Ciberseguridad · Capítulo 13
Análisis Forense Digital: La Ciencia de Investigar Crímenes Informáticos
Cómo los investigadores extraen, preservan y analizan evidencia digital para resolver crímenes, procesar a culpables y exonerar a inocentes.
¿Qué Es el Análisis Forense Digital?
La forense digital (también llamada informática forense o ciberforense) es la ciencia de identificar, preservar, extraer, analizar y presentar evidencia digital de manera que sea legalmente admisible en un proceso judicial o disciplinario. Es la intersección entre la informática, la investigación criminal y el derecho.
Sus aplicaciones van mucho más allá de las películas policiacas:
- Investigaciones penales: fraude financiero, pornografía infantil, cibercrimen, homicidio (localización de sospechosos mediante metadatos)
- Litigios civiles: disputas contractuales, propiedad intelectual, acoso laboral (emails como evidencia)
- Respuesta a incidentes corporativos: investigar quién filtró información confidencial, cómo entraron los atacantes
- Investigaciones de RRHH: uso inapropiado de recursos de la empresa, fraude interno
- Cumplimiento regulatorio: demostrar conformidad o detectar infracciones
La Cadena de Custodia: Por Qué la Integridad de la Evidencia es Crítica
Definición: La cadena de custodia es el registro cronológico y documentado de quién tuvo acceso a la evidencia, cuándo, dónde y qué hizo con ella desde el momento de su recolección hasta su presentación en juicio. Si la cadena se rompe, la evidencia puede ser declarada inadmisible por el juez, sin importar cuán incriminatoria sea.
La cadena de custodia requiere documentar meticulosamente cada transferencia de evidencia. Los requisitos mínimos incluyen:
- Registro del nombre completo de quien recoge la evidencia, con firma
- Fecha, hora y lugar exactos de la recolección
- Descripción detallada del estado del dispositivo (encendido/apagado, cables conectados, pantalla visible)
- Número de serie y modelo del dispositivo
- Fotografías del estado original antes de tocar nada
- Embolsado y sellado con cinta de evidencia firmada
- Registro de cada persona que accede a la evidencia posteriormente
- Condiciones de almacenamiento (temperatura, humedad, protección electromagnética)
Tipos de Evidencia Digital
Archivos y documentos
Incluye no solo los archivos existentes sino también los eliminados. Cuando un sistema operativo "elimina" un archivo, generalmente solo marca el espacio como disponible — los datos permanecen hasta ser sobrescritos. Un forense puede recuperar archivos eliminados semanas o meses después, dependiendo de la actividad del disco.
Metadatos
Los metadatos son datos sobre datos, y son invaluables en investigaciones forenses. Ejemplos:
- Fotos EXIF: la mayoría de cámaras y smartphones embeben en la imagen metadatos que incluyen la marca y modelo del dispositivo, fecha y hora exacta, y si el GPS estaba activo, las coordenadas geográficas precisas donde se tomó la foto.
- Documentos de Word/PDF: contienen el autor, organización, fecha de creación, fecha de última modificación, y en versiones antiguas, incluso el historial de revisiones con texto borrado recuperable.
- Emails: los encabezados revelan la ruta completa que tomó el mensaje, las IPs de los servidores intermedios, el cliente de correo usado y la marca de tiempo en cada salto.
Logs del sistema
- Windows Event Log: registra inicios de sesión (exitosos y fallidos), instalación de software, errores del sistema, cambios en cuentas de usuario
- Linux /var/log/: auth.log (autenticación), syslog (sistema), apache2/access.log (accesos web)
- Logs de servidores web: registran cada solicitud HTTP: IP origen, recurso solicitado, código de respuesta, cantidad de datos transferidos, agente de usuario (navegador)
Artefactos del navegador
Los navegadores web guardan una cantidad sorprendente de información:
- Historial de páginas visitadas (URL, título, fecha/hora, número de visitas)
- Caché de páginas (copias locales de contenido web visitado)
- Descargas (qué se descargó, de dónde, cuándo)
- Formularios autocompletados y búsquedas
- Cookies de sesión (pueden permitir restaurar sesiones activas)
- Base de datos SQLite de favoritos y contraseñas guardadas
Contenido de la RAM (memoria volátil)
La memoria RAM es extremadamente valiosa en forense — contiene información que no existe en el disco duro. Un volcado de RAM puede revelar:
- Claves de cifrado en uso (para discos cifrados con BitLocker o VeraCrypt)
- Procesos en ejecución en el momento del análisis
- Conexiones de red activas y sus contenidos
- Sesiones de navegación abiertas (incluyendo modo incógnito)
- Contraseñas en texto plano que ciertas aplicaciones mantienen en memoria
- Fragmentos de conversaciones de mensajería
Principio de volatilidad: En forense digital, se recolecta primero la evidencia más volátil. El orden es: RAM → conexiones de red → procesos en ejecución → sistema de archivos → logs → datos de respaldo. La RAM se pierde en segundos al apagar el dispositivo.
El Proceso Forense: NIST SP 800-86
El Instituto Nacional de Estándares y Tecnología de EE.UU. (NIST) publicó la guía SP 800-86 que establece el proceso estándar para la forense digital en cuatro fases:
Fase 1: Recolección
- Fotografiar la escena antes de tocar nada
- Documentar todos los dispositivos: computadoras, teléfonos, tablets, memorias USB, discos externos, routers
- Si el dispositivo está encendido: decidir si apagar (pierde RAM) o mantener encendido para volcado de memoria
- Usar bloqueadores de escritura (write blockers) — dispositivos hardware que permiten leer el disco sin modificarlo accidentalmente. Sin write blocker, el simple acto de conectar un disco a una computadora modifica timestamps de acceso.
- Aislar dispositivos móviles en bolsas de Faraday para prevenir borrado remoto o transmisión de datos
Fase 2: Adquisición
Se crea una copia bit a bit (imagen forense) del dispositivo de almacenamiento. Esto es diferente a copiar archivos — copia cada bit del disco, incluyendo espacio "vacío", particiones ocultas, y archivos eliminados.
- Se calcula el hash criptográfico (MD5 y SHA-256) del disco original antes de la adquisición
- Se crea la imagen con herramientas forenses (FTK Imager, dd en Linux)
- Se calcula el hash de la imagen resultante — debe ser idéntico al del original, demostrando que la copia es exacta
- Toda la investigación se realiza sobre la imagen, nunca sobre el original
¿Por qué importa el hash? Si el hash SHA-256 de la imagen es idéntico al hash del disco original, es matemáticamente imposible que el contenido sea diferente. Esto permite al investigador demostrar en juicio que la evidencia no fue alterada durante el proceso. Un solo bit cambiado produce un hash completamente diferente.
Fase 3: Análisis
Con la imagen forense verificada, el investigador realiza:
- Montaje de la imagen en herramientas forenses para navegar el sistema de archivos
- File carving: búsqueda de archivos eliminados en el espacio no asignado del disco, identificando tipos de archivo por sus "magic bytes" (firma hexadecimal al inicio de cada tipo de archivo)
- Reconstrucción de línea temporal: ordenar todos los eventos (creación, modificación, acceso de archivos; logins; actividad de red) cronológicamente para entender la narrativa de los hechos
- Análisis de palabras clave: búsqueda de términos específicos en todo el disco, incluyendo espacio no asignado
- Análisis de artefactos de sistema: registro de Windows (Registry), prefetch de aplicaciones ejecutadas, lnk files (accesos directos que revelan archivos abiertos)
Fase 4: Reporte
- Informe técnico: para investigadores, abogados y jueces técnicamente informados. Incluye metodología detallada, hallazgos con evidencia de respaldo, capturas de pantalla, hashes de verificación.
- Informe ejecutivo: para no técnicos (jurado, gerencia, prensa). Explica los hallazgos en lenguaje claro sin jerga.
- Testimonio pericial: el investigador puede ser llamado como testigo experto. Debe explicar la metodología de forma comprensible y resistir el contrainterrogatorio de la defensa.
Herramientas Forenses Principales
| Herramienta | Tipo | Uso Principal | Costo |
|---|
| Autopsy | GUI de análisis de disco | Navegar imágenes forenses, buscar archivos eliminados, línea de tiempo | Gratuita (open source) |
| Sleuth Kit | Línea de comandos | Análisis de sistemas de archivos, base de Autopsy | Gratuita (open source) |
| FTK Imager | Adquisición de imágenes | Crear imágenes forenses bit a bit, verificar hashes | Gratuita |
| Volatility | Análisis de memoria RAM | Analizar volcados de RAM, extraer procesos, conexiones, claves | Gratuita (open source) |
| Wireshark | Análisis de red | Capturar y analizar tráfico de red, reconstruir sesiones | Gratuita (open source) |
| ExifTool | Metadatos | Extraer metadatos de imágenes, documentos, audio, video | Gratuita (open source) |
| Cellebrite UFED | Forense móvil | Extraer datos de smartphones (usado por policías) | $5,000–$15,000+ |
File Carving: Recuperando lo Eliminado
Cuando eliminas un archivo en Windows o Mac, el sistema operativo simplemente marca los bloques de disco que ocupaba como "disponibles" en la tabla de asignación de archivos (FAT o NTFS Master File Table). Los datos reales permanecen en el disco hasta que nuevos datos los sobreescriban.
El file carving es el proceso de buscar en el espacio no asignado del disco los "magic bytes" que identifican tipos de archivo:
- Archivos JPEG comienzan con:
FF D8 FF
- Archivos PDF comienzan con:
25 50 44 46 (%PDF)
- Archivos ZIP comienzan con:
50 4B 03 04 (PK)
- Documentos Word .docx comienzan con:
50 4B (son ZIP internamente)
Al encontrar estas firmas en espacio "vacío", el investigador puede reconstruir el archivo aunque ya no aparezca en el sistema de archivos. La tasa de éxito depende de cuánto ha sido sobreescrito el disco desde la eliminación.
Caso Real: Los Metadatos que Ubicaron a John McAfee
Caso: John McAfee, Vice Magazine, 2012
El fundador del antivirus McAfee era buscado por la policía de Belice como persona de interés en un asesinato. Huyó y se ocultó. Dos periodistas de Vice Magazine lo encontraron y publicaron una entrevista con una foto tomada con un iPhone.
El iPhone había guardado automáticamente las coordenadas GPS en los metadatos EXIF de la foto. El periodista publicó la imagen sin eliminar los metadatos. Usuarios de internet extrajeron los datos EXIF con ExifTool y determinaron que McAfee estaba en Guatemala, en las coordenadas 15°40'N, 89°10'W. Las autoridades guatemaltecas lo localizaron y detuvo pocos días después.
Lección: antes de publicar fotos tomadas con smartphone, considera eliminar los metadatos EXIF (especialmente la ubicación GPS). La mayoría de redes sociales lo hacen automáticamente, pero no siempre.
Anti-Forense: Cómo los Criminales Intentan Borrar sus Huellas
Comprender las técnicas anti-forense es importante para los investigadores, porque explica por qué ciertos datos no se encuentran y orienta la investigación hacia donde sí puede haber evidencia:
- Eliminación segura: herramientas como Eraser (Windows) o DBAN sobreescriben los datos múltiples veces con patrones aleatorios, haciendo el file carving imposible. El estándar DoD 5220.22-M recomienda 7 pasadas de sobreescritura.
- Cifrado: BitLocker (Windows), VeraCrypt, FileVault (Mac) — si el disco está cifrado y no se tiene la clave, el contenido es inaccesible. Por eso los investigadores intentan obtener la clave de la RAM antes de apagar el dispositivo.
- Esteganografía: ocultar datos dentro de archivos aparentemente inocuos (por ejemplo, esconder texto en los bits menos significativos de los píxeles de una imagen JPEG).
- Sistemas operativos en vivo (Live OS): Tails OS corre completamente desde una USB, no escribe nada al disco duro del host y deja mínima evidencia.
- Máquinas virtuales: realizar actividades en una VM que luego se elimina, dejando poca evidencia en el host.
- Manipulación de timestamps: herramientas que modifican los timestamps MAC (Modified, Accessed, Created) de archivos para confundir la línea temporal.
Forense Móvil: El Reto de los Smartphones
Los smartphones modernos presentan desafíos únicos para la forense:
- El cifrado por defecto (iOS desde 2014, Android desde 2015) hace imposible el acceso sin la clave o el PIN del dispositivo.
- Cellebrite UFED es la herramienta más usada por fuerzas policiales mundialmente. Puede extraer datos de miles de modelos de teléfono, incluyendo algunos cifrados, mediante vulnerabilidades en el bootloader. Su efectividad varía enormemente según el modelo y versión del OS.
- El FBI pagó más de $1 millón a una empresa externa para desbloquear el iPhone del atacante de San Bernardino (2016), cuando Apple se negó a crear un backdoor.
- La sincronización con la nube (iCloud, Google Drive) puede ser más accesible que el dispositivo físico mediante orden judicial a Apple o Google.
Carreras en Forense Digital
Es uno de los campos de mayor crecimiento en ciberseguridad:
- Certificaciones: CHFI (Computer Hacking Forensic Investigator) — EC-Council; EnCE (EnCase Certified Examiner); GCFE/GCFA — GIAC
- Salarios (EE.UU.): $70,000–$120,000 anuales en el sector privado; agencias federales (FBI, Secret Service) tienen escalas similares con beneficios adicionales
- Empleadores: fuerzas policiales, agencias de inteligencia, grandes firmas de consultoría (PwC, Deloitte, KPMG tienen divisiones forenses), compañías de respuesta a incidentes (Mandiant, CrowdStrike)
Resumen / Summary
- La forense digital aplica en investigaciones penales, litigios civiles, respuesta a incidentes corporativos e investigaciones de RRHH; siempre requiere cadena de custodia documentada para que la evidencia sea admisible en juicio.
- La evidencia digital incluye archivos eliminados, metadatos (EXIF con GPS en fotos), logs del sistema, artefactos del navegador y contenido de RAM (que puede contener claves de cifrado y sesiones activas).
- El proceso NIST SP 800-86 consta de cuatro fases: Recolección (con write blocker y fotografía), Adquisición (imagen bit a bit verificada con hash SHA-256), Análisis y Reporte.
- El file carving recupera archivos eliminados buscando sus "magic bytes" en espacio no asignado del disco; funciona porque eliminar un archivo solo marca el espacio como disponible, no borra los datos.
- Los metadatos EXIF ubicaron a John McAfee en Guatemala (2012) gracias a las coordenadas GPS embebidas en una foto publicada por periodistas de Vice sin eliminar los metadatos.
- Técnicas anti-forense incluyen eliminación segura (DBAN), cifrado de disco completo, esteganografía, sistemas operativos en vivo (Tails) y manipulación de timestamps.
- Las certificaciones CHFI, EnCE y GCFA abren carreras con salarios de $70K–$120K en fuerzas policiales, agencias federales y firmas de consultoría forense.