MÉTODOS Y TÉCNICAS ANTIFORENSES

Según [Cano, 2007] Son métodos que limitan la identificación, adquisición, análisis y validación de la evidencia digital en cuanto a cantidad y calidad.

Cano, también da un concepto más amplio “Cualquier intento exitoso efectuado por un individuo o proceso que impacte de manera negativa la identificación, la disponibilidad, la confiabilidad y la relevancia de la evidencia digital en un proceso forense.”

Los objetivos de los métodos antiforenses son [Cano, 2007]:

• Limitar la detección de un evento que haya ocurrido.
• Distorsionar la información residente en el sitio.
• Incrementar el tiempo requerido para la investigación del caso.
• Generar dudas en el informe forense o en el testimonio que se presente.
• Engañar y limitar la operación de las herramientas forenses informáticas.
• Diseñar y ejecutar un ataque contra el investigador forense que realiza la pericia.
• Eliminar los rastros que pudiesen haber quedado luego de los hechos investigados.



COMENTARIO:

Entre los métodos antiforenses tenemos desde los más simples e ingeniosos hasta los más tecnificados por ejemplo:
- Uso de programas de freezado de sistema operativo, por ejemplo DeepFreezer
- Uso de CDs booteables que no escriben en el disco rígido y por tanto no dejan rastros.
- Uso de USB con tecnología U3 con propio sistema operativo y programas portables. Una variante en USB que no cuentan con tecnología U3 es el uso de programas portables almacenados en dispositivos USB (Ej. FireFox portable, Emule portable, etc).
- Uso de máquinas virtuales.
- Borrado de históricos del navegador de Internet.
- Ocultamiento de IPs con proxys anónimos.
- Uso de PCs en cibercafes para realizar actividades ilícitas
- Borrar los datos del archivo desde la aplicación. Ejemplo un documento de Word borrar los datos y guardar con el mismo nombre.
- Programas que cambian metadatos. Ej. Fecha de creación, modificación, etc.
- Cambio del dispositivo de almacenamiento (disco rígido utilizado para actividades ilícitas) por uno nuevo de paquete y con los programas que tenía el antiguo.
- Formateo de disco, solo borra el índice que indica donde están los archivos.
- Destrucción de datos (wipeado) mediante la sobreescritura de archivos.
- Ocultar particiones.
- Ocultar archivos mediante cambio de atributo a oculto, cambio de extensión o lo más tecnificado ocultar mediante estenografía en imágenes o audio.
- Encripción de discos y de datos mediante software o mediante hardware.
- Destrucción física es decir romper el disco, imantar, quemar, etc.


Sin embargo de todos los métodos y técnicas mencionados, cabe resaltar que si bien dificultan el trabajo del profesional forense, siempre se podrá recurrir a procedimientos alternativos que encuentren o den indicios de las actividades ilícitas. Por ejemplo: Si se encuentra que un disco rígido fue sometido a técnicas de wipeado se puede presumir que realizaba actividades de las cuales no quería ser descubierto. Si se conectó a Internet se podrá realizar la búsqueda de correos electrónicos, pedir datos a la ISP y es muy posible en algún momento utilizó dispositivos de almacenamiento USB, haber guardado nombres de usuario y contraseña en papeles.

No existe el crimen perfecto pues "siempre" se deja rastros y si existiera algún crimen perfecto, todovía no nos enteramos porque fuen tan perfecto que ocultó o borró bastante bien sus rastros.

También cabe mencionar una frase que me gusta bastante:
"No existe la verdad absoluta y esta frase es una verdad absoluta".



[Cano, 2007], Jeimy Cano. “Estrategias anti-forenses en informática: Repensando la computación forense”, Revista de Derecho Informático, No. 110 - Septiembre del 2007. http://www.alfa-redi.org/rdi-articulo.shtml?x=9608 Consultado 16/10/2010