23/11/2024

MANUAL DE TECNICAS ANTIFORENSES – EVIDENCIA DIGITAL

La informática forense, así como otras ciencias de la investigación presenta diversas técnicas que pueden haber sido utilizadas para contaminar o destruir la evidencia digital. Estas técnicas deben ser consideradas como “posibles” al momento de realizar el análisis forense de la evidencia digital y sobre todo al momento de definir PUNTOS PERICIALES..

Los casos citados son más específicos y adecuados a entornos personales. Evidentemente sin políticas y controles empresariales también pueden darse a nivel laboral o de alguna manera pueden involucrar credenciales de administración y super usuarios.

En las siguientes entregas estaré analizando algunas con la finalidad de dar un acercamiento referencial de las mismas. Reitero la finalidad; deben ser consideradas por los investigadores, abogados, jueces y policías antes de dar por cierta o falsa la información que pueda proporcionar este tipo de evidencias.

Por ahora podemos citar algunas de manera referencial y abocarnos en la primera:

  1. Modificación de hora y fecha
  2. Desfragmentación de disco
  3. Borrado seguro y mantenimiento de espacio libre.
  4. Respaldos totales en el mismo equipo.
  5. Autoinfección con malware
  6. Autohackeo con acceso remoto
  7. Cambio de dispositivo y partes
  8. Reinstalación de sistema operativo
  9. Eliminación de logs y registro de eventos
  10. Intermitencia en registro de eventos
  11. Máquinas virtuales
  12. Espacios cifrados
  13. Archivos cifrados
  14. Booteo electivo
  15. Usuarios fantasmas
  16. Lenguaje codificado: apodos y sobrenombres a las acciones y objetos
  17. Modificacion de firmas y extenciones de archivo
  18. Modificacion de cabeceras
  19. Camuflaje de archivos

¡¡y Otras, que sin duda estaremos recordando de los casos atendidos durante mas de 20 años!! Lamentablemente a veces la imaginación para delinquir supera a todas las habilidades humanas.

Vamos con la primera:

MODIFICACIÓN DE HORA Y FECHA

Cuando un archivo se lea, acceda o modifica, estos datos quedan registrados a nivel de metadatos.

Pero si se ha modificado ya sea desde el BIOS (caso de un usuario mas avanzado) o solamente desde el SO las propiedades de ese archivo podrán ser modificadas.

Una opcion es trabajar con fecha pasada:

Mas critico puede ser trabajar con fecha futura:

Los ejemplos son con archivos individuales, pero si despues de modificar las fechas copiamos todo un directorio de trabajo:

Los metadatos seran alterados.

si alguien se anima, puede enviarme por inbox cual es el resultado de esta modificación. Que metadatos son alterados?

EFECTO ANTIFORENSE

Resulta que cuando se investiga un hecho, normalmente se acota el alcance de manera temporal, pero no se esta considerando esta posibilidad.

Cuando la modificación se hace hacia el pasado, se puede estar ocultando sutilmente información relaciona a un hecho puntual.

Cuando la modificación es al futuro, se esta llegando a cuestionar toda la integridad de este control.

Como se puede detectar? Sera tarea de casa investigar. Vamos a juntar respuestas y publicarlas mas adelante.

antiforense ataque auditoria bancos bolivia capacitacion Certificacion certificaciones ciberataques CiberCrimen ciberdelitos CIBERESTRATEGIAS ciberfraudes ciberguerra ciberseguridad ciso CONTINUIDAD COVID19 cyberseguridad estafas estrategia evidencia digital fca forense fraude fraudes guido_rosales hackers hacking informatica forense internet laboral malware oportunidad pericia informatica phishing privacidad ransomware riesgos rusia seguridad suntzu teletrabajo Ucrania yanapti

Autor / Redactor / Director