Amedida que las personas tienen más equipos digitales –computadoras, laptops, tabletas, teléfonos inteligentes, etc.– y que la información en las instituciones, empresas y en la sociedad en general se digitaliza, aumenta el interés de los cibercriminales por atacar, ya sea por la vía técnica o a través de la ingeniería social.
Los delitos del mundo digital incluyen el fraude, la piratería y el robo de identidad o de información confidencial, hasta el lavado de dinero, venta de drogas y de medicinas falsificadas, bullying, chantaje, abuso y pornografía infantil, botnets, ataques de denegación de servicios y terrorismo.
La ciencia forense digital busca recuperar datos (documentos, correos, historial de navegación, conversaciones en redes sociales, imágenes, archivos, videos, etc.) que sirvan como evidencia en estos casos.
Aunque los criminales traten de borrar su huella online, archivos, bitácoras o historiales, las computadoras y laptops tienen una memoria permanente y una temporal que contienen cierta evidencia. La memoria temporal puede tener información de conversaciones recientes en redes sociales, chats o historial de navegación, aún si se usó en modo privado. Además, las bases de datos de Skype, imágenes, documentos y otros pueden descubrirse al analizar el disco o la imagen del disco con herramientas especializadas (software).
Un método llamado Camera ballistics o Photo ballistics permite determinar la huella de la cámara con que se tomó una imagen y si se ha modificado su metadata. Por ejemplo, si se han usado editores gráficos.
Los investigadores tienen acuerdos con agencias como la Organización Internacional de Policía Criminal (Interpol), la cual tiene una base de datos que complementa los análisis de imágenes respecto a detección de piel (potencial desnudez), detección de rostros de víctimas y abusadores.
Yuri Gubanov, experto ruso en ciencia forense digital y fundador de la compañía de software forense Belkasoft, expuso en Panamá sobre estos aspectos, junto a Antonio Ayala, vicepresidente ejecutivo de la consultora RISCCO.
Gubanov destacó tendencias como un aumento del cibercrimen y de los análisis forenses en la nube; más análisis en dispositivos móviles, una mayor cantidad de virus para Android; y estimó que a medida que haya más aparatos con Windows 10, habrá más casos forenses en este sistema.
También, más discos duros son encriptados por los cibercriminales para pedir un pago por liberarlos, y hay más ingeniería social. En vez de un hacking técnico, interviene el factor humano, es decir, los colaboradores de una organización.
El proceso de obtener y analizar evidencia digital se ha complicado por la enorme cantidad de datos que se genera y por la encriptación o cifrado de los mismos, que los hace ilegibles sin la contraseña. Hay más ataques dirigidos que buscan explotar la información de un objetivo. Por ejemplo, atacar el software que hace transferencias en un banco, para robar dinero.
A veces, a pesar de todas las herramientas existentes, no es posible extraer información de un aparato, y si se logra está encriptada. Por otro lado, puede durar mucho tiempo analizar terabytes de información.
Ayala concluyó que en ocasiones no se puede recuperar la información borrada. Además, aunque tenga un “Ferrari” para análisis forenses, tampoco extraerá los datos en 10 minutos. “Procesar la información rápido es un desafío a veces mayor que hallar la información”.
Las redes sociales son otro reto porque la información se va a un servidor de la compañía y es difícil recuperarla. Puede requerir una orden judicial.
Gubanov ilustró el tema con algunos casos reales, como el de una niña de 11 años que estaba desaparecida en Rusia y que fue encontrada unas tres horas después gracias al análisis de la información de la memoria de su laptop con una herramienta especial.
En otro caso de venta de drogas de diseño se usó la tecnología para desfragmentar información de una laptop porque las imágenes que buscaban para probar que su dueño estaba involucrado en este delito, aparecían incompletas. Al final se comprobó que las imágenes se habían colgado en una red social desde su equipo.
Ayala mencionó que en las organizaciones se suele monitorear a quienes pretenden acceder a información confidencial, pero también se debe monitorear a quienes, por la naturaleza de sus funciones, sí tienen acceso a esos datos. Por otro lado, añadió, las investigaciones forenses se complican al poner información sensitiva de las compañías en la nube para reducir costos operativos. “Si se mete en la nube, hágalo bien”, advierte.
