenador. Por supuesto, muchas de estas utilidades tambin sirven para
rescatar informacin propia.

Recuperar archivos y correos borrados

A menos que alguien lleve a cabo limpiezas peridicas del espacio vaco (por ejemplo, con Disk
Wipe) o trabaje en entornos temporales (como Live-CD o mquinas virtuales), recuperar los
archivos borrados no solo es posible, sino tambin muy sencillo.

Algunas de las herramientas ms eficaces para este cometido son DiskDigger, Recuva, Pandora
Recovery o TestDisk, que rescata incluso particiones perdidas y sectores de arranque.
Si los datos se encuentran en CD y DVD ilegibles, vale la pena intentar una lectura de bajo nivel
con ISOBuster. Para correos borrados en Outlook Express, Format Recovery es una buena
opcin gratuita.

Rescatar las contraseas

La contrasea es un sistema de proteccin usado por muchos sitios web, programas de
mensajera y herramientas ofimticas. Recolectar las claves existentes permite rescatar mucha
informacin valiosa.

BrowserPasswordDecryptor recupera todas las contraseas almacenadas en los

navegadores web

MessenPass hace otro tanto con los usuarios y contraseas de Messenger, ICQ, Yahoo!...

Mail PassView rescata las claves de las cuentas de correo locales (en Outlook, Eudora,
Thunderbird, etc.)

BulletsPassView, ShoWin y AsteriskKey desvelan las contraseas ocultas tras asteriscos

WirelessKeyDump obtiene las contraseas de las redes WiFi

FireMaster intenta recuperar la contrasea maestra de Firefox

Nirsoft y SecurityXploded tienen muchas herramientas dedicadas exclusivamente a la

recuperacin de contraseas, casi todas ejecutables desde memorias USB. Conviene recordar que
solo obtienen contraseas almacenadas sin proteccin y que para romper el cifrado es necesario
recurrir a ataques criptogrficos (por ejemplo, con Cain & Abel).

Escarbar en cachs e historiales

Cuando estamos usando ordenadores, pasamos gran parte de nuestro tiempo navegando y
chateando. Esto genera subproductos en forma de texto e imgenes: la "basura" (cach) y los
registros de actividad (historiales) que se guardan automticamente (a menos que se limpien
peridicamente o se usen modos privados).

Chat Sniper recopila historiales, imgenes y contactos de Messenger, AIM y Yahoo!

Messenger

IECacheView, MozillaCacheView, OperaCacheView y ChromeCacheView exploran la

cach

VideoCacheView est dedicado a los vdeos Flash que se guardan en la cach

MyLastSearch recopila las ltimas bsquedas llevadas a cabo en Google, Yahoo y Bing

SkypeLogView sirve para ver cules fueron las ltimas llamadas hechas con Skype

LiveContactsView enumera los detalles de los contactos de Windows Live Messenger

FlashCookieView analiza las cookies Flash

Tambin hay utilidades especficas para ciertos escenarios. WinPrefetchView, por ejemplo,
analiza la carpeta Prefetch en busca de datos asociados a los programas que se ejecutan con
mayor frecuencia, mientras que Rifiuti escarba en la Papelera de reciclaje.

Buscar documentos y adjuntos de correo

Buscar documentos es un paso lgico en toda investigacin. FI Tools es capaz de encontrar ms
de 4.000 tipos de archivos y explorar su contenido. Por otro lado, con la ayuda de DocFetcher y
Metadata Extractor puedes buscar texto y metadatos de los documentos del disco duro. Para
buscar texto, Drive Look es particularmente eficaz.

Para rebuscar en los adjuntos de Outlook, OutlookAttachView es increblemente til. Para un

backup rpido de los correos y adjuntos de Mozilla Thunderbird, MozBackup es la primera
eleccin. Y si quieres un visor rpido, baja Mail Viewer.

Buscar, clasificar y recuperar imgenes

Una versin portable de Picasa es el mejor aliado para buscar y organizar fotografas
rpidamente, aunque Adobis Photo Sorter y Media Event Organizer tambin sirven para
clasificar las imgenes en grupos.

Para recuperar fotografas borradas (sean autnticas o no), recomendamos Adroit Photo
Recovery y Adroit Photo Forensics, dos herramientas de informtica forense especializadas en la
recuperacin de imgenes.

Explorar disco duro y memoria

Al examinar un ordenador, necesitars una visin global de carpetas y archivos; SpaceSniffer,
Scanner o WinDirStat Portable ofrecen resmenes rpidos del reparto de espacio en los discos
duros. Para crear una base de datos de carpetas, usa getFolder y FileLister.

Por ltimo, puede darse el caso de que el ordenador al que has accedido est todava encendido y
con programas abiertos. Comprueba qu archivos estn en uso con OpenedFilesView y analiza la
memoria con la ayuda de un editor hexadecimal (por ejemplo, WinHex o HxD).
Ms avanzados son MoonSols Windows Memory Toolkit y Volatility Framework, que analizan
volcados de memoria y ficheros de hibernacin de Windows, trozos de memoria "congelados"
que pueden contener informacin valiosa.

Suites: OSForensics y Windows File Analyzer

OSForensics es una suite de informtica forense con una serie de utilidades nicas: buscador de
texto, ndice de contenidos del disco, analizador de actividad reciente, bsqueda de archivos
borrados o discordantes y visor de memoria y disco.

La particularidad de OSForensics, adems de concentrar varias herramientas en una sola ventana,

es su gestor de casos, til para organizar los datos de distintas investigaciones.
Ms sencillo es Windows File Analyzer, que explora en las bases de datos de miniaturas (los
archivos Thumbs.db), archivos de precarga (Prefetch), documentos recientes, historial de Internet
Explorer y basura de la Papelera.