Pasar al contenido principal

Sobre la autora

Roland Thomas

Associate Director | Corporate Development

Roland is an Associate Director in Thomas Murray’s Corporate Development team. He joined Thomas Murray in 2018 with responsibility for group strategy, partnerships and corporate finance. More recently, Roland’s role has focused on establishing Thomas Murray’s cyber risk business, starting in 2021 with the launch of our Orbit Security platform, and the development of our expert cyber risk consultancy. Roland has a BA in English Language and Literature from Oxford University.

Puntos clave

  • La forense digital es el proceso de descubrir e interpretar datos electrónicos para su uso como evidencia en una investigación.
  • La forense digital es una parte vital para identificar y castigar a los ciberdelincuentes que atacan a empresas e individuos con ataques cibernéticos, pero también tiene un papel en la resolución de crímenes 'offline'.
  • En la mayoría de las jurisdicciones, existen estándares y directrices que los practicantes de forense digital deben seguir para garantizar que la evidencia que encuentren sea sólida (admisible en la corte, ante reguladores, aseguradoras).
  • 'Forense digital' es un término amplio que abarca áreas especializadas, como forense informático, forense de memoria, forense de redes, forense móvil, forense de IoT e inteligencia de código abierto.

Descubriendo al detective en el teclado

No solo los ciberdelincuentes dejan rastros de evidencia digital. Desde el asesino que busca en Google "cómo limpiar una escena del crimen", hasta un empleado disgustado que roba la información confidencial de su empresa, se llamará a un especialista en forense digital para ayudar a resolver una variedad de casos civiles y criminales.

La Dra. Shahrzad Zargari es Líder de Curso en Seguridad Cibernética con Forense en la Universidad Sheffield Hallam. Ella define el papel de un practicante de forense digital como "identificar, preservar, analizar y presentar la evidencia digital (es decir, cualquier información de valor probatorio) de manera legalmente aceptable".

Como cualquier otro investigador, el especialista en forense digital debe responder cuatro preguntas fundamentales: ¿Quién, qué, dónde y cuándo?

Muchas jurisdicciones prescriben cómo se debe recolectar y presentar esta evidencia. En el Reino Unido e Irlanda, por ejemplo, los expertos en forense digital deben seguir las directrices del Consejo Nacional de Jefes de Policía (NPCC, por sus siglas en inglés) y los diez principios establecidos en la Práctica Profesional Autorizada de la Colegiatura de Policía: Extracción de materiales de dispositivos digitales. (Las directrices del NPCC fueron creadas en 2015, cuando el NPCC se conocía como la Asociación de Jefes de Policía (ACPO), por lo que a menudo se hace referencia a las directrices del NPCC como 'las directrices del ACPO'.)

Forense digital: El creciente peso de la evidencia digital

La forense digital es un área de crecimiento que está cambiando rápidamente y no solo interesa a las fuerzas del orden. También se ha convertido en un término general que abarca áreas de experiencia distintas, que incluyen:

  • Forense informático: el examen del hardware de computadora, especialmente de la forense, está más enfocado en la recuperación de datos y el descifrado, generalmente realizado a partir de una imagen del disco duro. Puede considerarse más como una autopsia de eventos que ya han ocurrido. El cibercrimen no tiene que ser un factor: por ejemplo, un experto en forense informático puede recuperar valiosos datos perdidos si una máquina o red se bloquea por una razón completamente inocente.
  • Forense de IoT: "internet de las cosas" (IoT) es un término amplio que puede abarcar desde un refrigerador inteligente hasta una compleja red de semáforos. El uso de drones para contrabandear mercancías sobre los muros de las prisiones está bien documentado, pero eso está en el extremo más modesto de la escala. Los ciberdelincuentes pueden atacar a países enteros a través de su infraestructura crítica (como sus redes eléctricas o sistemas de control de tráfico aéreo). La forense de IoT puede ser especialmente difícil tanto por las tecnologías sofisticadas que se utilizan a menudo como por los sistemas heredados o propietarios que a menudo se utilizan en la fabricación y otras industrias similares.
  • Forense de memoria: acceso a la RAM (memoria de acceso aleatorio) con software especializado. Un profesional experto a menudo necesita ejecutar este proceso, porque el "volcado de memoria" de una computadora contiene datos que pueden dañarse o perderse fácilmente durante un intento de recuperación. Proporciona una instantánea del sistema que brinda a los investigadores una imagen casi en tiempo real de los procesos y programas en funcionamiento mientras se usaba el sistema. Es sensible al tiempo, ya que la información requerida se almacena en la memoria del sistema volátil, y si el sistema se reinicia o se apaga, esa información se 'elimina' de la memoria del sistema. Es especialmente útil para identificar ataques o comportamientos maliciosos que no dejan rastros fácilmente detectables en los datos del disco duro.
  • Forense móvil: la recuperación de evidencia digital de teléfonos móviles, tabletas y otros dispositivos móviles puede ser desafiante e implicar a múltiples especialistas debido a los diferentes sistemas operativos y modelos en uso.
  • Forense de redes: análisis del tráfico entrante y saliente de una red informática, ya sea como parte de una respuesta a incidentes o un ejercicio de caza de amenazas.
  • Inteligencia de código abierto (OSINT): un método utilizado para recopilar y analizar información de dominio público para respaldar investigaciones, la toma de decisiones críticas y mejorar la postura de seguridad general. En el contexto de la forense digital, OSINT se puede utilizar para recopilar inteligencia de diversas fuentes en línea para ayudar en una investigación. También se utiliza ampliamente en ciberseguridad para descubrir vulnerabilidades (una práctica a menudo llamada 'rastreo técnico').

eDiscovery: Nos vemos en la corte

El descubrimiento electrónico (eDiscovery, a veces denominado en el Reino Unido como eDisclosure) es el proceso digital de identificar, recopilar y producir información almacenada electrónicamente (ESI) necesaria como evidencia en un asunto legal o regulatorio.

ESI cubre una amplia gama de tipos de datos, como correos electrónicos, documentos, presentaciones, bases de datos, mensajes de voz, archivos de audio y video, redes sociales y sistemas basados en la nube.

La complejidad de eDiscovery proviene de la gran cantidad de datos electrónicos que la organización promedio crea y almacena todos los días. ESI es más dinámico que la evidencia física y a menudo contiene metadatos, que incluyen información como sellos de fecha y hora, información de autor y destinatario y otras propiedades.

Es crucial preservar el contenido original y los metadatos de ESI para garantizar la defensibilidad del proceso y evitar reclamos de manipulación de evidencia. Esto se puede lograr aplicando de manera adecuada y proporcional un enfoque de forense digital a la preservación y recopilación de datos.

Una vez identificados, todos los documentos que podrían ser relevantes (incluidos materiales electrónicos y en papel) son analizados por software especializado de eDiscovery para identificar temas comunes y acelerar la eliminación de información irrelevante o duplicada.

Esto no es solo para ahorrar tiempo y costos: todo lo encontrado durante el proceso de eDiscovery puede ser revelado a las contrapartes e incluso terminar en el registro público. Se debe tener cuidado para identificar los datos que pueden contener información privada, comercialmente sensible o legalmente privilegiada.

A menudo, los tribunales y organismos reguladores requerirán que estos procesos sean verificados como una Declaración de Verdad por las partes involucradas, por lo que es importante garantizar que la supervisión de cualquier proceso sea mantenida por personas con el nivel adecuado de antigüedad y experiencia.

Como ocurre con la mayoría de las áreas de la tecnología digital, estos campos complejos están evolucionando todo el tiempo a medida que los avances en IA y aprendizaje automático crean nuevos desafíos y demandan nuevos conjuntos de habilidades y áreas de experiencia.

Por favor, contácteme a mí y al equipo para obtener más información sobre cómo la forense digital puede proteger a su organización y a su gente.

Key points 

  • Digital forensics is the process of extracting and interpreting electronic data for use as intelligence or evidence in an investigation. 
  • Digital forensics is a vital part of identifying and pursuing cyber criminals who target companies and individuals with cyber-attacks, but it also has a key role in solving offline crimes. 
  • In most jurisdictions, there are standards and guidelines that digital forensics practitioners must follow to ensure that the evidence they find is robust and their findings can be relied on by courts and regulators.  
Martin Nikel
Martin Nikel

Director, eDiscovery and Litigation Support | Cyber Risk

mnikel@thomasmurray.com

  • ‘Digital forensics’ is a broad term that covers specialist areas, such as memory forensics, network forensics, mobile forensics, and internet of things (IoT) forensics. 
  • Electronic discovery (eDiscovery) and digital forensic investigations are both processes that deal with electronically stored information (ESI) in legal matters or investigations. However, they differ in their focus and the tools they require. 

A detective at the keyboard 

It is not just cyber criminals who leave behind trails of digital evidence. From the killer who Googles “how to clean a crime scene”, to a disgruntled employee who steals their company’s sensitive IP, a digital forensic investigator will be called on to help solve a range of civil and criminal cases. 

The Forensics Science Regulator defines digital forensics as, “the process by which information is extracted from data storage media, rendered into a useable form, processed and interpreted for the purpose of obtaining intelligence for use in investigations, or evidence for use in criminal proceedings.” 

This a broad definition, but it encompasses the varied field of digital forensics and the range of devices that can be investigated. Investigators can be tasked with extracting WhatsApp voice notes from a victim’s phone to piece together a timeline, analysing a Fitbit to disprove the version of events in a serious crime, and analysing an Amazon Firestick, a hotel room TV, and a mobile phone to prove that a teenager on bail had hacked Rockstar games.   

Like traditional forensic science the Locard principle that “every contact leaves a trace” also applies to digital forensics. Investigators must seek to answer four fundamental questions:

  1. Who? 
  2. What? 
  3. Where?
  4. When? 

The first question (who?) is hardest to answer, as it is not always possible to place a person ‘in front of the device’.

Many jurisdictions prescribe how this evidence should be collected and presented. In the UK and Ireland, for example, digital forensic experts must follow the National Police Chiefs’ Council (NPCC) guidelines and the ten principles set out in the College of Policing’s Authorised Professional Practice: Extraction of materials from digital devices. (The NPCC guidelines were created in 2015, when the NPCC was known as the Association of Chief Police Officers (ACPO), so the NPCC guidelines are still often referred to as ‘the ACPO guidelines’.) 

 

Digital forensics: The growing weight of digital evidence 

Digital forensics is a fast-changing growth area that’s not just of interest to law enforcement. Its traditional roots have been in offline analysis of computers and laptops, but it has grown to become an umbrella term that covers a range of expert areas, including:

  • IoT forensics – “internet of things” (IoT) is a broad term that can cover everything from a smart fridge to a complex network of traffic lights. The use of drones to smuggle contraband over prison walls is well documented, but that is at the more modest end of the scale. Cyber criminals can target entire countries through their critical infrastructure (such as their power grids or air traffic control systems). IoT forensics can therefore be especially difficult, both because of the sophisticated technologies often in use and the legacy or proprietary systems that are often still used in manufacturing and other similar industries. 
  • Memory forensics – analysing RAM (Random Access Memory) is a specialist area that focuses on analysing a computer’s volatile memory. This focus is on data that is temporarily ‘resident in memory’ and may be lost during a computer shutdown or crash. This data can prove invaluable during incident response by revealing information on running processes, open network connections, and malicious code which never touches ‘the disk’.  
  • Mobile forensics – the recovery of digital evidence from mobile phones, tablets and other mobile devices is an increasingly critical aspect of investigations because of the growing reliance on mobile devices for every aspect of people’s lives. This complex specialism not only has to handle yearly changes in device hardware and core operating systems, regular updates to the application of interest, but also work around the increasing security measures applied by mobile device vendors. 
  • Network forensics – a specialism that focuses on the process of monitoring, capturing, and analysing network traffic. This can take the form of simple network logs, targeted packet captures, or in highly mature networks full network flow data. Interpreting these sources can help identify malicious connections to adversary infrastructure, an ongoing denial-of-service attack or the act of data exfiltration. 

Thomas Murray can assist with all aspects of digital forensics including: 

Forensically defensible collection and preservation of evidence from a range of digital sources. 

Independent analysis of devices for all manner of matters including intellectual property disputes, insider theft, and ongoing litigation.  

Associated experts report and testimony with experience covering criminal and civil cases across a wide range of jurisdictions.  

 

eDiscovery: See you in court 

Electronic discovery (eDiscovery) is the digital process of identifying, collecting, and producing electronically stored data needed as evidence in a legal or regulatory matter.   

Potential evidence could come from a range of data types – emails, documents, presentations, databases, audio and video files, social media, messaging systems, and cloud-based collaboration systems.  

To add to the complexity, the vast amount of electronic data that the average organisation creates and stores every day continues to increase exponentially. Digital evidence is more dynamic and transient than physical evidence. It often contains metadata, which includes information like time-date stamps, author and recipient information, and other properties.   

It’s crucial to preserve the original content and metadata of ESI to ensure defensibility of process and prevent claims of evidence tampering. This can be achieved by appropriately and proportionally applying a digital forensic approach to the preservation and collection of data.  

Once identified, all documents that might be relevant (including hard-copy materials) are analysed by specialist eDiscovery software to identify common themes and accelerate the elimination of irrelevant or duplicative information.   

This is not just to save time and costs – everything found during the eDiscovery process may be disclosed to counterparties and even end up on the public record. Care must be taken to identify data that may contain private, commercially sensitive, or legally privileged information.  

Often, courts and regulatory bodies will require that such processes be verified as a Statement of Truth from the parties involved, so it is important to ensure that oversight of any process is maintained by individuals with the appropriate level of seniority and expertise. Without this expertise, the approach may be called into question and could result in sanctions for spoliation and adverse inferences being drawn.  

As with most areas of digital technology, these complex fields are evolving all the time as advances in AI and machine learning demand new skill sets and areas of expertise. Thomas Murray’s experts stay ahead of the curve, maximising the use of technology to lower costs and reduce complexity, while still maintaining a defensible approach. 

Thomas Murray can assist with all aspects of the eDiscovery process, including: 

  • Policies and procedures for litigation readiness. 
  • Vendor assessment and selection. 
  • Provision of eDiscovery processing and hosting for document review. 
  • Advanced technologies to reduce the burden of legal review, such as supervised machine learning (for example technology assisted review (TAR) and continuous active learning (CAL)); generative artificial intelligence (GenAI); natural language processing (NLP); and entity extraction). 
  • Assessment and triage of large pools of data. 
  • Document review by legally qualified practitioners, including privilege, privacy and confidentiality, and business secrets.  

Please contact our team to find out more about how digital forensics and a defined approach to eDiscovery can help safeguard your organisation and its people. 

Cyber Risk

Cyber Risk

Aportamos lo mejor de nuestra experiencia colectiva, energía y poder creativo para proteger ferozmente a nuestros clientes y fortalecer sus comunidades.

Descubra más