Este tipo de herramientas puede ser la pesadilla de un investigador de delitos informáticos. Los programadores diseñan las herramientas anti forenses para hacer difícil o casi imposible recuperar información durante una investigación.
Esencialmente, las técnicas anti forensesse refieren a cualquier método, artilugio o software designado para frustrar una investigación informática.
Hay docenas de maneras para que la gente oculte la información. Algunos programas pueden engañar a los ordenadores cambiando la información en las cabeceras de los archivos. Una cabecera de archivo es normalmente invisible a las personas, pero es extremadamente importante - le dice al ordenador a qué tipo de fichero está asociado el archivo. Para poner un ejemplo, si renombras un archivo avi con una extensión de fichero .JPG, el ordenador todavía sabrá que el archivo es realmente un avi por la información en la cabecera. Como se ha dicho, algunos programas permites cambiar datos en la cabecera para que el ordenador crea que es otro tipo de fichero. Los investigadores buscando algún tipo de archivo en particular, pueden saltarse evidencias importantes porque parecía que no era relevante.
Otros programas pueden dividir archivos en pequeñas secciones, y esconder cada sección al final de otros archivos. Los archivos suelen tener espacio no usado, y con el software adecuado se pueden esconder archivos aprovechándose de este espacio libre. Es realmente complicado recuperar y volver a unir toda esta información diseminada en partes.
Es también posible esconder un archivo en otro. Los ficheros ejecutables – que son ficheros que el ordenador reconoce como programas – son particularmente problemáticos. Programas llamados empaquetadores pueden insertar estos ejecutables en otros tipos de archivos, mientras que hay otras aplicaciones que pueden fundir múltiples ejecutables en uno solo.
La encriptación es otro modo de ocultar los datos. Cuando encriptas datos, se usa un completo conjunto de reglas llamado algoritmo para hacer los datos incomprensibles. Por ejemplo, un algoritmo de este tipo puede hacer que un fichero de texto se convierta en un cúmulo de números y símbolos sin sentido. Una persona que quiera leer los datos, necesitará una “llave” o clave para volver a convertir esos números y símbolos en texto leíble de nuevo. Sin las claves de desencriptación, los investigadores necesitarán programas especiales designados para romper el algoritmo de encriptación del archivo. Cuanto más sofisticado sea el algoritmo, mas tiempo se tardará en hacer la desencriptación.
Otras herramientas anti forensics pueden cambiar las etiquetas anexionadas a los archivos. Estas etiquetas o metadata, incluyen información como por ejemplo, cuando se creo un fichero o fue alterado. Normalmente no puedes cambiar esta información, pero cierto software si permite alterar estas etiquetas. Imagina que se descubre un fichero y descubrir que no va a existir hasta los próximos dos años, y que fue accedido por última vez en el siglo pasado. Si estas etiquetas se ven comprometidas, hace más difícil que se pueden utilizar como pruebas.
Algunas aplicaciones de ordenador borrarán datos su un usuario no autorizado intenta acceder al sistema. Algunos programadores han examinado como funcionan los programas de informática forense, y han intentado crear otras aplicaciones que bloquean o atacan a esos mismos programas. Por este motivo, los investigadores de evidencias informáticas deben ir con cuidado para recuperar datos.
Hay gente que usa este tipo de herramientas para demostrar lo vulnerable y poco fiable que los datos de un ordenador pueden ser. Si no puedes estar seguro de cuando se creo un archivo, cuando se accedió a el por última vez, o incluso si a llegado a existir, ¿como se puede justificar en un juicio que es una evidencia o prueba? Mientras que esta pregunta es complicada, muchos países aceptan evidencias informáticas en juicios, aunque los estándares cambian de un país a otro.
Sign up here with your email
Déjame tus dudas y comentarios: Conversion Conversion Emoticon Emoticon