Extracción, hash y talla: crímenes de tipo digital

M. K. Robinson
Fuente: MK Robinson

Supongamos que una mujer, llamémosla Beth, desaparece. Su hija adolescente recuerda que Beth salió esa noche para ir de compras de última hora. Luego se encuentra el cuerpo de Beth. Ella ha sido apuñalada hasta la muerte. Su hija cambia su historia. Ahora ella dice que su novio lo hizo. Estaba enojado porque Beth se interponía entre ellos. Asustada de él, la hija lo había ayudado a limpiar y esconder el cuerpo.

Pero cuando se le pregunta, el novio dice que eso no fue lo que sucedió. Fue idea de la niña . Estaba enojada con su madre y lo persuadió para que la ayudara con el asesinato. No había querido involucrarse en nada, pero había ofrecido apoyo mientras la hija lo llevaba a cabo. Habían comprado los artículos juntos que eran necesarios para la acción espeluznante.

El dijo ella dijo. ¿Cómo lo resolverían las autoridades?

En estos días, es probable que haya un rastro digital. Casi todos los crímenes tienen tal evidencia. Los textos de los teléfonos celulares, los datos de GPS, los mensajes de Facebook o Twitter, los correos electrónicos y las búsquedas en la computadora pueden ayudar a la policía a resolver esos misterios. (En este caso, los mensajes de texto en los teléfonos celulares mostraron que la niña era la mente maestra, engatusando y presionando al novio para que hiciera lo que ella quería).

Entonces, ¿cómo pueden los policías entrenarse en el manejo adecuado de la evidencia digital? ¿Cómo sabrían cómo o dónde buscarlo? Un teléfono celular o una computadora pueden parecer obvios, pero el proceso de proteger y manejar la evidencia digital puede ser complicado. Hazlo mal y con frecuencia no se puede deshacer.

Michael K. Robinson ha escrito el libro de trabajo Digital Forensics para ayudar a los investigadores a aprender los trucos del oficio. Es un analista de amenazas cibernéticas y un forense digital senior para una corporación internacional. También coordina el programa de la Maestría en Ciencias Cyber ​​Forensics de la Universidad de Stevenson. Su libro de trabajo ofrece ejercicios prácticos, utilizando programas que son en su mayoría software de código abierto, descargables desde Internet.

Robinson señala acertadamente que el análisis forense digital evoluciona constantemente. Este no es un ámbito en el cual los policías pueden mirar y esperar; ellos deben iniciar. Eso significa que deben conocer la evidencia digital y las herramientas para recopilarla y analizarla. Como lo dice Robinson, necesitan un "conjunto básico de competencias". Su texto permite a los investigadores practicar, ya sea para aprender algo nuevo o para mejorar sus habilidades.

(También podría agregar que los escritores de procedimientos policiales contemporáneos o thrillers de crímenes estarán interesados ​​en las técnicas, descripciones de software y jerga encontradas en el libro de trabajo).

Los temas están organizados en un orden lógico, para seguir un patrón que se asemeja a una investigación forense. Hay más de 60 ejercicios prácticos, disponibles en su sitio web, que usan 40 herramientas diferentes, como Autopsy, FTK Imager, RegRipper y Wireshark.

Primero, obviamente, uno aprende cómo adquirir evidencia digital. Esto es seguido de cómo recuperar archivos de datos clave, junto con la captura y el análisis de artefactos. Luego, aprenderá sobre el tráfico de red, la memoria y los dispositivos móviles. Sin embargo, los usuarios pueden trabajar con los capítulos en el orden que deseen.

En cada capítulo, una breve narración orienta a los usuarios a un área temática específica. Por ejemplo, el ejercicio de análisis de archivos recuperados de un medio se enfoca en metadatos, explicando cuidadosamente el concepto y enumerando el tipo más típico de metadatos analizados. "Es importante darse cuenta", escribe Robinson, "de que existe una variedad de metadatos generados por diferentes fuentes y almacenados en diferentes lugares".

Incluso describe un caso en el que los metadatos contenían coordenadas geográficas que facilitaron la captura de un delincuente. Algunos metadatos son más confiables que otros, pero incluso los metadatos modificados tienen valor, dice Robinson.

Cada actividad tiene un objetivo, una lista de las herramientas necesarias e instrucciones sobre cómo encontrarlas, así como instrucciones sobre cómo completar el ejercicio y una lista de resultados para una comparación rápida y autocomprobación.

El libro, para sistemas basados ​​en Windows, ofrece una orientación valiosa para los tipos de actividades que se encuentran en el análisis forense digital. Me interesa, porque cuando escribo sobre crimen, me ayudará a comprender los problemas planteados con el manejo de la evidencia digital. Sin embargo, este libro de trabajo es una valiosa adición a la caja de herramientas de cualquier investigador que necesite adquirir habilidades básicas en el manejo de evidencia digital.