Forense digital y eDiscovery: Una introducción para principiantes

Puntos clave

• La forense digital es el proceso de descubrir e interpretar datos electrónicos para su uso como evidencia en una investigación.
• La forense digital es una parte vital para identificar y castigar a los ciberdelincuentes que atacan a empresas e individuos con ataques cibernéticos, pero también tiene un papel en la resolución de crímenes 'offline'.
• En la mayoría de las jurisdicciones, existen estándares y directrices que los practicantes de forense digital deben seguir para garantizar que la evidencia que encuentren sea sólida (admisible en la corte, ante reguladores, aseguradoras).
• 'Forense digital' es un término amplio que abarca áreas especializadas, como forense informático, forense de memoria, forense de redes, forense móvil, forense de IoT e inteligencia de código abierto.

Descubriendo al detective en el teclado

No solo los ciberdelincuentes dejan rastros de evidencia digital. Desde el asesino que busca en Google "cómo limpiar una escena del crimen", hasta un empleado disgustado que roba la información confidencial de su empresa, se llamará a un especialista en forense digital para ayudar a resolver una variedad de casos civiles y criminales.

La Dra. Shahrzad Zargari es Líder de Curso en Seguridad Cibernética con Forense en la Universidad Sheffield Hallam. Ella define el papel de un practicante de forense digital como "identificar, preservar, analizar y presentar la evidencia digital (es decir, cualquier información de valor probatorio) de manera legalmente aceptable".

Como cualquier otro investigador, el especialista en forense digital debe responder cuatro preguntas fundamentales: ¿Quién, qué, dónde y cuándo?

Muchas jurisdicciones prescriben cómo se debe recolectar y presentar esta evidencia. En el Reino Unido e Irlanda, por ejemplo, los expertos en forense digital deben seguir las directrices del Consejo Nacional de Jefes de Policía (NPCC, por sus siglas en inglés) y los diez principios establecidos en la Práctica Profesional Autorizada de la Colegiatura de Policía: Extracción de materiales de dispositivos digitales. (Las directrices del NPCC fueron creadas en 2015, cuando el NPCC se conocía como la Asociación de Jefes de Policía (ACPO), por lo que a menudo se hace referencia a las directrices del NPCC como 'las directrices del ACPO'.)

Forense digital: El creciente peso de la evidencia digital

La forense digital es un área de crecimiento que está cambiando rápidamente y no solo interesa a las fuerzas del orden. También se ha convertido en un término general que abarca áreas de experiencia distintas, que incluyen:

• Forense informático: el examen del hardware de computadora, especialmente de la forense, está más enfocado en la recuperación de datos y el descifrado, generalmente realizado a partir de una imagen del disco duro. Puede considerarse más como una autopsia de eventos que ya han ocurrido. El cibercrimen no tiene que ser un factor: por ejemplo, un experto en forense informático puede recuperar valiosos datos perdidos si una máquina o red se bloquea por una razón completamente inocente.
• Forense de IoT: "internet de las cosas" (IoT) es un término amplio que puede abarcar desde un refrigerador inteligente hasta una compleja red de semáforos. El uso de drones para contrabandear mercancías sobre los muros de las prisiones está bien documentado, pero eso está en el extremo más modesto de la escala. Los ciberdelincuentes pueden atacar a países enteros a través de su infraestructura crítica (como sus redes eléctricas o sistemas de control de tráfico aéreo). La forense de IoT puede ser especialmente difícil tanto por las tecnologías sofisticadas que se utilizan a menudo como por los sistemas heredados o propietarios que a menudo se utilizan en la fabricación y otras industrias similares.
• Forense de memoria: acceso a la RAM (memoria de acceso aleatorio) con software especializado. Un profesional experto a menudo necesita ejecutar este proceso, porque el "volcado de memoria" de una computadora contiene datos que pueden dañarse o perderse fácilmente durante un intento de recuperación. Proporciona una instantánea del sistema que brinda a los investigadores una imagen casi en tiempo real de los procesos y programas en funcionamiento mientras se usaba el sistema. Es sensible al tiempo, ya que la información requerida se almacena en la memoria del sistema volátil, y si el sistema se reinicia o se apaga, esa información se 'elimina' de la memoria del sistema. Es especialmente útil para identificar ataques o comportamientos maliciosos que no dejan rastros fácilmente detectables en los datos del disco duro.
• Forense móvil: la recuperación de evidencia digital de teléfonos móviles, tabletas y otros dispositivos móviles puede ser desafiante e implicar a múltiples especialistas debido a los diferentes sistemas operativos y modelos en uso.
• Forense de redes: análisis del tráfico entrante y saliente de una red informática, ya sea como parte de una respuesta a incidentes o un ejercicio de caza de amenazas.
• Inteligencia de código abierto (OSINT): un método utilizado para recopilar y analizar información de dominio público para respaldar investigaciones, la toma de decisiones críticas y mejorar la postura de seguridad general. En el contexto de la forense digital, OSINT se puede utilizar para recopilar inteligencia de diversas fuentes en línea para ayudar en una investigación. También se utiliza ampliamente en ciberseguridad para descubrir vulnerabilidades (una práctica a menudo llamada 'rastreo técnico').

eDiscovery: Nos vemos en la corte

El descubrimiento electrónico (eDiscovery, a veces denominado en el Reino Unido como eDisclosure) es el proceso digital de identificar, recopilar y producir información almacenada electrónicamente (ESI) necesaria como evidencia en un asunto legal o regulatorio.

ESI cubre una amplia gama de tipos de datos, como correos electrónicos, documentos, presentaciones, bases de datos, mensajes de voz, archivos de audio y video, redes sociales y sistemas basados en la nube.

La complejidad de eDiscovery proviene de la gran cantidad de datos electrónicos que la organización promedio crea y almacena todos los días. ESI es más dinámico que la evidencia física y a menudo contiene metadatos, que incluyen información como sellos de fecha y hora, información de autor y destinatario y otras propiedades.

Es crucial preservar el contenido original y los metadatos de ESI para garantizar la defensibilidad del proceso y evitar reclamos de manipulación de evidencia. Esto se puede lograr aplicando de manera adecuada y proporcional un enfoque de forense digital a la preservación y recopilación de datos.

Una vez identificados, todos los documentos que podrían ser relevantes (incluidos materiales electrónicos y en papel) son analizados por software especializado de eDiscovery para identificar temas comunes y acelerar la eliminación de información irrelevante o duplicada.

Esto no es solo para ahorrar tiempo y costos: todo lo encontrado durante el proceso de eDiscovery puede ser revelado a las contrapartes e incluso terminar en el registro público. Se debe tener cuidado para identificar los datos que pueden contener información privada, comercialmente sensible o legalmente privilegiada.

A menudo, los tribunales y organismos reguladores requerirán que estos procesos sean verificados como una Declaración de Verdad por las partes involucradas, por lo que es importante garantizar que la supervisión de cualquier proceso sea mantenida por personas con el nivel adecuado de antigüedad y experiencia.

Como ocurre con la mayoría de las áreas de la tecnología digital, estos campos complejos están evolucionando todo el tiempo a medida que los avances en IA y aprendizaje automático crean nuevos desafíos y demandan nuevos conjuntos de habilidades y áreas de experiencia.

Por favor, contácteme a mí y al equipo para obtener más información sobre cómo la forense digital puede proteger a su organización y a su gente.