Seguridad informática e informática forense

¿Por qué es importante la informática forense?

La informática forense adquiere cada día más relevancia a medida que el mundo está cada vez más conectado digitalmente. La gestión de pruebas digitales es fundamental para resolver ciberdelitos y recuperar datos importantes o comprometidos en organizaciones o particulares que han no seguido los consejos de seguridad informática. El trabajo de un investigador informático forense consiste en recopilar, examinar y salvaguardar estas pruebas.

Tipos de informática forense

La informática forense siempre implica la recopilación y el análisis de pruebas procedentes de fuentes digitales. Algunos de los tipos más comunes son:

Análisis forense de bases de datos: Recuperación y análisis de datos o metadatos encontrados en bases de datos.

Análisis forense del correo electrónico: Recuperación y análisis de mensajes, contactos, calendarios y otra información de una plataforma de correo electrónico.

Análisis forense de móviles: Recuperación y análisis de datos como mensajes, fotos, vídeos, archivos de audio y contactos de dispositivos móviles.

Análisis forense de la memoria: Recuperación y análisis de datos almacenados en la memoria RAM (memoria de acceso aleatorio) y/o caché de un ordenador.

Análisis forense de redes: Uso de herramientas para supervisar el tráfico de red, como sistemas de detección de intrusos y cortafuegos.

Análisis forense de malware: Análisis de código para identificar programas maliciosos como virus, ransomware o troyanos.

Técnicas informáticas forenses habituales

Al llevar a cabo una investigación y un análisis de pruebas, una empresa como LIFE, Laboratorio de Informática Forense Europeo, que se dedica a realizar pruebas periciales, análisis forense, asesoramiento técnico y jurídico, recuperación de datos, labores de detective Informático y subsanar brechas de seguridad, utiliza diversas técnicas. He aquí algunos ejemplos:

Recuperación de archivos borrados: Esta técnica consiste en recuperar y restaurar archivos o fragmentos borrados por una persona -accidental o deliberadamente- o por un virus o malware.

Esteganografía inversa: El proceso de intentar ocultar datos dentro de un mensaje o archivo digital se denomina esteganografía. La esteganografía inversa se produce cuando los especialistas en informática forense examinan el hashing de un mensaje o el contenido de un archivo. Un hashing es una cadena de datos que cambia cuando se interfiere en el mensaje o archivo.

Análisis cruzado de unidades: Esta técnica consiste en analizar datos de varias unidades de disco. Se utilizan estrategias como la correlación y las referencias cruzadas para comparar eventos de un ordenador a otro y detectar anomalías.

Informática forense frente a ciberseguridad

Para los ajenos a la profesión, la informática forense y la ciberseguridad pueden parecer bastante similares. Ambas se ocupan de delincuentes y ordenadores, pero a pesar de esta similitud inicial, la función de cada práctica difiere enormemente.

En resumen, la informática forense se centra principalmente en la recuperación de datos. Los datos recuperados suelen utilizarse como prueba en juicios penales, pero a veces se recuperan para las empresas tras un incidente de pérdida de datos. Además, los delincuentes que investigan los profesionales de la informática forense no siempre son ciberdelincuentes. Dado que casi todo el mundo utiliza un ordenador, a menudo hay información valiosa en su dispositivo personal que puede contribuir a una investigación.

La ciberseguridad, en cambio, se ocupa más de la defensa. Los profesionales de la ciberseguridad trabajan bajo una variedad de títulos, pero casi todos ellos trabajan para construir redes y sistemas que sean seguros frente a posibles atacantes. A veces utilizan la piratería informática para probar sus propias redes o las redes de un cliente para encontrar áreas de debilidad y reforzarlas.