¿Sabías que existen sistemas operativos y herramientas gratuitas de gran utilidad en el campo de la informática forense digital?
En nuestros días frecuentemente tenemos conocimiento de situaciones en donde se pone en evidencia gran fuga de información personal o corporativa en Internet, la cual puede darse por una indebida configuración en la red y en los sistemas informáticos, o en su defecto por la maniobra de un ciberdelincuente violando las medidas de seguridad, apoderándose de información valiosa para su beneficio, para luego publicarla en Internet.
Como resultado de esas acciones se hace indispensable como medida preventiva, conocer los sistemas operativos y las herramientas gratuitas más eficaces en la actualidad, que nos ayudan a detectar fallas en los sistemas de seguridad para que nunca ocurran, constituyendo así un área de vital interés en el campo de la informática forense digital.
En virtud de lo anteriormente expuesto, se hace necesario entender al análisis forense digital como una rama esencial de la seguridad informática, por ende, se basa en una serie de herramientas que facilitan la extracción de los datos que están disponibles en los dispositivos de almacenamiento de un equipo sin cambiarlos; bien sea para encontrar información, buscar un patrón o para encontrar datos ocultos, es allí donde la aplicación del análisis forense digital al surgir cualquier imprevisto en materia de seguridad, debe contar con todos los soportes de información disponibles.
En consecuencia, la labor del experto informático forense debe realizarse en función de las fases señaladas a continuación:
– Adquisición y conservación de los datos en el sistema: consiste en resguardar toda la información en un sitio confiable, a través del empleo de herramientas software (gratuitas o bajo la contratación de un servicio) o mediante herramientas hardware para clonado de discos. Cabe señalar, que es indispensable disponer de una réplica exacta de los discos, así como tener acceso al sistema de archivos en su totalidad; analizando con precisión los mismos, así como de un respaldo de todos los datos en el sistema.
– Análisis exhaustivo de los datos: se basa en un análisis profundo y minucioso de toda la información disponible; para ello, el especialista forense debe buscar respuestas a las siguientes interrogantes: ¿Qué ocurrió en el sistema que lo hizo vulnerable?, ¿De qué manera se tuvo acceso a la información?, pudiendo apoyarse hoy en día de las diversas suites forenses, las cuales ayudan a recopilar datos, recuperar archivos que han sido eliminados, entre otras funcionalidades.
Cabe destacar, que el análisis forense digital es amplio y su aplicación no es única y exclusivamente para equipos y dispositivos móviles, pudiendo emplearse también en aquellos datos que son ejecutados mediante de la red cableada o inalámbrica, es por esta razón, que se recomienda contar con herramientas de esa magnitud.
Seguidamente, damos a conocer los principales sistemas operativos más eficaces en el campo de la informática forense digital:
– Caine:es un sistema operativo integral fundamentado en Linux, pero también algunas de sus herramientas son compatibles en Windows, posee una interfaz gráfica de usuario, además tiene la ventaja de que su uso es muy sencillo, lo que permite el máximo aprovechamiento de sus herramientas.
– Kali Linux:es un sistema operativo que tiene preconfiguradas muchas herramientas de uso forense, como un modo Live único, para evitar el tener que escribir en el disco duro o en el almacenamiento interno de los dispositivos utilizados, además de tener otras utilidades.
– Deft Linux:este sistema operativotiene la capacidad de contar con muchas de las herramientas de Caine y Kali Linux, las cuales son de acceso inmediato durante la ejecución de un análisis forense.
– Deft Zero: consiste en una versión liviana y más pequeña del Deft con las mismas funcionalidades, haciéndola más accesible ya que puede usarse perfectamente cuando se tienen menos recursos, por otro lado, es compatible con sistemas de 32 bits y 64 bits y uefi.
Inmediatamente, presentamos varias herramientas que pueden ser utilizadas de forma gratuita en el área informática forense digital y que están incluidas en los sistemas operativos Linux antes mencionados:
– Autopsy:se trata de la herramienta más destacada y sugerida en la actualidad para el análisis forense, funciona como una biblioteca de Unix que posee muchas aplicaciones sustentadas en Windows, de igual modo, permite agilizar varios programas y plugins de código libre, otro de sus atributos resaltantes es que es extensible, por lo que los usuarios tienen la facilidad de adicionar rápidamente otros complementos, además dispone de varias herramientas predeterminadas para restaurar archivos y recuperar datos exif en imágenes y videos.
– The Sleuth Kit: se basa en un conjunto de herramientas de comandos en línea, que permiten indagar, analizar y procesar mediante su diseño modular, la capacidad y los sistemas de archivos empleados en las pesquisas forenses digitales, de la misma manera, tiene compatibilidad en Linux y puede aplicarse perfectamente en plataformas Windows y Unix.
– Magnet Encrypted Disk Detector:es una herramienta queopera mediante la línea de comandos, se sugiere el empleo de la última versión 3.0, bajo un sistema operativo Windows 7 o sucesivo, aunque es gratuita se requiere el registro en su web oficial para poder descargarla, esta aplicación ayuda a diagnosticar la existencia de discos físicos cifrados.
– Magnet Ram Capture:consiste en una herramienta elaborada exclusivamente para hallar la memoria física del equipo, esto permite restaurar y analizar la información disponible en la memoria RAM, de modo que posteriormente puedan cargarse en otros dispositivos diseñados para tal fin.
– RAM Capturer: se fundamenta en la extracción de la información disponible en la memoria RAM de un equipo a otro dispositivo de almacenamiento extraíble, teniendo así acceso a las credenciales de usuario de volúmenes cifrados, como por ejemplo, en el caso de identificación de usuario en inicios de sesión de cuentas de correo y redes sociales.
– Magnet Process Capture:permite capturar la información contenida en una determinada fase en un sistema operativo.
– Magnet Web Page Saber:es ideal para registrar el estatus de una web en un tiempo determinado , no se cuenta con conexión a Internet. También tiene la capacidad de poder tomar capturas de cada página, adicionalmente, permite señalar las URL de forma manual o mediante su importación vía fichero de texto o CSV, por otra parte, tiene la particularidad de que se puede desplazar por la web descargada con toda comodidad.
– Forensics Acquisition of Websites (FAW): es de gran utilidad para descargar tanto páginas web en su totalidad como para recabar pruebas de dichas páginas, que posteriormente son analizadas por el experto forense; pudiendo capturar tanto las imágenes como el código fuente HTML.
– Investigative Forensic Toolkit (SIFT):hace referencia a la plataforma que genera una solución alternativa a la mayoría de los problemas de código libre más señalados en la actualidad en el campo informático forense, cuenta con la versión de 64 bits, que posee entre sus ventajas: optimización en el uso de memoria, actualización automática del paquete DFIR, así como compatibilidad con Linux y Windows.
– Volatility: se presenta como una aplicación forense de memoria de código libre, brindando otra alternativa para las investigaciones de problemas y análisis de malware, es de gran utilidad para indagar el periodo de tiempo de uso de un ordenador, a través de la lectura de su memoria RAM, aunque no se cuenta con muchas actualizaciones, es considerada como una herramienta muy potente en cuanto a su campo de aplicación en el análisis de la memoria ram.
– Análisis forense móvil (Cellebrite Ufed):es reconocidacomo la herramienta más sobresaliente para el análisis forense de dispositivos móviles, aunque también admite otras plataformas.
– Hash MyFiles: consiste en un programa de comprobación de integridad de todos los archivos, a través del cálculo de hashes MDF y SHA1, es compatible con la mayoría de los sistemas operativos de Windows.
– Crowdresponse:se trata de un programa portátil que no requiere instalación ni herramientas externas, ya que sus módulos están instalados en su sistema principal, está basada en Windows de crowd strike, de esta forma, durante una conexión de red recaba datos de varios sistemas de manera no invasiva, siendo muy usada por los especialistas shellshock scanner para realizar digitalizaciones en red y así identificar fallas en el sistema.
– Exiftool:se trata de otra aplicación portátil, que no necesita instalación y es compatible con sistemas operativos Windows y macOS, permite la lectura, transcripción y edición de metadatos de una imagen para diversas clases de formatos, adicionalmente, cuenta con imágenes geotags de archivos para registro de seguimiento GPS y de imágenes geoetiquetadas.
– Browser History Capturer (BHC):está diseñada para extraer el historial de navegación web de todo programa operativo windows.
– Browser History Viewer (BHV): se trata de una aplicación ideal para sustraer y captar el historial de Internet de los más resaltantes exploradores de web de escritorio.
-Paladin Forensic Suite: es un software que cuenta con interfaz gráfica de usuario basada en Ubutu, su aplicación no necesita el empleo de comandos en línea, por ende, puede ser usado cómodamente, estando así calificado como una herramienta relevante para indagar accidentes informáticos.
– Ftk Imager:consiste en unaherramienta que tiene la capacidad de hacer una previsualización de toda la información que puede ser recuperada en cualquier disco, aparte de eso, es ideal para diseñar imágenes forenses de calidad, archivos hash, además de imágenes de discos previas.
– Bulk extractor: tiene la utilidad de poder digitalizar imágenes de un disco o de un directorio de archivos, es muy veloz en comparación con otros programas análogos ya tiene la característica de que permite procesar varias partes del disco al mismo tiempo.
– LastActivityView: se basa en una aplicación portátil que ayuda a la visualización de la última actividad de registro en un equipo, no requiere de una gran capacidad de memoria RAM y CPU, por lo que su uso no requiere de muchos recursos.
– FireEye RedLin: se trata de un sistema de seguridad compatible con OS X y Linux, está basada en el monitoreo y análisis continuo de una terminal y su red; tiene la habilidad de indagar los hosts de los usuarios, con el fin de hallar alguna conducta malintencionada en la memoria y los archivos, estableciendo el tiempo y la magnitud del problema.
– Registry Recon: es una herramienta comercial de análisis de registro de Windows, complementada con la habilidad de poder reconstruir las imágenes forenses eliminadas de dichos registros, mediante una inspección del espacio de memoria no asignado en el disco.
– Wireshark: es uno de los analizadores de redes de protocolos de código libre por excelencia, es compatible con Windows, Linux, FreeBSD, realiza un análisis forense integral en la red local, además de una inspección minuciosa de los paquetes capturados, también dispone de una interfaz gráfica de usuario para el análisis de tráfico que facilita la visualización de los detalles clasificado por capas, adicionalmente posee filtros de captura para visualizar solo información de interés forense.
– Network Miner: es una aplicación muy parecida a la anterior, se trata de un sistema diseñado para el análisis forense de red, es compatible con Windows, Linux y MAC OS X, tiene gran uso en la detección de SO, nombre de host, sesiones, así como para identificar direcciones Ip y puertos que son ejecutados durante el proceso de captura de información, de igual modo permite capturar paquetes transferidos a través de la red, sistemas operativos de los equipos disponibles, puertos abiertos, etc.
Únete a nuestra comunidad de Informática Forense, Pentester, Osint y Jurídico.