Análisis Forense Digital

El desafío: el tsunami digital

En los últimos años se ha observado un crecimiento exponencial en términos de volumen, velocidad, variedad y sofisticación de la actividad digital en manos de delincuentes y grupos terroristas de todo el mundo. Hoy en día, la mayoría de los delitos poseen un componente digital. Algunos lo han denominado tsunami digital.

Este crecimiento se ha visto exacerbado por los extraordinarios avances en materia de hardware electrónico. La diversidad cada vez mayor de dispositivos electrónicos de consumo, todos ellos con más memoria o capacidad de almacenamiento, ofrece un sinnúmero de oportunidades para que delincuentes y terroristas oculten información dañina.

Con frecuencia, los ordenadores y portátiles vienen con discos duros con una capacidad de almacenamiento equivalente a cientos de gigabytes. Los discos duros más recientes pueden ser de dos o cuatro terabytes. Si consideramos que un terabyte puede almacenar el contenido de 200 DVD, llegamos a la conclusión de que se trata de una gran cantidad de espacio y que representa un problema que continuará aumentando de forma incesante.

Desde ordenadores y portátiles hasta teléfonos móviles y unidades de memoria en miniatura e incluso consolas de juegos, la policía y las fuerzas de seguridad se han esforzado al máximo para clonar, transferir (o crear imágenes), indexar y analizar cada vez más cantidad de datos sospechosos y, a la vez, preservar la cadena de custodia digital y proteger a los ciudadanos.

Cuando se acusa a un presunto delincuente y se confiscan los activos informáticos, la policía y las agencias se ven presionados para procesar y analizar pruebas potenciales en un período de tiempo muy breve y en entornos informáticos que distan de ser los ideales.

Además, si el sospechoso de la actividad delictiva o terrorista resulta ser toda una organización, la cantidad de dispositivos que se debe analizar puede aumentar drásticamente.

Desafíos del mercado

• La falta de conocimientos y recursos, junto con el volumen exponencial de datos sospechosos, ha retrasado el trabajo entre 18 y 24 meses.
• Enfoque ad hoc y desestructurado de la informática, centrado en una infraestructura de uno o varios ordenadores.
• Costoso tiempo de análisis centrado en la administración de tecnología, duplicación de datos y protección de la cadena de custodia.
• El acceso a los datos fuera de las instalaciones es limitado. Los investigadores deben trabajar en el laboratorio para evitar el riesgo de que se filtre información.
• Los códigos malintencionados pueden dañar las estaciones de trabajo de los analistas. Como consecuencia, puede que sea necesario reconstruir los sistemas, acción que a su vez puede provocar la alteración de las pruebas.
• Los métodos de backup de datos sospechosos varían según el organismo. Con el tiempo, existen riesgos de fallos en el funcionamiento de los dispositivos/soportes.

Ventajas de la solución

• Simplifica el proceso de creación de imágenes, archivado y uso compartido de datos entre expertos y distintos equipos, lo que permite aumentar considerablemente la productividad.
• Estandariza la infraestructura analítica de la informática y establece un proceso claro para intercambiar información electrónica de forma segura.
• Centra el conocimiento forense en el análisis de datos sospechosos al ofrecer una única interfaz de usuario para una serie de aplicaciones analíticas.
• Ofrece un método seguro de análisis in situ o remoto y un método de revisión de pruebas y datos sospechosos.
• Capacidad de ejecutar un código malintencionado en un entorno para tal fin, sin afectar la integridad del sistema.
• Las configuraciones de backup, recuperación y archivado (BURA) y recuperación ante desastres (DR) establecen un claro proceso para proteger la cadena de custodia, así como el uso compartido y la destrucción de información.