Ensayos sobre

ciencia forense
digital
 Varita mágica o enfoque científico?
Mitos y realidades sobre el software forense digital

Existen muchos mitos sobre lo que se puede lograr con la ayuda de software especializado al analizar
medios digitales. Algunos de estos mitos se originan en películas, mientras que otros provienen de
una comprensión general incorrecta de cómo funcionan el software y el hardware. Dado que los
investigadores en general, que no se dedican a la informática forense (DFIR por sus siglas en inglés),
también pueden considerarse personas comunes, sus expectativas sobre lo que un examinador DFIR
puede hacer podrían ser poco realistas.
Aquí tienes un ejemplo de una solicitud recibida por uno de los clientes de Belkasoft:

¿Puedes recuperar información de este dispositivo?

Esto puede sonar gracioso, pero esta es la realidad del trabajo diario de los expertos en informática
forense digital.
Ofreceremos un poco de verdadera magia.
¿Con qué tipos de dificultades puede lidiar la informática forense digital? "Denos algunos ejemplos
de lo que puede percibirse como magia", nos preguntó uno de los periodistas.
Existen una serie de técnicas que, si bien no parecen mágicas para los examinadores DFIR, pueden
parecer milagrosas incluso para las personas más experimentadas. Hablando de las primeras, no es
magia recuperar datos eliminados o parcialmente dañados de un disco duro (aunque se vuelve más
complicado con la proliferación del cifrado integrado). Las técnicas correspondientes incluyen el
"carving" (búsqueda de una "firma" específica a nivel de datos crudos), el análisis del bote de
reciclaje, el análisis de instantáneas del sistema de archivos y otros. Aunque menos común, a veces
es posible recuperar datos eliminados en un dispositivo móvil. Para ello, se puede emplear el análisis
de la lista de espacio libre de SQLite; a veces, se pueden encontrar restos de datos de usuario en
varias cachés de un dispositivo móvil.
Aunque se cree comúnmente que las unidades especiales de la policía pueden desbloquear cualquier
dispositivo móvil, esto no es cierto para cualquier marca y modelo. Esto se vuelve cada vez más
difícil para los dispositivos y versiones de sistemas operativos más nuevos. Sin embargo, para
algunos de ellos, existen algunos trucos disponibles.
También es posible descifrar datos cifrados, dependiendo del método de cifrado empleado, la
fortaleza de la contraseña y los recursos disponibles. El uso de hardware especializado (como
Decryptum de Passware), tablas arcoíris y características como "Crear diccionario de palabras clave"
en Belkasoft X pueden mejorar significativamente las posibilidades de romper incluso contraseñas
fuertes, que en el caso general llevarían mil millones de años de fuerza bruta.
Hablando de casos en los que solo la suerte ayudó a los investigadores a recuperar datos,
mencionemos dos casos.
Coche completamente calcinado

El coche no se ve bien, ¿verdad? Siendo un experto en informática forense digital, ¿le prometería a
su compañero investigador que recuperaría datos de su computadora a bordo?
En la vida real, el experto pudo hacerlo. Eche un vistazo a las imágenes a continuación de los
dispositivos de almacenamiento:

Pura suerte, pero el disco era legible incluso aunque todo lo demás estaba quemado. (Cortesía de
Patrick Eller)
Laptop con disparos
Otra historia fue contada por Deepak Kumar. ¿Cuán grandes son las posibilidades de que este portátil
pueda ser analizado?

Afortunadamente para un investigador, el disco duro estaba intacto en este caso. Esto aún entra en la
clasificación de los casos "milagrosos".
Magia irreal
¿Qué no se puede hacer con la informática forense digital, incluso con la ayuda de una rara
coincidencia llamada "milagro"?
• No se puede recuperar datos de las cenizas como en la primera foto.
• No es posible obtener datos de un dispositivo si nunca se almacenaron en él (aunque es una
solicitud muy popular, como "cómo obtengo todas las versiones de un documento de Word y todos
los editores y sus ediciones correspondientes" o "cómo veo todas las ocasiones en que se conectó un
dispositivo USB a una computadora junto con todos los archivos copiados"; aunque parte de esta
información se puede recuperar, no hay un registro completo en ambos casos).
• No se puede adquirir de forma remota una computadora o dispositivo móvil arbitrario.
• No se puede iniciar sesión en un sistema informático arbitrario en segundos conectando una caja
mágica. Incluso si existiera tal caja, la mayoría de los sistemas te bloquearán después de unos pocos
intentos de adivinar contraseñas.
Te sorprenderá, pero incluso es imposible leer un documento secreto ampliando el reflejo del iris de
un ser humano en un video de vigilancia.
El software forense digital no es una varita mágica, independientemente de los milagros que se
muestran en las películas. Sin embargo, es capaz de hacer una pequeña "magia" desde el punto de
vista de una persona común. Por supuesto, esta "magia" no es magia en absoluto. Todo lo que el
software DFIR puede hacer se basa en un enfoque científico, matemáticas y una programación
minuciosa.

Informática forense y el caso de Casey Anthony

Belkasoft tuvo la suerte de trabajar en este artículo con Kevin Stenger, un examinador de informática
forense que investigó el caso de Casey Anthony. El caso de Casey Anthony ocurrió en 2008. Su hija
Caylee, de 2 años, fue reportada como desaparecida y medio año después fue encontrada muerta. El
comportamiento de la madre fue sospechoso desde el principio y fue arrestada al día siguiente de que
se reportara la desaparición de su hija.
Lo que siguió fue llamado "el juicio en redes sociales del siglo" por la revista TIME. El juicio no
comenzó hasta casi dos años y medio después del caso. Duró aproximadamente seis semanas y hubo
múltiples pruebas físicas, pero algo se destacó: las pruebas electrónicas, en particular, algunas
búsquedas en el navegador que Casey supuestamente realizó antes de la muerte de su hija.
Análisis del historial del navegador
Los términos de búsqueda fueron bastante perturbadores e incluyeron términos de búsqueda en
Google como "cómo hacer cloroformo" y "romper cuello", entre otros. La fiscalía supuso que
Anthony usó cloroformo para dejar inconsciente a su hija. El software utilizado para el análisis de la
computadora también registró 84 visitas a un sitio web que hacía referencia a la fabricación de
"cloroformo".
Aunque Wikipedia afirma, citando un canal de televisión, que "la policía nunca investigó la
evidencia del navegador Firefox en la computadora de Casey", el Sr. Stenger testifica que de hecho
sí lo hizo.
Los datos del historial de Firefox de los que se recuperó esta evidencia estaban ubicados en un
espacio no asignado y no podían atribuirse a un usuario específico. El historial recuperado utilizaba
un formato de base de datos Mork que no se había utilizado en Firefox durante algún tiempo. Se
considera que el formato Mork es ineficiente y difícil de analizar a medida que la base de datos
crece.
Complicando aún más el examen de la computadora, todos los usuarios en el hogar parecían acceder
a la computadora y a las cuentas de usuario. Además, la batería CMOS había estado muerta durante
un período prolongado. Los usuarios que apagaban la computadora y las interrupciones de energía
debido a las tormentas eléctricas comunes en Florida central resultaron en que la fecha y la hora se
restablecieran constantemente a los valores predeterminados. Además, no parecía que los usuarios se
esforzaran por configurar correctamente la fecha y la hora después de que la computadora se
reiniciara.
Se utilizaron cuatro herramientas de examen forense separadas para tratar de examinar el artefacto de
Firefox. Las cuatro produjeron resultados diferentes. Entre el software utilizado para el análisis
estaba una herramienta llamada "CacheBack", cuyo autor era un exoficial de la ley. CacheBack
analizó el historial de Internet Explorer de la computadora de escritorio, que fue incautada en la casa
de Anthony, y proporcionó el resultado descrito anteriormente.
 Interfaz de usuario de CacheBack
Se generó una hoja de cálculo con los resultados del análisis del artefacto de Firefox y se
proporcionó a la Fiscalía y la Defensa. Después de consultar con la Fiscalía, el examinador
recomendó no presentar la evidencia de las 84 visitas al sitio web, ya que el análisis difería entre
todas las aplicaciones en este punto. Se decidió simplemente presentar los términos de búsqueda
utilizados en Google, que sí coincidían con las otras herramientas.
Los examinadores y la Fiscalía acordaron que la mejor opción era presentar la evidencia digital que
se podía verificar y corroborar, y que también estaba respaldada por pruebas físicas. En este caso, la
muestra de aire tomada del vehículo de la sospechosa, que tenía una alta concentración de
cloroformo.
Durante el interrogatorio directo de la Fiscalía, se mostró a los miembros del jurado, el juez y los
abogados la parte de la hoja de cálculo que contenía las búsquedas en Google a través de una
pantalla. Esta información no era visible para los visitantes ni para los medios de comunicación. El
testigo fue interrogado sobre la información presentada.
Sin embargo, durante el contrainterrogatorio de la Defensa, el abogado defensor presentó
accidentalmente ante el jurado la parte de la hoja de cálculo que contenía las 84 visitas al sitio web
sobre cómo hacer cloroformo. La Fiscalía, en el interrogatorio posterior, llamó la atención del jurado
sobre los resultados de las 84 visitas que la Defensa había introducido accidentalmente como
evidencia. En este punto, ni la Defensa ni la Fiscalía eran conscientes de que el número de visitas al
sitio era incorrecto.
¿Casey Anthony era culpable?
Después de la conclusión del caso, los medios de comunicación entrevistaron a varios miembros del
jurado. Indicaron que no pudieron llegar a una conclusión de veredicto de culpabilidad. Si bien la
evidencia digital y física presentada sugería varias posibles formas de homicidio, no se determinó
una causa de muerte real, lo que hacía que todas las posibilidades fueran teorías sin evidencia.
El juez presidente fue entrevistado después de su jubilación y concluyó que la evidencia presentada
indicaba que la sospechosa había utilizado cloroformo en la víctima, pero no había evidencia de que
la muerte fuera el resultado de una sobredosis deliberada o de negligencia/abuso simple.
Conclusiones
La verificación cruzada de resultados es una parte vital de cualquier examen de informática forense
digital. Este caso plantea un problema interesante sobre lo que un examinador debe hacer en caso de
que ninguna de las aplicaciones forenses tenga resultados que se crucen entre sí.
Incluso si tienes una herramienta de informática forense digital preferida y a menudo confías en ella,
verifica sus resultados utilizando otra herramienta de informática forense digital o de forma manual.
P.D.
Belkasoft agradece al Sr. Stenger por sus comentarios y contribución para corregir inexactitudes en
la versión original de este artículo.

El caso de una niña desaparecida y el poder de un volcado de memoria

La historia de una adolescente que desapareció de la casa de sus padres en medio de la noche. Suena
preocupante, ¿verdad?
Esta historia comienza en una oscura noche de diciembre, cuando una niña de 13 años salió de su
casa y desapareció en silencio en la oscuridad después de una discusión con sus padres. Durante dos
días, no se pudo encontrar a la niña. Aunque los padres de la niña informaron su desaparición a la
policía casi de inmediato cuando descubrieron que no estaba en su cama a la mañana siguiente, la
búsqueda no arrojó resultados. La policía revisó cada lugar donde la niña podría esconderse de forma
natural, incluyendo su escuela, sus amigos cercanos e incluso un club de baile donde la adolescente
practicaba sus habilidades de baile, y pronto se quedó sin ideas y lugares para buscar.
A medida que el tiempo jugaba en contra de la policía, los padres comenzaron a sospechar que su
hija podría haber sido secuestrada. Cuanto más tiempo pasaba, más preocupados estaban.

Mientras tanto, el departamento de informática forense de la policía local estaba investigando la

computadora portátil personal de la niña en su laboratorio. Inmediatamente después de encender la
computadora portátil, los investigadores capturaron su volcado de memoria. La memoria volátil de
las computadoras puede contener evidencia muy reciente, como chats de último minuto o mensajes
enviados y recibidos en las redes sociales.
Tras el análisis, un investigador del equipo de lucha contra el abuso infantil en internet (ICAC por
sus siglas en inglés) descubrió varias conversaciones recientes de chat en una popular red social. Los
padres de la niña habían revisado la cuenta de redes sociales de su hija entre las primeras acciones
que tomaron, pero no encontraron resultados significativos: las conversaciones más recientes no eran
alarmantes en absoluto. Sin embargo, los chats encontrados con la ayuda del análisis de la memoria
parecían extraños para los padres. Los chats no provenían de la cuenta de la niña. Confusamente, la
cuenta desde la que se enviaron los mensajes parecía pertenecer a un hombre adulto. Al investigar
más en la cuenta, los padres de la niña se asustaron aún más. Según la información del perfil, la
cuenta pertenecía a un hombre adulto de 31 años.
El siguiente paso en la investigación fue intentar localizar una contraseña para esa cuenta. Utilizando
un nombre de cuenta conocido, los investigadores pudieron analizar el almacenamiento de
contraseñas de Chrome y ¡bingo! Pudieron identificar una contraseña en caché para esa misma
cuenta. Luego, la policía pudo iniciar sesión con éxito en esa cuenta utilizando las credenciales
recién descubiertas.
Los mensajes de chat dentro de esta cuenta en particular arrojaron suficiente luz para explicar lo que
había sucedido. Parecía que la adolescente desaparecida había creado una cuenta falsa en las redes
sociales para ocultar mensajes a sus padres. Los padres de la niña pudieron identificar el nombre de
usuario de la persona a la que se enviaban los mensajes como uno de los amigos de su hija. Resultó
que la niña había hecho arreglos para pasar unas noches en la casa de su amigo sin decirle a sus
padres.
Una unidad de respuesta especial fue enviada a la casa del compañero de clase, donde recuperaron a
la niña desaparecida y la devolvieron a salvo a su hogar.
Qué final feliz para un evento aparentemente trágico. Un desenlace que, desafortunadamente, no
siempre se produce en casos como este. ¿Y cuál es uno de los aspectos más sorprendentes de esta
investigación? Durante dos días, la policía intentó localizar a la niña desaparecida con métodos
tradicionales y fracasó, mientras que el departamento de informática forense digital y sus
investigadores altamente técnicos, equipados con las herramientas adecuadas, pudieron encontrarla
en menos de 30 minutos.

Cómo el análisis de memoria ayudó a combatir las "drogas de diseño"

Esta historia tuvo lugar hace unos años. Una unidad de lucha contra las drogas de una ciudad notó un
aumento en el consumo de algunos tipos nuevos de drogas, conocidas como "drogas de diseño". A
diferencia de las drogas más tradicionales, estas eran consumidas principalmente por adolescentes, y
los consumidores se estaban volviendo adictos a una velocidad alarmante.
¿Qué son las "drogas de diseño"?
Estas drogas a menudo se etiquetaban como "sales de baño", "fertilizantes de cactus", "pulidor de
zapatos" o incluso "comida para peces de acuario". Las drogas de diseño estaban específicamente
diseñadas para eludir las restricciones impuestas por la lista de sustancias prohibidas y no contenían
estructuras químicas que coincidieran exactamente con las de las drogas disponibles (y prohibidas).
La fórmula ligeramente modificada en comparación con las sustancias ya prohibidas les permitía
venderse de manera semilegal, a menos que fueran prohibidas, y cuando eso ocurría, se desarrollaba
rápidamente una nueva fórmula. Estas drogas se vendían principalmente a través de anuncios
callejeros, pavimentos pintados, que contenían un contacto de Skype. También se anunciaban en una
página de Facebook. Los traficantes se comunicaban con sus clientes a través de Skype, mientras que
la cuenta de Facebook contenía imágenes de los "productos".
 Una de las cuentas reales, ahora bloqueada, utilizada para anunciar drogas de diseño en Facebook.
Con la cantidad de información de contacto disponible para la policía, uno de los sospechosos fue
identificado y arrestado rápidamente, y su computadora fue confiscada para su investigación.
Aparentemente, el sospechoso utilizaba ajustes de seguridad elevados, por lo que no se encontraron
historiales de Skype inmediatamente visibles después de una rápida búsqueda manual.
Las comunicaciones en Facebook se realizaron con precaución utilizando el modo "InPrivate" del
navegador, que no deja elementos en caché, ni cookies, ni archivos de historial en el disco duro. El
análisis de la imagen del disco duro no arrojó datos relevantes para la investigación debido a las
precauciones tomadas por el sospechoso. El análisis del archivo de paginación reveló algunas huellas
de información, incluyendo fragmentos de conversaciones de chat. Sin embargo, eso no fue ni de
cerca suficiente para construir el caso.
Afortunadamente, un investigador digital asignado al caso pudo obtener un volcado de memoria
aparte de la imagen del disco duro.
Siempre que tenemos la oportunidad, enfatizamos la importancia de obtener un volcado de memoria
al adquirir la computadora de un sospechoso. Los volcados de memoria suelen contener evidencia
volátil esencial, lo que a menudo permite a los investigadores establecer los vínculos necesarios
cuando hay poca o ninguna evidencia disponible en el disco duro. Para facilitar a los investigadores
la obtención de un volcado de memoria, ofrecemos una herramienta gratuita llamada Belkasoft Live
RAM Capturer.
Al principio, los resultados fueron bastante desalentadores porque las imágenes de los productos,
aunque reconocibles, estaban talladas incorrectamente:

Definitivamente no eran suficientes para demostrar la implicación del sospechoso en el

mantenimiento de la página de Facebook. La razón detrás de las imágenes parcialmente incorrectas
fue la fragmentación de la memoria. La RAM puede fragmentarse de la misma manera que un disco
duro. Simplemente tallar una firma de archivo JPG o PNG te dará el comienzo correcto de una
imagen, mientras que algunos datos aleatorios pueden seguir, que pueden pertenecer a otro proceso
en memoria. ¿Es posible en estos casos combinar de alguna manera las piezas o es una expectativa
de varita mágica?
Belkasoft X (así como su predecesor Belkasoft Evidence Center, utilizado en ese caso) tiene una
característica que permite la extracción de procesos de memoria. Si está activada durante el análisis
de un volcado de memoria, el producto combinará cuidadosamente las partes fragmentadas de cada
proceso en una pieza continua. Con esta opción activada, el examinador pudo obtener imágenes
completas:

Ahora, cuando se recuperaron las imágenes de estos "productos", era importante demostrar que fue el
sospechoso quien las subió a la página de Facebook, no que las descargó de esa página de Facebook.
Afortunadamente, los metadatos EXIF estaban intactos en estas imágenes, aunque se sabe que
Facebook elimina la mayoría de esta información por razones de seguridad cuando se carga una
imagen, lo que significa que dichas imágenes no pueden originarse al descargarlas de Facebook si los
datos EXIF no se eliminaron.
Los resultados del análisis de la computadora del sospechoso permitieron al investigador establecer
una conexión definitiva entre el sospechoso y la cuenta de Facebook utilizada para publicitar estas
drogas de diseño. Además, se adquirió evidencia de comunicación entre el sospechoso y sus clientes.
Como resultado, se arrestaron a dos traficantes de drogas de diseño. La ingenua etiqueta "No apto
para consumo humano", que puedes notar en uno de los sobres de arriba, naturalmente no ayudó.
Se incautaron más de 30 kilogramos de drogas. Distribuidos en paquetes de 1 gramo, esto constituía
unas 30,000 dosis, suficientes para matar a varios cientos de adictos en un año. Afortunadamente,
esto no ocurrió gracias al adecuado análisis forense de la memoria volátil.

¿Dónde estaban John McAfee y Anonymous? Una señal reveladora de los datos
EXIF.
John McAfee fue uno de los fundadores de uno de los programas originales de software antivirus en
el mundo. Han pasado diez años desde que el infame John McAfee estaba llenando las pantallas de
televisión con noticias de su huida del país de Belice. Fue nombrado persona de interés en el
asesinato de su vecino mientras vivía en Ambergris Caye.
McAfee y su vecino, Gregory Faull, tenían una disputa en curso por los perros de McAfee que
escapaban de su patio. Un día después de su última discusión, Faull fue encontrado muerto a causa
de una herida de bala de 9 mm y McAfee no estaba en ninguna parte. McAfee huyó de Belice y se
dirigió a Guatemala con su novia y un equipo periodístico de la revista Vice. McAfee permanecería
oculto durante bastante tiempo. Mientras evitaba a las autoridades, se burlaba de la policía de Belice
y del mundo con publicaciones en redes sociales y blogs. Incluso llegó tan lejos como para
disfrazarse de vendedor de baratijas guatemalteco para evadir la captura de la policía.
Todo parecía ir bien para McAfee, hasta que Vice Magazine publicó una foto de McAfee y su
entonces editor en jefe, Rocco Castoro, posando juntos. La foto se había tomado con un iPhone 4s a
las 18:25:26Z del 3 de diciembre de 2012. Además de la hora, también conocemos la ubicación
aproximada donde se tomó la foto: 15 39.49N y 88 59.53W.

Pero ¿cómo podría alguien determinar información detallada de ubicación junto con la fecha y la
hora de una simple imagen publicada en las redes sociales? Contempla el poder del Formato de
Archivo de Imagen Intercambiable (EXIF), que es un estándar que define información adicional
relacionada con una imagen u otro medio capturado por una cámara digital. Esta información
adicional se almacena en forma de metadatos (es decir, datos sobre datos).
Los archivos de imagen digital EXIF a menudo utilizan compresión JPEG. A continuación, se
muestra una lista de algunos de los tipos de datos comunes que se pueden encontrar dentro de los
metadatos de la imagen:

• Información de fecha y hora.

• Configuraciones de la cámara, como:
- Marca y modelo de la cámara.
- Rotación.
- Apertura.
- Velocidad de obturación.
- Longitud focal.
- Modo de medición.
- Velocidad ISO.
- Y más (dependiendo del tipo de cámara).
• Miniatura.
• Descripciones.
• Información de derechos de autor.
• Y más.
Antes de profundizar demasiado en la historia que finalmente llevó a que McAfee se quitara la vida
en una prisión de Barcelona, examinemos otro ejemplo de cómo EXIF finalmente atrapó a un
miembro de una rama de An0nymous (CabinCr3w), conocido como W0rmer.

Higinio O Ochoa III, también conocido como W0rmer en Twitter, siguió al grupo An0nymous
durante un tiempo y comenzó a simpatizar con sus creencias. Eventualmente, fue aceptado en los
grupos de chat de An0nOps, que son hacktivistas por la justicia social, y es aquí donde comienza
nuestra historia.
Mientras estaba en un chat de An0nOps, W0rmer notó que una mujer entró al chat y comenzó a pedir
ayuda con un problema relacionado con el abuso de perros. Quería la ayuda del grupo para exponer
el abuso y a las personas abusivas. Más tarde descubrimos que una simple broma inapropiada
finalmente llevaría a la captura de W0rmer, pero más sobre eso en un momento.
Al ver a la nueva mujer, W0rmer hizo una referencia grosera a sus senos, diciendo "_____ o sal de
aquí". Para su sorpresa, ella realmente le envió fotos de ella en bikini, que W0rmer luego adoptó y
usó en sus publicaciones para burlarse de la policía. W0rmer también se enamoró de la chica
(eventualmente se casaron) y notó que las imágenes que ella estaba enviando contenían útiles
metadatos. Podía usar estos metadatos para obtener la ubicación de su casa en Australia, que ella
confirmó como precisa.
W0rmer, por supuesto, sabía que estas fotos EXIF contenían metadatos y planeaba usarlos más tarde
para sus actividades hacktivistas. Tenía un método para limpiar los metadatos de las fotos para que
fueran seguras para su uso.
W0rmer estaba llevando a cabo su plan por la justicia social al hackear sitios web de departamentos
de policía en los Estados Unidos, ya que estaba cansado de ver a oficiales de policía golpeando a
civiles y, a su parecer, abusando de su poder. Obtenía listas de sitios web de departamentos de
policía de otros miembros en los sitios de chat de AnonOps, donde escaneaba estos sitios en busca de
vulnerabilidades. Cuando encontraba una vulnerabilidad, tomaba control del sitio y filtraba
información de bases de datos completa con información de oficiales de policía en Pastebin. Cuando
publicaba estas bases de datos, también incluía imágenes de la chica en bikini sosteniendo un cartel
que decía algo como "PwND por w0rmer & CabinCr3w". Desafortunadamente para W0rmer,
cometió el error de usar una foto que no había sido limpiada de metadatos, lo que finalmente llevó al
FBI directamente a su novia y, eventualmente, directamente a W0rmer.
Cómo Belkasoft puede ayudar a los examinadores a encontrar la evidencia crucial con los
metadatos EXIF en sus casos
 Belkasoft X realiza una excelente labor al extraer los metadatos EXIF de las fotografías y presenta
los datos en una interfaz muy limpia y fácil de usar. Como examinador, incluso puedes filtrar solo las
imágenes que contienen coordenadas GPS. También puedes trazar estas coordenadas en un mapa
incorporado dentro de Belkasoft X o incluso en una imagen de satélite dentro de Google Earth.
Además, puedes exportar estos artefactos en formato Keyhole Markup Language (KML), una
notación XML para expresar anotaciones geográficas y visualización dentro de mapas
bidimensionales y navegadores terrestres tridimensionales, desarrollada para su uso dentro de Google
Earth, para mostrar estos artefactos en el formato diseñado para el programa.

Lo que se muestra arriba es solo un pequeño fragmento de los datos EXIF disponibles y la
información sobre la fotografía individual que está seleccionada. Belkasoft ofrece muchas otras
excelentes características para el análisis de fotografías y otros medios, como:
• Detección de rostros y agrupación de caras
• Detección de piel
• Detección de pornografía
• Detección de armas de fuego
• Detección de texto (OCR en más de 50 idiomas diferentes)
• Visor hexadecimal para análisis de bajo nivel
• ¡Y más!

Estos chats no son míos. Cómo nuestro ingeniero de pruebas casi se volvió loco
Esta es una historia real que le sucedió a uno de los especialistas en ingeniería de pruebas de
Belkasoft.
Ella estaba trabajando parcialmente desde casa y tenía un producto de Belkasoft instalado en su
computadora personal. En ese momento, estaba probando cuidadosamente una de nuestras funciones
de recuperación. Cuando examinaba los chats recuperados por el producto, notó algo extraño.
Algunos de los chats recuperados le resultaban desconocidos.
Esto le pareció extraño, ya que la computadora era solo suya, y otros miembros de la familia tenían
sus propias computadoras separadas y no tenían cuentas en la suya. Esto significaba que debía estar
al tanto de todos los chats realizados desde esa computadora. Pero definitivamente no reconocía una
parte justa de los resultados recuperados y, como confesó más tarde, estaba muy confundida, si no
asustada.
Antes de continuar con la historia, permítanos explicar un poco sobre la recuperación de datos
(carving). La recuperación de datos se puede realizar desde datos sin procesar y no tiene en cuenta
archivos ni carpetas en absoluto. Considera una unidad o una imagen como una sola pieza de datos
grande en la que busca grupos específicos de bytes, llamados "firmas". Un ejemplo de firmas
conocidas pueden ser "MZ" para archivos ejecutables (aunque esta no es una firma ideal porque no
es completamente única) o "SQLite format 3" para bases de datos SQLite (una firma excelente
porque es verdaderamente única).
Otra cosa importante a mencionar es la diferencia entre la recuperación de archivos y la recuperación
de artefactos. La recuperación de archivos implica intentar recuperar el archivo completo y utiliza
firmas de archivo (ambos ejemplos anteriores son firmas de archivos de algún tipo). Hay varios
problemas que puede encontrar al recuperar archivos. El primero es la fragmentación: si está
recuperando un archivo grande como una única parte contigua siguiendo una firma de archivo, puede
recuperarse parcialmente incorrectamente debido a la fragmentación (esto también ocurre con la
recuperación de memoria). En segundo lugar, en la mayoría de los casos no es posible adivinar
cuándo termina el archivo. Algunos formatos tienen una longitud de archivo en su encabezado, pero
muy pocos la tienen. Además, no siempre se puede confiar en esta información: si el encabezado está
dañado, esto puede resultar en un intento de leer, digamos, un petabyte de datos. El mismo problema
surge cuando la recuperación utiliza un enfoque de "encabezado-pie" (para archivos que tienen pies
de página). Un pie de página es otra firma que indica el final de un archivo. Sin embargo, debido a
los problemas de fragmentación o sobrescritura mencionados anteriormente, la cola de un archivo
puede que nunca se encuentre. Esto resultaría nuevamente en un intento de crear un archivo tallado
enormemente grande. Por esta razón, la longitud de cualquier archivo tallado en Belkasoft está
limitada a 5 MB, lo que ayuda a ahorrar espacio en el caso.
A diferencia de la recuperación de archivos, la recuperación de artefactos siempre resulta en un
pequeño fragmento de datos. Para la recuperación de artefactos, busca una firma y datos posteriores
para un solo elemento, como un chat, un enlace del navegador, una llamada o un elemento similar,
generalmente medido en unos cientos de bytes.
Es por eso que, mientras que la recuperación de archivos puede no recuperar archivos antiguos
eliminados debido a la fragmentación y sobrescritura, la recuperación de artefactos puede recuperar
perfectamente datos muy antiguos (por supuesto, en medios no encriptados).
Este fue exactamente el caso de nuestra ingeniera de pruebas. Después de tomar un respiro profundo
y analizar los detalles de estos chats desconocidos (lo cual es posible hacer gracias a las propiedades
de "Ruta de origen"), pudo entender que en realidad no estaba viendo su propio historial.
En este punto, recordó que compró la computadora de segunda mano y aunque parecía estar limpia
en ese momento, ahora le resultaba evidente que el propietario anterior había realizado un formateo
rápido antes de vender la computadora, y como recordará, un formateo rápido en realidad no elimina
nada (a menos que se trate de una unidad SSD, pero eso es otra historia).
 Preservar la cadena de custodia en la informática forense
Introducción
Asegurar la cadena de custodia de pruebas electrónicas es más complicado que en otros tipos de
pruebas, como un arma, por ejemplo. Una de las razones es que los datos electrónicos pueden
alterarse sin dejar rastros evidentes. Es por eso que una de las preguntas más naturales que la
contraparte puede y hará en el tribunal es: "¿Cómo puedes demostrar que esta evidencia
(chat/documento/foto) no ha sido alterada?" Es por eso que, además de las acciones conocidas para
preservar la cadena de custodia (como mantener formularios de cadena de custodia), existen métodos
adicionales para la informática forense.
Este artículo explica estos métodos utilizando Belkasoft X, una herramienta de informática forense y
respuesta a incidentes (DFIR, por sus siglas en inglés) de primer nivel de Belkasoft.
Etapa de recopilación de datos
Esta es la primera etapa de cada investigación de informática forense y es donde aparece por primera
vez la cadena de custodia.
Vamos a omitir la recopilación de evidencia física, como lo haríamos para elementos que no son de
informática forense. Las especificidades de la informática forense comienzan en el punto de
adquisición de datos.
Aquí, nos centraremos en lo que se puede hacer incorrectamente durante esta etapa y lo que
invalidará la cadena de custodia.
Trabajar con la fuente de datos original en lugar de una copia secundaria "de trabajo" de la
imagen adquirida casi inevitablemente introducirá cambios en los datos. Incluso si un investigador
no cambia el contenido de un archivo, cualquier acción, como el acceso a archivos, cambiará sus
propiedades. Aunque suena improbable para un investigador de informática forense educado,
seguimos escuchando sobre el uso de la unidad original e incluso del sistema en vivo original para
una investigación. Un ejemplo de este tipo de acción podría ser abrir un navegador en una
computadora en ejecución de interés y revisar el historial de sitios visitados más reciente.
Un enfoque ligeramente mejor, pero aún arriesgado, sería trabajar con la fuente de datos original
protegida con un bloqueador de escritura basado en software. Los bloqueadores de escritura de
software son conocidos por no bloquear los intentos de escritura debido a errores, pero este no es el
único problema que pueden tener. El siguiente artículo describe una excelente descripción general de
lo que puede salir mal al usar un bloqueador de escritura basado en software.
Si está utilizando dispositivos de bloqueo de escritura de hardware, recuerde que las unidades SSD
no pueden estar completamente protegidas con dicho dispositivo. El investigador debe estar al tanto
de los siguientes cambios potenciales en las SSD que pueden ocurrir irregularmente y que ocurrirán
inevitablemente, como TRIM o la recolección de basura.
El enfoque estándar de la industria para la adquisición de datos es crear un clon del disco o una
imagen del dispositivo original. Durante la adquisición, el dispositivo original debe estar protegido
con un bloqueador de escritura de hardware (aunque sabemos que las SSD no están completamente
protegidas contra cambios de datos, esto es en última instancia lo mejor que se puede hacer, a menos
que el contenido de las SSD no esté cifrado, lo que permitiría posibles métodos de adquisición
invasivos).
¿Puede ocurrir algo mal y afectar la cadena de custodia incluso con este enfoque? ¡Sí! Un ejemplo
sería si uno clonara un disco duro pero olvidara esterilizar primero el disco receptor. Si no ha borrado
ni formateado correctamente el disco para que funcione como un clon del disco de evidencia, puede
obtener sorpresas desagradables provenientes de casos anteriores, como artefactos recuperados por
tallado.
Para preservar la cadena de custodia, un examinador debe asegurarse de que los datos adquiridos
coincidan con el contenido del dispositivo que se está adquiriendo. Posiblemente el método más
conocido para esto es el cálculo de hash. Es una buena práctica calcular una suma de hash para toda
la fuente de datos y todos los archivos internos antes de realizar cualquier análisis adicional. Errores
comunes durante esta parte de la investigación podrían ser:
• No calcular valores hash en absoluto. No se requieren más comentarios.
• Usar solo MD5. Este algoritmo es propenso a colisiones y, si se utiliza, debe complementarse con
otro, como SHA1 o SHA256 (nota este enlace sobre el futuro de SHA1).
Desafortunadamente, la mayoría de los conjuntos de problemas mencionados anteriormente no son
factibles para dispositivos modernos. No se puede adquirir todo el contenido de un teléfono
inteligente moderno: actualmente simplemente no existe un método proporcionado por un proveedor
para esto. El cálculo de hash es genial, pero inevitablemente dará resultados diferentes para los datos
adquiridos de un teléfono móvil, lo que significa que las dos adquisiciones consecutivas tendrán
valores hash diferentes, lo que no asegura nada.
La generación de valores hash tampoco funcionará para volcados de memoria. Debido a la
importancia de la información (particularmente, relacionada con la encriptación) almacenada en la
memoria volátil, la captura de RAM es una etapa vital de la adquisición de datos. Sin embargo,
calcular valores hash para un volcado de RAM tiene poco sentido para demostrar que coincide con
los datos originales.
Finalmente, si por alguna razón un investigador tiene que hacer una imagen de una computadora en
ejecución o una computadora portátil, los valores hash también serán naturalmente diferentes para
dos adquisiciones consecutivas. Habiendo dicho esto, todavía es necesario calcular valores hash para
asegurarse de que las imágenes y los volcados obtenidos no se modifiquen después de la etapa de
adquisición. Para ayudar a garantizar la cadena de custodia durante la etapa de recopilación de datos,
Belkasoft X incluye características para adquirir de forma forense unidades de disco duro y
extraíbles, dispositivos móviles, RAM y datos en la nube. El producto admite el cálculo de hash
MD5, SHA1 y SHA256 tanto para las imágenes como para los archivos internos.
Etapa de examen
Durante la etapa de examen, debe documentar las acciones que realice dentro de su herramienta de
informática forense para mantener la cadena de custodia. Un examinador debe responder las
siguientes preguntas durante el examen, ya que el análisis forense debe ser repetible. ¿Cuál fue la
configuración de su herramienta? ¿Qué tipos de búsquedas programó? ¿Cuáles fueron los resultados?
En esta etapa, Belkasoft X puede ayudar a responder estas preguntas utilizando los siguientes
métodos:
• En la ventana de Tareas, el producto muestra a un examinador todas las tareas que se han
ejecutado para un caso en particular. Estas tareas se almacenan en una base de datos centralizada y se
mostrarán incluso si vuelve a ejecutar el producto o vuelve a abrir el caso.
• En el Panel de control, puede revisar las opciones de análisis que se han ejecutado para cada origen
de datos al pasar el cursor sobre el icono del tipo de origen de datos:

• El producto proporciona convenientemente información como la fecha y hora de creación del caso,
el nombre del investigador, notas del caso, y más.

• Para cada pieza de información que Belkasoft X recupera de forma predeterminada (como un chat,
un enlace de navegador, un documento, una imagen, etc.), el producto mantiene su "Ruta de origen",
lo que ayuda a explicar de dónde se extrajo este artefacto en particular.
Etapa de análisis
Existen varias funciones analíticas dentro de Belkasoft X que un examinador puede utilizar en la
etapa de análisis, como la clasificación de fotos, la visualización de gráficos de conexión, la
visualización de líneas de tiempo y más.
Dentro de Belkasoft X no hay un medio específico para asegurar la cadena de custodia en esta etapa.
Sin embargo, al igual que en la etapa de examen, uno puede ver las acciones que se han realizado
dentro del producto, como la búsqueda de caras en imágenes o la detección de coincidencias de
conjuntos de hash o el reconocimiento óptico de caracteres (OCR) en la ventana de tareas.
El examinador también puede incluir información visual, como un gráfico de conexión para
entidades seleccionadas e incluso filtros aplicados, en un informe forense. Para hacerlo, simplemente
puede utilizar la función de informes incorporada en la ventana del gráfico de conexión.
Etapa de informes
Es importante mencionar que el informe de su herramienta de DFIR no es suficiente para asegurar
una cadena de custodia adecuada. Un producto de software forense digital incluye solo una pequeña
fracción de lo que finalmente se necesita para garantizar una cadena de custodia adecuada. Un
examinador debe complementar las funciones de informes dentro de un producto con explicaciones
sobre qué herramientas adicionales se utilizaron, cuáles fueron las fuentes de datos, cómo se
adquirieron los datos, cómo se garantizó la integridad de los datos y cómo se examinaron y
analizaron los datos. Para resistir en un tribunal, su informe debe describir claramente cómo se
mantuvo la cadena de custodia durante todo el caso.
Dado que este tipo de información generalmente está fuera de la vista de una herramienta DFIR, no
proporcionará completamente todos los componentes necesarios de la cadena de custodia durante
esta etapa. Sus plantillas organizativas y las mejores prácticas lo harán.
Todas las etapas
Un problema importante que debe abordarse al tratar con la cadena de custodia, y que se relaciona
con todas las etapas, es que un examinador no solo tiene que mantener la lista de todas las personas
que tocaron la evidencia, sino que también debe asegurarse de que nadie más tenga acceso a los
datos. Dado que la evidencia electrónica existe virtualmente, hay más formas de permitir
ocasionalmente dicho acceso que a una pieza física de evidencia, como un arma. Por ejemplo, dejar
un disco duro clonado en un escritorio en una habitación donde otros investigadores trabajan al
mismo tiempo rompe una cadena de custodia. De manera similar, dejar su computadora
desbloqueada puede invalidar potencialmente todos los archivos de evidencia almacenados en esa
computadora.
Para un dispositivo móvil, es fácil romper una cadena de custodia dejando uno de los protocolos de
acceso encendido, incluidos los protocolos de conexión celular, WiFi o Bluetooth, para un
dispositivo que no esté protegido por una bolsa de Faraday.
Conclusión
Preservar la cadena de custodia es vital para la evidencia presentada en un tribunal. No preservarla, o
la incapacidad para demostrar que se ha preservado, o incluso un problema menor en un solo paso de
la cadena, puede invalidar toda la colección de evidencia del examinador y posiblemente considerar
toda la investigación del examinador inadmisible en un tribunal.
Cuando se trata de evidencia digital, hay incluso más errores que pueden ocurrir en este proceso que
con un elemento de evidencia física. El examinador debe estar al tanto de estas precauciones y
utilizar las mejores prácticas descritas en este y muchos otros artículos similares sobre el tema. Se
recomienda que el examinador comprenda la funcionalidad de su herramienta DFIR que facilita el
mantenimiento de la cadena de custodia, incluidos los métodos de adquisición forense sólidos, su
aplicabilidad, el cálculo de hash y más.
Belkasoft X le proporciona varias opciones útiles para evitar problemas con la cadena de custodia.
Posdata
Después de publicar este artículo, recibimos algunos comentarios que lo criticaron por el uso del
término "cadena de custodia". Nuestros lectores argumentaron que lo que se discute en el artículo se
relaciona más con el término "integridad de la evidencia" que con "cadena de custodia". Si bien
definitivamente estamos de acuerdo en que la integridad de la evidencia es relevante, encontramos
que esto puede depender en gran medida de un país y su legislación en lo que se incluye en la noción
de "cadena de custodia" para dispositivos digitales. ¿Le gustaría contribuir a las próximas versiones
de este artículo? Por favor, envíenos su opinión: ¿qué cree que es la "cadena de custodia" en su país
en particular?

Contribuir

Cómo incluso la mejor evidencia puede fallar en la corte

A veces, incluso la mejor evidencia puede fallar en la corte.

Esta historia no se trata estrictamente de la informática forense digital, sino más bien del proceso
general cuando se trata de trabajar con evidencia, incluido el procedimiento legal que suele estar
involucrado. No importa si se han realizado todas las mejores prácticas en el análisis de discos duros
o dispositivos móviles; si usted (o alguien que incautó el dispositivo) no realizó este paso de acuerdo
con las regulaciones locales, corre el riesgo de que la evidencia sea inadmisible en la corte.

Como ejemplo, hubo una vez una historia en la que la policía registró el automóvil de una persona a
la que sospechaban de cultivar marihuana ilegalmente y lograron rastrear la última ubicación
conocida del sospechoso a través del GPS. Luego se dirigieron a esa ubicación y encontraron una
plantación. Sin embargo, el tribunal rechazó esta evidencia, incluso aunque se encontraron drogas
ilegales, simplemente porque la policía no obtuvo una orden adecuada para usar esas coordenadas de
GPS. Esto puede sonar extraño, ya que había pruebas de la actividad ilícita del sospechoso, pero
dado que se encontró de manera no legal, todo el caso se arruinó.
Otra historia similar a la que acabamos de discutir apareció en la prensa. En esta historia, la policía
colocó un dispositivo de rastreo GPS en el automóvil del sospechoso para poder seguirlo.
Nuevamente, como no había una orden para hacerlo, la evidencia fue invalidada. (La historia tuvo un
continuación, sin embargo).

Foto por Wired

Como se aplica a la informática forense digital, un investigador o un perito no solo debe preocuparse
por los métodos que utiliza para el análisis de dispositivos, sino también por garantizar la incautación
legal de la evidencia y su manejo adecuado en el laboratorio, incluida la preservación de la cadena de
custodia.
¿Tienes una historia sobre una gran pieza de evidencia digital que aún así falló en el tribunal?
¡Compártela con nosotros!
Tu experiencia podría ayudar a otros expertos en informática forense digital a evitar errores.

Comparte tu historia

5 errores de un investigador forense digital

Introducción
La investigación forense digital es un trabajo complicado y desafiante, y continúa volviéndose aún
más complejo debido al rápido desarrollo de la tecnología, que incluye el cifrado generalizado, el
almacenamiento en la nube, las mejoras en la seguridad de los teléfonos inteligentes, entre otros.
No sorprende que ocurran errores, que son inevitables incluso en las rutinas más simples, incluso en
el curso de una investigación forense digital (o una respuesta a incidentes).
En este artículo, revisaremos 5 de los errores más comunes que a menudo se cometen en el campo de
la ICD (Informática Forense y Respuesta a Incidentes).

Error #1: Falta de formación específica

El tamaño de un departamento forense digital en una organización de aplicación de la ley o un
equipo de respuesta a incidentes en una corporación puede variar considerablemente. Algunos
pueden tener un laboratorio forense digital separado y analistas e investigadores forenses digitales
asignados, mientras que otros pueden consistir en varios especialistas en todo tipo de tareas, que
ejecutan casi todas las tareas asignadas.
Dicho esto, esto podría significar que la informática forense digital puede ser realizada por un
generalista que carece de formación específica, por ejemplo, formación especializada en un enfoque
de adquisición móvil particular.
Si piensa que los investigadores y examinadores experimentados no son "vulnerables" a este error,
no es el caso. La tecnología se está desarrollando a un ritmo sin precedentes en estos días, y incluso
el mejor conocimiento de herramientas y métodos se vuelve obsoleto sin una capacitación regular de
apoyo. Hace dos años, nadie conocía la vulnerabilidad checkm8 para dispositivos iOS, ahora cada
especialista en ICD debe conocer su lenguaje específico y emplear este método cuando se encuentren
con dispositivos relevantes.
Los investigadores que se preocupan por mantenerse actualizados suelen utilizar varias herramientas
forenses digitales, tanto de código abierto como comerciales. Están constantemente leyendo libros,
blogs y foros. Apoyan a colegas menos experimentados e incluso pueden aprender cosas nuevas
haciendo esto.
Sugerencia: también puede consultar la lista de libros recomendados por el equipo de Belkasoft.
Error #2: Falta de educación continua
La informática forense digital es un campo muy rápido y en constante cambio; tanto los
investigadores como los delincuentes tienden a utilizar nuevas tecnologías. Es por eso que los
profesionales forenses digitales siempre deben estar a la vanguardia, mantenerse al día con las
mejores prácticas y estar al tanto de las tendencias emergentes de la industria. Por lo tanto, como se
mencionó anteriormente en el error #1, un experto siempre necesitará estar aprendiendo y
autoeducándose, tanto en el trabajo como fuera de él.
¿Qué sucede con aquellos que no aprenden todos los días? Sus resultados se vuelven cada vez más
incompletos. Pueden no lograr extraer nuevos datos, que son extraíbles con los métodos de
adquisición más actualizados. Pueden bloquear un dispositivo debido a no conocer las últimas
medidas de seguridad de los proveedores específicos. Como resultado, la justicia puede no
prevalecer en estos casos.
La comunicación en línea y fuera de línea con otros especialistas en ICD es una de las mejores
formas de mantenerse siempre actualizado. Se pueden mencionar las listas de correo IACIS y
MDFA, varios canales de Discord y Telegram, Twitter, grupos de LinkedIn y Facebook, ya sean
agnósticos o específicos del proveedor.
Error #3: Uso de la "informática forense de botón de presión" (lo que no necesariamente es un
error)
El término "informática forense de botón de presión" se acuñó hace más de 10 años, y la comunidad
forense lo consideraba más como una definición sarcástica de las herramientas de informática
forense digital. En el pasado, los profesionales de la informática forense resistieron los esfuerzos de
los proveedores para automatizar la adquisición y el análisis de datos digitales, ya que estaban
seguros de que la automatización dificultaría la documentación, validación y, por lo tanto, la defensa
de su ciencia en un tribunal de justicia.
Sin embargo, cuando los discos duros alcanzaron el rango de 1 TB, surgió el iPhone de Apple y
cambió la visión de los teléfonos inteligentes como un dispositivo para el bien, el número de
dispositivos de almacenamiento aumentó (teléfonos, dispositivos de juegos, unidades externas,
unidades USB y otros), y la mayoría de los laboratorios forenses terminaron con largas listas de
espera, retrasando las investigaciones.
Ya no es factible analizar estos volúmenes de datos y ser un experto en estos números increíbles de
aplicaciones populares. Es por eso que cada especialista en ICD probablemente tiene algún tipo de
automatización en sus manos en este momento, y el enfoque basado en artefactos (por cierto,
adoptado por Belkasoft por primera vez alrededor de 2007 en nuestro Extractor Forense IM) es
reconocido por todos.

Una herramienta DFIR que permite a un investigador extraer datos directamente, sin sumergirse en
los bits y bytes de los datos brutos de una fuente de datos, puede considerarse como "pulsar un
botón". ¿Es un error usar tal herramienta?
La respuesta es tanto "sí" como "no".
Es difícil definir la informática forense de pulsar un botón como un error per se. La mayoría de las
herramientas de informática forense digital que se presentan en la actualidad en el mercado son de
ese tipo. Sin embargo, no hay herramienta que pueda reemplazar el conocimiento y las habilidades
de su usuario. Usar ciegamente los resultados de salida de su herramienta es definitivamente un
error. Conocer las fortalezas y debilidades de una herramienta, comparar los resultados con
herramientas similares, repetir el análisis manualmente en situaciones dudosas, definitivamente no lo
es.
Vale la pena mencionar que algunas herramientas en el mercado promueven su uso a ciegas. Tales
herramientas funcionan como una caja negra y dan resultados sin explicaciones de cómo se
obtuvieron. No es sorprendente que las conclusiones basadas en tales resultados no sobrevivan en un
tribunal, si son impugnadas por una contraparte conocedora. Una pregunta que se puede hacer es:
"¿Cómo se restauró este chat eliminado por Software A?" podría parecer extremadamente difícil de
responder si Software A es una caja negra para usted.
Un investigador forense digital debe comprender claramente que ninguna herramienta es una bala de
plata. Incluso la mejor herramienta solo puede automatizar una rutina estándar, y una vez que su
evidencia no parece caer bajo la noción de "estándar", tendrá que analizarla manualmente. ¿Su
herramienta forense encontraría un archivo ZIP cifrado incrustado en un documento PDF, que se
adjuntó a un correo electrónico de Outlook? ¿Encontraría registros SQLite eliminados dentro de un
proceso de memoria extraído de un volcado de memoria?
Error #4: No asegurar la cadena de custodia e integridad de la evidencia
Asegurar la cadena de custodia, así como la integridad de la evidencia electrónica, es más
complicado que para otros tipos de evidencia, como una pistola. Una de las razones de esto es que
los datos electrónicos pueden alterarse sin dejar rastros evidentes. Es por eso que una de las
preguntas más naturales que la contraparte puede y preguntará en el tribunal es: "¿Cómo puedes
demostrar que esta evidencia (chat/documento/foto) no está falsificada?" Es por eso que, además de
las acciones conocidas para preservar la cadena de custodia (como mantener formularios de cadena
de custodia), existen métodos adicionales para la informática forense.
Posiblemente el método más conocido es el cálculo de hash. Es una buena práctica calcular la suma
de hash para toda la fuente de datos y todos los archivos dentro de ella antes de realizar cualquier
análisis adicional. Los errores comunes aquí podrían ser:

• No calcular valores hash en absoluto. No se requieren más comentarios.

• Utilizar solo MD5. Este algoritmo es propenso a colisiones y, si se utiliza, debe
complementarse con otro, como SHA-1 o SHA-256.
• Trabajar con la fuente de datos original en lugar de una copia de trabajo secundaria de la
imagen. Aunque esto puede funcionar si está utilizando dispositivos bloqueadores de
hardware, recuerde que las unidades SSD no pueden protegerse con dicho dispositivo.
Además, se sabe que los bloqueadores de escritura de software no bloquean los intentos de
escritura debido a errores. Vea también este artículo sobre muchas otras cosas que pueden
salir mal.
• Trabajar con un disco duro clonado, pero olvidar esterilizar el clon. Si no ha eliminado
completamente el disco para que funcione como un clon de la unidad de evidencia, puede
obtener sorpresas desagradables originadas en sus casos anteriores.
Un factor importante de la cadena de custodia es no solo mantener la lista de todas las personas que
tocaron la evidencia, sino también asegurarse de que nadie más tuvo acceso. Dado que la evidencia
electrónica existe virtualmente, hay más formas de permitir ocasionalmente dicho acceso que a una
pistola. Por ejemplo, dejar un disco duro clonado en un escritorio en una habitación donde otros
investigadores trabajan al mismo tiempo rompe la cadena de custodia. Del mismo modo, dejar la
computadora desbloqueada de alguien potencialmente invalida todos los archivos de evidencia
almacenados en esa computadora.
Error #5: No verificar los resultados de una herramienta de informática forense digital
Puede ser un hábito del cerebro humano seguir haciendo lo que condujo a un resultado satisfactorio
en el pasado. En la informática forense y respuesta a incidentes, esto puede llevar a un uso excesivo
de una sola herramienta en la que uno confía demasiado. Si un examinador está acostumbrado a un
producto en particular, puede usarlo incluso para tareas que no son tan compatibles con esa
herramienta como con otras.
En realidad, no hay una sola herramienta que cubra todo en el dominio de la informática forense
digital y la respuesta a incidentes. Incluso las herramientas que son excelentes en una parte particular
de la ICD pueden tener problemas y problemas con un archivo o imagen en particular. Por eso
siempre se recomienda verificar los resultados de su herramienta principal, ya sea manualmente o
con un producto secundario. Es por eso que un conjunto de herramientas adecuado para la
informática forense digital debe tener más de una herramienta para cada área particular de
investigación.
Confiar demasiado en una sola herramienta y no verificar los resultados puede llevar a problemas
graves dentro de una sala de audiencias (lea la historia anterior sobre el caso de Casey Anthony),
defendiendo resultados obtenidos sin una validación adecuada.
Conclusión
Los seres humanos cometen errores. No es un problema cometer un error, es más importante cómo
uno reacciona ante su error. En el dominio de la ICD, donde cada error puede potencialmente causar
consecuencias enormes y desagradables, es especialmente importante aprender de los errores
conocidos. Aprende el campo. No dejes de aprender incluso si crees que lo sabes todo. Conoce tus
herramientas y sé capaz de repetir sus resultados manualmente, así como de explicar cómo se
obtuvieron. Sepa cómo preservar una cadena de custodia y específicamente qué métodos adicionales
deben emplearse para la evidencia digital. ¿Qué otros errores de ICD le gustaría que discutiéramos?
Envíenos sus ideas y estaremos encantados de continuar con este artículo.

Envía tus ideas

La importancia de dispositivos completamente cargados en su investigación

forense digital
Los investigadores y examinadores se enfrentan a decisiones difíciles en tiempo real en el lugar del
suceso que pueden tener consecuencias imprevistas semanas o meses después. Una de esas
decisiones es cómo manejar de la mejor manera los dispositivos móviles encontrados en el campo y
los diferentes estados en los que se encuentran. En la comunidad de DFIR, existen muchos consejos
de recolección bien conocidos, como: si está apagado, déjelo apagado; si está encendido, capture el
contenido de la pantalla (es decir, cualquier aplicación que pueda estar en funcionamiento, el nivel
de batería, etc.).
¿Por qué podría ser importante el nivel de la batería en una investigación? Una de las razones más
críticas es que si el teléfono se apaga, no solo está perdiendo energía en el dispositivo, sino que
también está perdiendo una oportunidad potencial para recopilar datos volátiles críticos de esa sesión
actual, la capacidad de capturar el contenido del dispositivo cuando se desconoce la contraseña y
mucho más.
Por otro lado, si el teléfono está encendido, existe un mayor sentido de urgencia. La adquisición del
dispositivo debe realizarse pronto, antes de que el teléfono se apague, o debemos conectar este
dispositivo para cargarlo mientras espera ser enviado al laboratorio para su adquisición y análisis.

Cuando un dispositivo está encendido, sabemos que debemos aislar el dispositivo de la red y reducir
la posibilidad de un borrado remoto o pérdida de datos. Una buena precaución contra estas
posibilidades es colocar el teléfono en una bolsa de Faraday y aislar el dispositivo. En condiciones
más graves, se pueden usar algunas hojas de papel de aluminio u otro material similar para evitar que
el dispositivo se conecte a una red. Esto es un problema en sí mismo, como se anota en la
Publicación Especial 800-101 Revisión 1 del NIST, Directrices sobre Informática Forense de
Dispositivos Móviles, "Cuando la señal del teléfono está bloqueada, este drenará rápidamente la
batería tratando de conectarse a la red. Mantener el dispositivo móvil encendido pero aislado de la
red acorta la vida de la batería debido al aumento del consumo de energía, ya que los dispositivos
incapaces de conectarse a una red aumentan su fuerza de señal al máximo. Para conservar energía,
algunos dispositivos móviles suelen estar configurados para entrar en modo de ahorro de energía y
apagar la pantalla después de un corto período de inactividad" (Ayers, Brothers, Jansen, 2014).
Para complicar aún más este escenario tan frecuente, la mayoría de los productos de software forense
requieren que un dispositivo tenga un cierto nivel de carga para adquirirlo adecuadamente. A medida
que el teléfono pierde carga y cae por debajo de varios umbrales de batería, es más probable que
ocurran interrupciones del servicio y errores de adquisición debido a la falta de energía.
En estos momentos de tensión y urgencia, es importante mantener la calma y recordar recoger el
cargador del teléfono que se utiliza con el dispositivo específico y utilizarlo para su extracción
siempre que sea posible. Si puede encontrar el cargador, colóquelo en una bolsa de evidencia junto
con el teléfono. Esto ayudará enormemente con su adquisición posterior, donde los cables de
extracción normalmente disponibles no funcionan con su dispositivo específico.

¿Se parece tu estación de carga de teléfono a esta?

Referencias
Ayers, R., Brothers, S., & Jansen, W. (2014, May). Guidelines on mobile de-
vice forensics—NIST

5 errores más comunes de un investigador forense digital (parte 2)

El artículo "5 Errores comunes de un investigador forense digital" tuvo mucho éxito y nuestros
lectores pidieron una continuación. Aquí tienes "5 ERRORES MÁS de un investigador forense
digital".
Error #6: No adquirir adecuadamente la RAM y las claves de cifrado perdidas
Prácticamente todos los dispositivos digitales modernos utilizan el cifrado. El cifrado está en todas
partes. Los dispositivos móviles modernos lo tienen incorporado por defecto, sin que el usuario elija
explícitamente activarlo. Las computadoras, especialmente las laptops, también pueden tener el
cifrado habilitado desde el principio, ya sea un cifrado basado en el sistema de archivos (APFS) o un
cifrado basado en el sistema operativo (BitLocker en Windows).
Dado que el cifrado es tan ubicuo y común, definitivamente es un error apagar un dispositivo
moderno cifrado para la "adquisición en estado apagado". Esta solía ser una aproximación general a
la adquisición de datos en la época anterior a la era del cifrado. Si apagas un dispositivo cifrado
moderno, es probable que pierdas acceso a toda la información que podrías haber obtenido y
utilizado para romper ese cifrado.
Nota: asegúrate de leer las directrices de ACPO u documentos similares que discutan las mejores
prácticas, pautas y reglas para la adquisición de memoria volátil.
Cuando la desencriptación es necesaria, tu mejor oportunidad contra el cifrado es obtener un volcado
de RAM del dispositivo activo. Los datos en la memoria volátil pueden contener claves de
desencriptación que podrían marcar la diferencia entre el éxito o el fracaso (aunque es importante
mencionar que no hay garantía de que un volcado de RAM produzca claves de desencriptación del
dispositivo).
Hay muchos matices en un volcado de memoria efectivo como primer paso. Este proceso solo tiene
muchas trampas, una de ellas es un error muy común (no solo común, sino costoso) de usar una
herramienta forense con muchas capacidades y un gran consumo de memoria. Un ejemplo sería FTK
Imager, una excelente herramienta para varios tipos de adquisición, pero una herramienta que
requiere demasiada memoria para ser tu elección principal para la obtención de volcados de RAM.
Su tamaño es de más de 20 megabytes, mientras que hay muchas otras herramientas en el mercado
que son cientos de veces más pequeñas. No hace falta decir que, cuanto mayor sea tu herramienta de
elección, más datos de usuario se sobrescribirán en la memoria cuando la ejecutes, ya que el
ejecutable se carga en la memoria para ejecutarse.
Nota: Aquí tienes un enlace a una herramienta gratuita y ligera para capturar RAM, que tiene un
tamaño inferior a 100 KB: https://belkasoft.com/ram
Error #7: Realizar una sesión de navegador en vivo
Este error parece imposible, pero, sin embargo, cada año escuchamos bastantes historias de que esto
realmente sucedió. Y es un error que puede ocurrirle incluso a investigadores más experimentados.
Aquí se explica cómo:
• Un investigador del DFIR sin experiencia podría verse tentado a realizar un análisis en vivo en el
dispositivo e intentar obtener información que solo está disponible desde un navegador ejecutado por
un usuario que ha iniciado sesión.. Una imagen de cuadro muerto significaría que los datos del
navegador podrían cifrarse. No es una tarea trivial descifrar dichos datos (aunque es posible, la
herramienta de Belkasoft puede ayudar)
• Este error también puede deberse al hecho de que, a menudo, la primera persona que obtiene acceso
a un dispositivo digital puede no ser un experto digital cualificado. investigador en absoluto.
Cualquiera que no esté capacitado en cómo apoderarse correctamente de los dispositivos, puede tener
la tentación de adquirir información rápida e imprudentemente del dispositivo en vivo, y causar un
daño irreparable a la admisibilidad de los datos en los tribunales más adelante. Intentar realizar un
análisis en vivo en un dispositivo utilizando la cuenta del sospechoso probablemente causará graves
problemas en los tribunales, ya que no se puede garantizar la cadena de custodia.
Error # 8: intentos de descifrado por fuerza bruta, que probablemente llevarán más de mil
millones de años
El cifrado moderno ha demostrado ser muy sólido. Si se utiliza una contraseña segura, no existen
opciones conocidas para evitar intentos prolongados de descifrar un archivo o volumen. Esto
significa que, a diferencia de los algoritmos utilizados en el pasado, que permitían a un examinador
probar cientos, si no miles, de contraseñas por segundo, el cifrado moderno requiere varios segundos
por contraseña intentada. Ejecutar un ataque completo de fuerza bruta (en la mayoría de los casos) no
es lo más inteligente que se puede hacer. Incluso con un sistema de alto rendimiento, repleto de
memoria y múltiples tarjetas gráficas, los intentos secuenciales de fuerza bruta pueden tardar miles
de millones de años en completarse. Sugerencia: consulte la obra maestra de nuestro socio para
descifrar contraseñas: Passware Decryptum. Por fuerza bruta secuencial nos referimos a intentos de
verificar contraseñas en orden secuencial de menor a mayor (por ejemplo, a, b, c... aa, ab, ac, etc.) .
Es fácil ver cómo comprobar el gran volumen de contraseñas posibles, una a la vez, y multiplicar
cada intento por sólo un segundo por contraseña, arroja un resultado aterrador. Un mejor enfoque
sería intentar aplicar algunos conocimientos específicos de cada caso. Si ya tiene algunos datos
extraídos del dispositivo de un sospechoso (es decir, volcados de memoria o discos duros discutidos
anteriormente), ese conocimiento se puede utilizar para descifrar. La mayoría de las personas crean
contraseñas basadas en palabras de su vocabulario, palabras que usan regularmente (por ejemplo, los
nombres de sus hijos, modelos de automóviles anteriores o ciudades en las que vivieron). Combinar
dichos términos del caso y priorizar los intentos de utilizar esas posibles contraseñas mejora
significativamente sus posibilidades de éxito. Dado que la mayoría de las personas reutilizan sus
contraseñas en varias cuentas, a veces basta con encontrar "un eslabón más débil". Un investigador
puede intentar descifrar primero una contraseña almacenada en el lugar menos seguro y luego aplicar
esa contraseña a un elemento más cifrado. Algunas herramientas también pueden ayudarte a crear un
vocabulario de usuario. En nuestro producto Belkasoft X, esta capacidad se llama "Crear diccionario
de claves". Esta función está disponible desde el Panel de control del producto. Otras herramientas,
como Passware Kit Forensic, No sólo puede intentar comprobar cada término de un diccionario
clave, sino también crear las llamadas mutaciones y combinar diferentes términos en una sola
contraseña. Aunque el número de mutaciones y combinaciones es naturalmente muy grande, sigue
siendo el mejor y más eficiente enfoque identificado para el descifrado hasta la fecha.

Error #9: Confundir UTC y hora local

Hay muchas zonas horarias en todo el mundo (técnicamente más de 24). Todas y cada una de las
zonas horarias tienen su propia hora local: cuando son las 12 de la noche en Londres, son las 7 de la
mañana en Nueva York. Además de la conversión de zona horaria, algunas regiones tienen ajustes de
hora, como el horario de verano, cuando la hora local se adelanta o adelanta una hora según la
temporada. El cambio al horario de verano no está necesariamente sincronizado entre diferentes
países, lo que introduce dificultades adicionales para comprender cómo se correlacionan entre sí las
marcas de tiempo guardadas en su hora local. El estándar de almacenamiento de fecha y hora es la
hora universal coordinada (hora UTC). Esto significa que la mayoría de las aplicaciones y sistemas
almacenan marcas de tiempo en UTC. Sin embargo, esto puede generar inconvenientes y confusión
para los usuarios habituales, quienes naturalmente prefieren ver su hora local. Esta es la razón por la
que las aplicaciones pueden optar por almacenar marcas de tiempo en la hora local, que se configura
en el dispositivo de cada usuario individual. Ahora bien, dado que el volumen de datos en los casos
actuales puede ser abrumador, es fácil cometer el error de confundir UTC y la hora local,
almacenadas por diferentes aplicaciones. Si no convierte todas las horas a UTC (o local), puede
encontrar una situación en la que se invierta el orden de los mensajes de chat. Esto ocurre si una
aplicación de chat almacena su hora en UTC, mientras que la otra usa la hora local. Su herramienta
forense puede aumentar esta confusión para una variedad de artefactos si las marcas de tiempo no se
convierten con precisión. El problema se agrava si tiene varias fuentes de datos de diferentes zonas
horarias (por ejemplo, el disco duro de una computadora de Arizona y un iPhone de Washington
DC). La herramienta forense que elija debe permitirle especificar diferentes zonas horarias para
diferentes dispositivos en su caso para evitar cualquier confusión en las marcas de tiempo. No
especificar un desplazamiento de zona horaria en tal caso es otra faceta del mismo error. Nota:
Belkasoft X permite al investigador establecer una zona horaria para el caso, así como para cada
fuente de datos. A partir del nombre de una columna, siempre sabrá si se utilizó la hora UTC o local
para almacenar una marca de tiempo. La otra columna, que contiene el tiempo derivado, calculado
por el producto, tendrá otro color de fondo y una pista, que se muestra al pasar el cursor sobre la
celda de la columna. Gracias al recálculo automático del tiempo, Belkasoft X fusiona correctamente
diferentes eventos con diferentes desplazamientos de tiempo en su pestaña Línea de tiempo. No
especificar un desplazamiento de zona horaria en tal caso es otra faceta del mismo error. Nota:
Belkasoft X permite al investigador establecer una zona horaria para el caso, así como para cada
fuente de datos. A partir del nombre de una columna, siempre sabrá si se utilizó la hora UTC o local
para almacenar una marca de tiempo. La otra columna, que contiene el tiempo derivado, calculado
por el producto, tendrá otro color de fondo y una pista, que se muestra al pasar el cursor sobre la
celda de la columna. Gracias al recálculo automático del tiempo, Belkasoft X fusiona correctamente
diferentes eventos con diferentes desplazamientos de tiempo en su pestaña Línea de tiempo. No
especificar un desplazamiento de zona horaria en tal caso es otra faceta del mismo error.
Nota: Belkasoft X permite al investigador establecer una zona horaria para el caso, así como para
cada fuente de datos. A partir del nombre de una columna, siempre sabrá si se utilizó la hora UTC o
local para almacenar una marca de tiempo. La otra columna, que contiene el tiempo derivado,
calculado por el producto, tendrá otro color de fondo y una pista, que se muestra al pasar el cursor
sobre la celda de la columna. Gracias al recálculo automático del tiempo, Belkasoft X fusiona
correctamente diferentes eventos con diferentes desplazamientos de tiempo en su pestaña Línea de
tiempo. siempre sabrá si se utilizó la hora UTC o local para almacenar una marca de tiempo. La otra
columna, que contiene el tiempo derivado, calculado por el producto, tendrá otro color de fondo y
una pista, que se muestra al pasar el cursor sobre la celda de la columna. Gracias al recálculo
automático del tiempo, Belkasoft X fusiona correctamente diferentes eventos con diferentes
desplazamientos de tiempo en su pestaña Línea de tiempo. siempre sabrá si se utilizó la hora UTC o
local para almacenar una marca de tiempo. La otra columna, que contiene el tiempo derivado,
calculado por el producto, tendrá otro color de fondo y una pista, que se muestra al pasar el cursor
sobre la celda de la columna. Gracias al recálculo automático del tiempo, Belkasoft X fusiona
correctamente diferentes eventos con diferentes desplazamientos de tiempo en su pestaña Línea de
tiempo.

Error #10: Bloquear un dispositivo móvil en evidencia

Cuanto más evolucionan los dispositivos móviles, más difícil es capturar datos de ellos. Las
imágenes físicas, disponibles cuando se presentó el primer teléfono inteligente, ya no son viables
debido a las funciones de cifrado incorporadas. Además, las copias de seguridad estándar ofrecen
una cantidad de datos muy limitada. Esta es la razón por la que la mayoría de los enfoques modernos
para adquirir datos de dispositivos inteligentes se basan en vulnerabilidades conocidas y exploits
posteriores.
Un error común sería utilizar ciegamente uno de estos exploits sin probarlo primero en un teléfono
donante. Cualquier inexactitud o error en los pasos (por ejemplo, un retraso de tiempo incorrecto o
un modelo de SoC (sistema en un chip) ligeramente diferente al admitido por un exploit) puede
bloquear un dispositivo sin darse cuenta. Perder pruebas de esta manera no sólo es frustrante, Puede
ser ruinoso para su caso si el dispositivo es una fuente crítica de evidencia. Las mejores prácticas
implican una ejecución de prueba cuidadosa de cualquier método de adquisición que utilice un
exploit de dispositivo mediante el uso de un modelo de dispositivo similar, o preferiblemente exacto.
Vale la pena mencionar que a veces incluso los dispositivos que tienen absolutamente el mismo
modelo y el mismo SoC en su interior pueden comportarse de manera diferente. Lamentablemente,
esto significa que una prueba exitosa, incluso en el mismo dispositivo, no garantiza al 100% que el
exploit sea seguro para ese dispositivo específico. Sin embargo, obviamente aumenta sus
posibilidades de éxito y es mejor que no realizar ninguna prueba. Como nos dice el famoso ensayo
de Alexander Pope, “errar es humano”. Con la proliferación y el avance de la tecnología y la
complejidad cada vez mayor del mundo forense en general, Esta expresión nunca ha sido más cierta
para la comunidad DFIR. Nuestra esperanza es que al compartir algunos de nuestros errores comunes
limitemos la posibilidad de cometer un error crucial o costoso en el futuro. Para avanzar en nuestro
campo y ayudar a los nuevos examinadores a mejorar, todos debemos trabajar juntos y compartir
algunos de nuestros mayores errores, meteduras de pata y errores. Es importante que todos
trabajemos juntos y nunca dejemos de aprender unos de otros.

¿Cómo puede incluso un experto experimentado en dfir contraer un virus?

La siguiente historia fue contada por nuestro director ejecutivo, Yuri. Citándolo en primera persona.
Esta historia tuvo lugar hace apenas unos meses. El equipo y yo estábamos charlando con uno de
nuestros empleados de ventas sobre un nuevo ticket de problema que había llegado a nuestro sistema
de gestión. Utilizamos un software de gestión de servicios que maneja nuestros correos electrónicos
de ventas y soporte. por lo que cada nuevo correo electrónico crea o actualiza un ticket.
Este ticket en particular era nuevo y lo que sucedió después pareció ser un malentendido entre
nuestro equipo. A partir del diálogo, me sentí seguro de que mi colega había verificado el ticket del
problema y que el correo electrónico era legítimo. Por estos motivos, descargué valientemente un
archivo adjunto del ticket y lo abrí en mi estación de trabajo.
Sin lugar a dudas, soy extremadamente desconfiado y cauteloso cuando se trata de archivos adjuntos
tanto en mi trabajo como en mis comunicaciones personales, incluso si recibo un archivo adjunto de
una fuente confiable. Pero cuando descargué este archivo adjunto, sentí que algo andaba mal según
el nombre del archivo y el texto que lo acompaña. Siempre utilizo visores en línea para ver el
contenido de un archivo adjunto, en lugar de visores sin conexión para abrir dicho archivo.

Después de abrir el documento de Excel, inmediatamente supe que algo no estaba bien por lo que se
mostraba en el archivo y me di cuenta de que estaba en problemas. Volví a leer el ticket para
asegurarme de que mis suposiciones eran correctas y ahora entendí claramente que se trataba de una
estafa. Maldiciéndome a mí mismo por mi estupidez, desconecté de inmediato mi computadora de
Internet y comencé a tratar de averiguar cuántos problemas tenía.
Afortunadamente, tenía mi herramienta, Belkasoft X, y lo primero que se me ocurrió fue agregar mi
propia unidad al producto para poder analizar mi propio archivo $MFT. Esto me ayudaría a entender
qué nuevos archivos podrían haber sido depositados por un documento aparentemente armado. Por
cierto, si estás tratando de realizar una tarea similar, simplemente agrega tu unidad a Belkasoft X sin
analizarla, ve a nuestro visor de sistema de archivos y selecciona una vista recursiva en el nivel
superior del panel de contenido para poder ordenar todos los archivos por hora de creación.

Inmediatamente encontré el documento de Excel malicioso, lo seleccioné y luego ordené todos los
archivos por hora de creación. Esto me permitió ver todos los archivos que se crearon justo después
de que se abrió el archivo malicioso.
Sorprendentemente, solo vi archivos inofensivos, incluidos varios archivos de caché y archivos del
sistema. Afortunadamente, esta vez salí ileso con un pequeño susto. Cuando, junto con un
especialista en malware mejor que yo, analizamos el archivo en detalle, resultó que el documento de
Excel malicioso estaba dirigido a una versión mucho más antigua de Excel, y por eso no pudo crear
ningún artefacto malicioso adicional ni tomar mi computadora. Sin embargo, pasó por unos minutos
desagradables. No hay conclusiones en esta historia.

Error #11: No estar preparado para la adquisición de datos o la confiscación de dispositivos

Toda investigación de DFIR comienza con dos cosas: la confiscación del dispositivo, seguida de la
adquisición de datos almacenados en dicho dispositivo. Es un error no saber qué cosas pueden
invalidar cualquier evidencia recopilada. En un mundo perfecto, un experto en DFIR acompañaría a
todos los oficiales no capacitados en DFIR a la escena del crimen. Desafortunadamente, esto no es
realista, ya que no hay suficientes especialistas en DFIR disponibles para estar en la escena cada vez
que se comete un delito. Esto puede deberse a problemas de ubicación, tiempo o recursos (es decir,
no hay suficientes especialistas en DFIR disponibles o libres), oa veces a todo lo anterior. Otro
ejemplo sería un oficial de aplicación de la ley (LE) no capacitado en DFIR que abandona la escena
del crimen sin reconocer la presencia y disponibilidad de un dispositivo viable para la recopilación
de pruebas digitales porque vio "solo un televisor" o "solo un monitor". Como habrás adivinado, lo
que vio como un televisor o un monitor podría ser en realidad una computadora todo en uno, como
una computadora iMac. Hoy en día, los dispositivos inteligentes vienen en todas las formas y
tamaños, y pasar por alto dicho dispositivo significa perder la oportunidad de recopilar pruebas. Otro
error similar es no adquirir un volcado de memoria de una computadora que se está ejecutando
actualmente. Desconectar un dispositivo en funcionamiento significa perder todas las claves de
cifrado y otros datos volátiles almacenados en la memoria (ver Error #6). Este es un error muy
común entre los oficiales no capacitados en DFIR que a menudo son responsables de la confiscación
de dispositivos. En situaciones más complicadas, incluso un especialista en DFIR puede cometer este
error si no está atento y siempre alerta. Por ejemplo, una computadora puede tener un
almacenamiento de datos que se autodestruye o incluso explota, lo que se activa al abrir la tapa de la
unidad del sistema. Consejo: aunque nada puede reemplazar a un investigador digital en la escena,
herramientas como Belkasoft T pueden facilitar la adquisición de datos incluso cuando son utilizadas
por alguien no experto. Estas herramientas de triaje son portátiles y se pueden ejecutar desde un
dongle especial para la adquisición de memoria que es fácil de operar y que incluso puede almacenar
datos importantes en el mismo dongle para su análisis posterior por un especialista en el laboratorio.
Estas herramientas ayudan a reducir significativamente la tasa de error en la confiscación de
dispositivos y la adquisición de datos.
Error #12: No usar bloqueadores de escritura y bolsas Faraday
Este error parece imposible para un investigador digital, pero todavía es uno de los errores más
comunes que se cometen hoy en día. Obviamente, es necesario conectar un disco duro a un
bloqueador de escritura antes de realizar cualquier operación, y cualquier dispositivo móvil debe
almacenarse primero en una bolsa Faraday. No usar una bolsa Faraday es un error grave y puede
provocar la invalidez de la evidencia debido a la falta de garantía de una cadena de
custodia/integridad de la evidencia adecuada o incluso problemas causados por un potencial borrado
remoto de datos.
Sin embargo, hay algunas sutilezas más sutiles que se deben mencionar aquí:
• Un bloqueador de escritura debe ser de hardware. Los bloqueadores de escritura basados en
software son una broma. Simplemente no debes usarlos (ver "Preservación de la cadena de custodia
en informática forense").
• Incluso los bloqueadores de escritura de hardware no salvarán tu unidad SSD de realizar su rutina
de borrado interno causada por TRIM y la recolección de basura. Las unidades SSD son especiales,
consulta nuestra serie de artículos sobre informática forense de SSD. Escritos en 2012-2016, estos
artículos aún son aplicables.
• Para los teléfonos móviles, la rutina adecuada incluye más que solo bolsas Faraday. Hay muchas
más cosas a tener en cuenta, como mantener el teléfono cargado, mantener (o no mantener) la tarjeta
SIM insertada, operar en modo avión, alternar Bluetooth y/o Wifi, no mirar la cámara del teléfono y
no tocar el sensor de huellas dactilares, entre otros. Para obtener más detalles, te recomendamos que
leas el libro "Practical Mobile Forensics".
Error #13: No utilizar el software y hardware disponible de manera efectiva
Otro error frecuente es pensar que "más es mejor". ¿Es más rápido o más eficiente un hardware caro
que un hardware económico? ¿El software que cuesta $15,000 es tres veces mejor que uno de
$5,000? ¿Tu procesamiento terminaría más rápido si utilizas una computadora de 96 núcleos en lugar
de una de 48 núcleos?
Más no siempre es mejor. Para dar un ejemplo sencillo, muchos paquetes de software forense digital
rara vez utilizan una alta utilización de CPU/GPU (a menos que se realice una recuperación de
contraseña). Esto significa que la CPU generalmente no es un cuello de botella de rendimiento y
agregar más potencia de CPU puede inflar innecesariamente su presupuesto de hardware. Lo que
puede ser un cuello de botella suele ser tu disco duro. Cada byte dentro de una imagen que estás
investigando será leído por tu software DFIR. Esto significa que la velocidad de transacción del
dispositivo de almacenamiento donde se aloja la imagen tiene un profundo impacto en el rendimiento
y el tiempo necesario para completar el análisis. Esto también significa que el uso de múltiples
núcleos puede incluso... ¡ralentizar las cosas! Si su software lee el disco duro en varias sesiones
simultáneas, esto hará que el disco y las técnicas utilizadas por el sistema operativo (como el
almacenamiento en caché) sean ineficaces. Como resultado, el tiempo total para el análisis
aumentará, ¡lo cual es exactamente lo contrario de lo esperado!
Una vez tuvimos un caso en el que un cliente tenía una computadora de 96 núcleos muy elegante y
brillante, pero se quejaba del rendimiento del producto Belkasoft. Después de estudiar su
configuración, recomendamos limitar el producto a sólo 48 núcleos; esta opción está disponible para
los usuarios de Belkasoft X en la configuración del producto. Un poco contrario a la intuición, pero
el rendimiento aumentó significativamente, simplemente porque el cuello de botella era el disco
duro. En muchas ocasiones la efectividad también dependerá de la cantidad de RAM instalada. Para
Belkasoft X recomendamos tener 2Gb de RAM por cada núcleo utilizado. El producto también tiene
una configuración de limitación de memoria, cuyo objetivo es ayudar a los clientes a utilizar el
producto de manera más efectiva, independientemente de la configuración de hardware en uso.
Error #14: No realizar validación cruzada de resultados
En el mundo moderno, donde todo el mundo tiene prisa y cuando los laboratorios criminalísticos de
alta tecnología tienen enormes retrasos, este error asoma su fea cara la mayoría de las veces. La
investigación puede consistir en ingerir una imagen en la herramienta favorita de un investigador,
examinar los resultados y generar un informe.
¿Puede funcionar? Puede. Sin embargo, este no es siempre el caso. Es un punto común en nuestra
industria que ninguna solución de software DFIR es una solución milagrosa para encontrar todas y
cada una de las pruebas posibles. Cada paquete de software tiene fortalezas y debilidades e
inevitablemente tiene fallas. El uso de múltiples herramientas de software DFIR es el mejor enfoque
para garantizar que se encuentren todas las pruebas posibles.
¿Cuál es exactamente el coste de un error? Consulte el artículo “El caso de Casey Anthony” más
arriba. Este caso es un ejemplo clásico de por qué la validación manual o entre herramientas es
imprescindible y por qué confiar en los resultados de una sola herramienta es un error. Aquí hay
algunas ideas que ilustran cómo Belkasoft puede ayudarle a validar sus resultados:
• Validación manual. Si desea comprobar los resultados mostrados por Belkasoft, tenemos muchas
herramientas para facilitar la validación manual, como la propiedad de ruta de origen para cada
artefacto, visores integrados para formatos específicos como SQLite, Plist, Registry; y hay un Visor
Hex binario para el análisis de datos sin procesar detrás de cada artefacto.
• También puede utilizar Belkasoft X como una excelente herramienta secundaria para verificar los
resultados de otra herramienta. Belkasoft X admite análisis forense tanto informáticos como móviles
y es ideal para complementar una variedad de otras herramientas.
Error #15: No tener Belkasoft en el conjunto de herramientas
Como habrás adivinado, este capítulo pretende ser un poco más ligero y más irónico para concluir
nuestra serie. A pesar de que caminamos por el lado más liviano, entendemos que usar la herramienta
adecuada no es motivo de risa. Dado su precio asequible y la capacidad de analizar múltiples fuentes
de datos (incluidas fuentes de datos tanto informáticas como móviles), así como la capacidad de
realizar análisis de memoria y análisis forense de la nube, Belkasoft X es excelente como
herramienta DFIR primaria y de verificación cruzada para cada investigador forense digital y
respondedor de incidentes. Un subtipo costoso de este error es comprar herramientas separadas para
la adquisición y análisis de datos por computadora y por teléfono móvil. Terminas pagando por dos
herramientas cuando podrías haber comprado solo una: Belkasoft X, que admite ambos tipos de
dispositivos (y muchos más), ¡a un precio más bajo!

Para evitar estos errores y muchos otros, aquí tienes un enlace secreto donde puedes obtener más
información sobre la herramienta e incluso descargar una prueba gratuita.

Prevenir el agotamiento en la ciencia forense digital

El inevitable agotamiento de un flujo de trabajo repetitivo no es un concepto nuevo. Las personas se
agotan cuando hacen lo mismo durante demasiado tiempo y se vuelven menos interesadas tanto en el
proceso como en el resultado. Hay un viejo dicho: "Haz lo que amas y no trabajarás ni un día de tu
vida". Bueno, este puede ser el caso, pero ¿cuántos de ustedes han comenzado a hacer más de algo
que alguna vez fue un pasatiempo y luego, finalmente, se convirtió en un trabajo y ya no era
agradable?

El agotamiento puede presentarse en todas las formas y tamaños y probablemente incluso se verá
diferente para cada persona y probablemente ocurrirá en distintas etapas a lo largo de su carrera.
Según la Organización Mundial de la Salud, el “burn-out” es un síndrome conceptualizado como
resultado del estrés crónico en el lugar de trabajo que no se ha manejado con éxito. Se caracteriza por
tres dimensiones:
• Sentimientos de agotación o agotación de energía.
• Mayor distancia mental con respecto al trabajo o sentimientos de negativismo o cinismo
relacionados con el trabajo.
• Reducción de la eficacia profesional.
En DFIR, este agotamiento se complica aún más por la naturaleza del trabajo que hacemos. Para un
examinador forense digital, no importa su sector o disciplina, es probable que esté expuesto a
archivos multimedia o artefactos similares que contengan contenido violento o CSAM. Esta
exposición repetida introduce una perspectiva completamente nueva sobre el agotamiento. Es posible
que nos guste cada aspecto de nuestro trabajo, incluyendo evidencia en un informe para acabar con
las personas violentas y enfermas que acaparan este tipo de contenido. Pero esa exposición puede
acelerar enormemente el agotamiento. En el grupo de LinkedIn de Belkasoft, realizamos una breve
encuesta dedicada al agotamiento. Esto es lo que algunos de nuestros lectores sienten ahora:

Reduzca los factores estresantes y limite el agotamiento.

• Siga aprendiendo: desafíe siempre su mente y sus técnicas. Intente aprender nuevos métodos para
completar su examen y análisis. Un cambio en el flujo de trabajo podría incluso acelerar procesos
antiguos.
• Su cuerpo necesita descanso y relajación: no se salte las vacaciones. Incluso si cree que no necesita
vacaciones, los estudios demuestran que sí las necesitamos.
• Según la encuesta industrial Belkasoft DFIR de 2021, el 46% de los encuestados trabajan horas
extras o más allá de la expectativa de tiempo formal 1-2 o incluso más veces por semana. El trabajo
desde casa, las capacidades remotas y otros beneficios de la rutina laboral moderna tienen ventajas y
desventajas. Es importante delimitar lo más claramente posible dónde comienza y termina el
“trabajo”. Por ejemplo, puede incluir horas en las que esté disponible para comunicaciones urgentes.
Si trabajas frente a una computadora todo el día, Mirar fijamente a una computadora como descanso
rara vez ayudará. Cambiar el tipo de actividad. Suena una locura, pero cuando te sientes agotado, la
actividad física te dará energía. Utilice sus recursos únicos: tiene amigos, familiares, asociados,
conexiones y redes sociales. Ejercite sus recursos personales para la evaluación y el crecimiento
• Consulte el artículo El héroe de alguien más: la salud mental en la ciencia forense digital
• Consulte el podcast Estrés mental y conciencia de la salud mental en la ciencia forense digital
• Consulte el tema de conversación de Jared Luebbert de Belkasoft durante un Cyber Social Hub
“Hub Cast”
• Hable con un terapeuta experimentado, incluso si cree que no es necesario.
• Levántese y aléjese de su escritorio. Salir a caminar o hacer ejercicio es una excelente manera de
despejar la mente. Consulte nuestro último artículo sobre el mantenimiento físico de su cuerpo. y
cómo puede conducir a una mejor perspectiva sobre el trabajo y la productividad. Se están realizando
investigaciones sobre el impacto de las investigaciones de abuso infantil y la identificación de
posibles factores protectores con respecto a las estrategias de afrontamiento de los investigadores y
los rasgos de personalidad. El estudio cuenta con el apoyo del Departamento de Psicología de la
Universidad de Newcastle. Puedes participar y ayudar a la comunidad forense digital.
Cómo ayuda Belkasoft a nuestros usuarios
Como se mencionó anteriormente, los examinadores están constantemente expuestos a material al
que nadie debería estar expuesto. Para ayudar a nuestros clientes a tener la menor exposición posible,
sin dejar de realizar sus tareas de manera efectiva, hemos implementado las siguientes características
en nuestro software forense digital y de respuesta a incidentes de primera línea:

• Se detectaron fotografías explícitas y borrosas. Encuentre más detalles sobre esta función en
nuestro artículo “Manténgase en buena forma física: mire más allá de la pantalla de un examinador
forense digital” a continuación:
• Con la capacidad adicional de desenfocar los rostros de las personas en las fotografías mencionadas
anteriormente.
• También ofrecemos una adición de contenido borroso a los informes, por lo que los artefactos
perturbadores se pueden incluir en los informes sin exponer a todos.
• Permitir el análisis de conjuntos de hash para detectar CSAM sin tener que mirar fotos:
• Con la capacidad de agregar o crear valores hash para este tipo de indexación y función de
búsqueda
• Al automatizar las tareas rutinarias y aburridas, Belkasoft permite a los examinadores centrarse en
el trabajo más profundo, desafiante e intelectual.
• Belkasoft también admite la búsqueda de hashset del Proyecto VIC, así como un formato de
exportación: 1.3 y 2. 0.
Conclusión
Es inevitable que estemos expuestos a material que nadie debería ver jamás, pero el trabajo de un
examinador forense es descubrir pruebas necesarias y condenatorias que a menudo expondrán un
comportamiento delictivo. La exposición repetida a artefactos perturbadores seguramente acelerará
el proceso de agotamiento, ya sea personal o profesional. Tome las medidas necesarias para proteger
su estado mental, ya sea tomando un largo fin de semana de vacaciones en medio de un caso largo y
espantoso, o saliendo a caminar para aclarar su mente. Necesitamos protegernos, tanto física como
mentalmente, para poder seguir luchando. El equipo de Belkasoft siempre está dispuesto a escuchar a
quienes lo necesitan, así como a mejorar continuamente nuestro software forense digital para
permitir una buena salud física y mental a nuestros clientes.
 Manténgase en buena forma física: mire más allá de la pantalla de un
examinador forense digital
Como examinadores forenses digitales, pasamos mucho tiempo sentados frente a una computadora,
saltándonos comidas y, a menudo, perdemos el sueño para cumplir con los plazos de los proyectos y,
en otros eventos desafortunados, perdemos el sueño. debido al material que tenemos que analizar.
Mientras hacemos esto, también nos olvidamos de cuidarnos mental y físicamente. A la hora de la
verdad, el cuidado personal y la productividad laboral van de la mano.
Ser productivo y estar alerta en el trabajo puede ayudarle a concentrarse en su tarea, reducir la
posibilidad de cometer errores o perderse un elemento importante, así como la ventaja adicional de
poder completar sus exámenes de manera más oportuna. La vida como examinador forense digital se
parece más a una maratón que a una carrera de velocidad. Adoptar un enfoque a largo plazo, tomar
un ritmo eficaz y escuchar a su cuerpo puede garantizar que siempre esté trabajando al máximo de su
capacidad.

El ejercicio puede proporcionar muchos más beneficios que la simple pérdida de peso. ¿Sabías que la
actividad física puede ayudar a aumentar la productividad en el trabajo a través del estado de alerta?
Cada vez que haces ejercicio, aumentas el flujo de sangre al cerebro, lo que a su vez agudiza tu
conciencia de tu flujo de trabajo.
Los estudios han demostrado que el ejercicio también puede mejorar la salud mental. Según un
artículo de LiveStrong, “El ejercicio regular puede ayudar a frenar los sentimientos de ansiedad o
depresión. Cuando haces ejercicio, tu cerebro libera serotonina que te ayuda a sentirte mejor y
mejora tu estado mental, lo que hace que el estrés del trabajo sea más fácil de manejar”.
Los examinadores e investigadores forenses digitales a menudo están expuestos a material digital
que puede ser destructivo para su estado mental, mientras que el ejercicio puede no curar este tipo de
exposición. ciertamente proporciona un beneficio adicional y ciertamente ayuda a liberar
sentimientos de ira o acritud potencialmente reprimidos. Incluso una caminata de diez minutos al día
entre casos o exámenes mejoraría significativamente su estado físico y mental. Nuestro Belkasoft X
intenta ayudar a los investigadores y limitar su exposición a contenido gráfico y perturbador.
Belkasoft X puede detectar automáticamente imágenes de naturaleza perturbadora o pornográfica
con la ayuda de nuestras funciones de análisis de imágenes. El examinador también tiene la opción
de difuminar las imágenes que se detectan como pornografía para evitar la exposición constante y
recurrente a imágenes perturbadoras, cuando no es necesario verlas. Aún mejor, existe una opción
que permite desenfocar los rostros de las personas en las imágenes detectadas como pornografía para
que podamos identificar adecuadamente quién está en la imagen sin la exposición innecesaria de toda
la foto.
Esta es sólo una de las formas en que Belkasoft ayuda a proteger la salud mental de los
examinadores. ¡También tenemos funciones realmente excelentes para ayudar a los examinadores
con su salud física! Ayudamos a reducir la fatiga visual mediante la capacidad del modo oscuro y
diferentes tamaños de fuente para mejorar la legibilidad.

¿Por qué es tan importante el vaciado de ariete y cómo elegir la herramienta

adecuada?
¿Por qué volcar RAM?
La memoria volátil, o RAM, se utiliza para almacenar datos que actualmente utiliza un proceso en
ejecución: ya sea una aplicación de usuario o un servicio del sistema. Este tipo de memoria es mucho
más rápido que un disco duro normal, pero a diferencia de los archivos almacenados
permanentemente en un disco (a menos que se eliminen), los datos de la RAM pueden desaparecer
instantáneamente. Al mismo tiempo, puede almacenar datos cruciales para su caso, incluidas
contraseñas en formato sin cifrar ni codificar, datos descifrados que de otro modo se mantendrían
cifrados en una unidad, claves de descifrado para diversos servicios, aplicaciones y WDE, datos de
sesiones remotas, chats en redes sociales. redes, código de malware, transacciones de criptomonedas,
información diversa del sistema, como ramas de registro cargadas, etc.

Requisitos para una herramienta de volcado de RAM

Hay una serie de requisitos para una herramienta de volcado de RAM, incluidos los siguientes:
1. Portabilidad
2. Operación en modo kernel
3. Ocupa el menor espacio posible
El último requisito incluye elementos obvios como no escribir un volcado en un disco duro. unidad
de una computadora que se está capturando, dejando la menor cantidad posible de rastros en el
registro de una computadora host y sin usar la carpeta Temp de Windows. También implica que los
archivos ejecutables de la herramienta y las bibliotecas vinculadas dinámicamente ocupan el menor
volumen de memoria volátil posible: de lo contrario, la herramienta sobrescribirá datos
potencialmente útiles con su propio código y, por lo tanto, hará que una parte de los datos no esté
disponible.
Esta es una de las razones por las que lamentamos que año tras año se repitan recomendaciones sobre
el uso de herramientas no diseñadas específicamente para la captura de RAM. Parece obvio que si
una herramienta tiene múltiples funciones, la funcionalidad adicional ocupa más espacio del
necesario cuando se carga un ejecutable en la RAM. Creemos firmemente que un investigador
forense digital o un respondedor de incidentes debe utilizar únicamente herramientas dedicadas
exclusivamente a una única función: capturar RAM.
Por estas razones, Nos gustaría hacerle una sugerencia para considerar la próxima vez que se esté
preparando para elegir su próxima herramienta de captura de RAM:
1. La herramienta debe tener una única función: volcar RAM
2. Portabilidad
3. Operación en modo kernel
4. Ocupa el menor espacio posible
Puede encontrar una serie de utilidades que se adaptan a todos estos requisitos y todas ellas son
gratuitas.
Trayectoria profesional: la elección es suya
Aquí en el DFIR o comunidad de ciberseguridad, comúnmente nos enfrentamos a dos opciones de
carrera profesional: pasar veinte años construyendo una excelente reputación y adquirir experiencia
crucial para ser un valioso consultor de clientes, o levantarnos del sofá de mamá el tiempo suficiente
para convertirnos en un joven "hacker". y criminal. La segunda opción, en última instancia, podría
conducir a convertirse en un arma, un defensor del dominio cibernético, todo antes de salir del
sótano.

Hablando hipotéticamente, si hubieras sabido hace 20 años que para convertirte en un “consultor de
seguridad bien pagado” todo lo que tenías que hacer era “hackear” algo o a alguien importante,
convertirte en un criminal y pasar algún tiempo en la cárcel, ¿lo habrías hecho? ¿él? Bromas aparte,
si ha estado en la comunidad DFIR durante algún tiempo y finalmente se está acercando al rol de
"Consultor de seguridad altamente remunerado", felicitaciones por todo su arduo trabajo y
dedicación para llegar a la cima, lo apreciamos.
Unas palabras del director general
Estimado lector,
espero que se haya divertido leyendo este libro, pero también espero que haya encontrado algo nuevo
que pueda ayudarlo a ser mejor en uno de los trabajos más nobles del mundo: el de proteger a
nuestros conciudadanos. Mis coautores de Belkasoft y yo hicimos todo lo posible para que el libro
fuera entretenido y útil.
Si le gusta el libro y le gustaría leer más de nosotros, suscríbase a nuestras actualizaciones utilizando
los enlaces a continuación.

Atentamente,
Yuri y el equipo de Belkasoft DFIR.