INFORME DE ANALISIS FORENSE

El anlisis forense digital se corresponde con un conjunto de tcnicas

destinadas a extraer informacin valiosa de discos, sin alterar el estado de
los mismos. Esto permite buscar datos que son conocidos previamente,
tratando
de
encontrar
un patrn o comportamiento determinado,
o descubrir informacin que se encontraba oculta. En este post se
introducir el tema, as como la utilidad del mismo, ya sea dentro o fuera de
una investigacin.
En el campo de la Informtica Forense existen diversas etapas que definen
la metodologa a seguir en una investigacin: identificacin, preservacin o
adquisicin, anlisis y presentacin de los resultados. Siguiendo el flujo
lgico de actividades, primero se debe identificar las fuentes de datos a
analizar y aquello que se desea encontrar, luego se debe adquirir las
imgenes forenses de los discos o fuentes de informacin, posteriormente
se realiza el anlisis de lo adquirido para extraer informacin valiosa y
finalmente se ordenan los resultados del anlisis y se presentan, de tal
modo que resulten tiles. Hace unas semanas se analiz en este blog el
proceso de adquisicin, comparando medidas de rendimiento y facilidad de
uso, para determinar qu herramienta de adquisicin de imgenes forenses
elegir. Es tiempo de pasar a la siguiente etapa: el anlisis de la informacin
adquirida.
Tener una copia exacta de un disco permite al investigador acceder
al sistema de archivos e inspeccionar las cuentas de usuario existentes,
los documentos asociados a un usuario, y los programas instalados, entre
otras cosas. Sin embargo, mediante la utilizacin de herramientas y suites
forenses, se puede buscar una gran variedad de informacin que es difcil
de encontrar por simple inspeccin. En primera instancia, se
puede indexar el contenido del disco de acuerdo con ciertas palabras clave,
pudiendo realizar luego bsquedas de esas palabras, visualizando los
archivos donde se encuentran y su contenido. Por ejemplo, si se quiere
encontrar evidencia de un fraude, se pueden buscar palabras como
fraude, robo o soborno.
Adems, es posible realizar una recuperacin de archivos borrados o datos
en partes especiales del disco, como espacios no asignados. En cuanto a las
comunicaciones y actividades sociales, estas herramientas proveen
caractersticas para acceder a correos electrnicos almacenados, as como
recuperar correos eliminados, o ver historiales de chat y de navegacin por
Internet. Por ltimo, vale la pena mencionar que se puede recuperar
informacin como el ltimo usuario que inici sesin, o los dispositivos USB
que fueron introducidos en el equipo, entre otros datos de sesin.
Para concluir, es importante mencionar que, si bien el proceso de anlisis
forense se aplica principalmente en investigaciones, en las cuales se desea
encontrar evidencia que soporte una hiptesis, las herramientas disponibles
son cada vez ms accesibles para el usuario final. As, es posible
utilizar herramientas para realizar algunas tareas especficas, como la

recuperacin de archivos eliminados, en forma sencilla. Para este proceso

de anlisis forense existen diversas suites con capacidades integradas de
recuperacin de archivos, visores de correos electrnicos, imgenes y
documentos
ofimticos.
Tambin
pueden
utilizarse herramientas
especficas para cada tarea, las cuales pueden ser gratuitas o pagas. En un
prximo post se aplicarn las actividades descriptas a un determinado caso,
para observar las posibilidades que existen en este tipo de anlisis.