Este tipo de herramientas puede ser la pesadilla de un investigador de delitos informáticos. Los programadores diseñan las herramientas anti forenses para hacer difícil o casi imposible recuperar información durante una investigación. Esencialmente, las técnicas anti forensics se refieren a cualquier método, artilugio o software designado para frustrar una investigación informática.
Hay docenas de maneras para que la gente oculte la información. Algunos programas pueden engañar a los ordenadores cambiando la información en las cabeceras de los archivos. Una cabecera de archivo es normalmente invisible a las personas, pero es extremadamente importante – le dice al ordenador a qué tipo de fichero está asociado el archivo.
Para poner un ejemplo, si renombras un archivo avi con una extensión de fichero .JPG, el ordenador todavía sabrá que el archivo es realmente un avi por la información en la cabecera. Como se ha dicho, algunos programas permites cambiar datos en la cabecera para que el ordenador crea que es otro tipo de fichero. Los investigadores buscando algún tipo de archivo en particular, pueden saltarse evidencias importantes porque parecía que no era relevante.
Otros programas pueden dividir archivos en pequeñas secciones, y esconder cada sección al final de otros archivos. Los archivos suelen tener espacio no usado, y con el software adecuado se pueden esconder archivos aprovechándose de este espacio libre. Es realmente complicado recuperar y volver a unir toda esta información diseminada en partes.
Es también posible esconder un archivo en otro. Los ficheros ejecutables – que son ficheros que el ordenador reconoce como programas – son particularmente problemáticos. Programas llamados empaquetadores pueden insertar estos ejecutables en otros tipos de archivos, mientras que hay otras aplicaciones que pueden fundir múltiples ejecutables en uno solo.
La encriptación es otro modo de ocultar los datos. Cuando encriptas datos, se usa un completo conjunto de reglas llamado algoritmo para hacer los datos incomprensibles. Por ejemplo, un algoritmo de este tipo puede hacer que un fichero de texto se convierta en un cúmulo de números y símbolos sin sentido. Una persona que quiera leer los datos, necesitará una “llave” o clave para volver a convertir esos números y símbolos en texto leíble de nuevo
. Sin las claves de desencriptación, los investigadores necesitarán programas especiales designados para romper el algoritmo de encriptación del archivo. Cuanto más sofisticado sea el algoritmo, mas tiempo se tardará en hacer la desencriptación.
Otras herramientas anti forensics pueden cambiar las etiquetas anexionadas a los archivos. Estas etiquetas o metadata, incluyen información como por ejemplo, cuando se creo un fichero o fue alterado. Normalmente no puedes cambiar esta información, pero cierto software si permite alterar estas etiquetas. Imagina que se descubre un fichero y descubrir que no va a existir hasta los próximos dos años, y que fue accedido por última vez en el siglo pasado. Si estas etiquetas se ven comprometidas, hace más difícil que se pueden utilizar como pruebas.
Algunas aplicaciones de ordenador borrarán datos su un usuario no autorizado intenta acceder al sistema. Algunos programadores han examinado como funcionan los programas de informática forense, y han intentado crear otras aplicaciones que bloquean o atacan a esos mismos programas. Por este motivo, los investigadores de evidencias informáticas deben ir con cuidado para recuperar datos.
Hay gente que usa este tipo de herramientas para demostrar lo vulnerable y poco fiable que los datos de un ordenador pueden ser. Si no puedes estar seguro de cuando se creo un archivo, cuando se accedió a el por última vez, o incluso si a llegado a existir, ¿como se puede justificar en un juicio que es una evidencia o prueba? Mientras que esta pregunta es complicada, muchos países aceptan evidencias informáticas en juicios, aunque los estándares cambian de un país a otro.
¿Como son estas aplicaciones forenses?
Los programadores han creado muchas aplicaciones para la informática forense. En muchos casos, su uso dependo de los presupuestos que tenga el departamento que esté haciendo la investigación y la experiencia que se tiene. A continuación mostraremos unos cuantos programas y dispositivos que hacen posible el análisis de un sistema informático en caso de un supuesto delito:
- El software de imagen de disco graba la estructura y contendido de un disco duro. Con este software, no solo es posible copiar la información del disco, sino preservar la manera en que los ficheros están organizados y su relación con los otros archivos del sistema.
- El software o hardware de escritura, copian y reconstruyen los discos duros bit a bit. Tanto las herramientas software como hardware eluden cambiar cualquier información. Algunas herramientas requieren que los investigadores retiren los discos duros del ordenador del sospechoso antes de hacer una copia.
- Las herramientas de hashing hacen comparaciones de los discos duros originales a las copias. Analizan los datos y las asignan un número único. Si los números encriptados del original y la copia coinciden, la copia es una réplica perfecta del original.
- Los investigadores utilizan programas de recuperación de archivos para buscar y restaurar datos borrados. Estos programas localizan los datos que el ordenador a marcado como eliminados pero que aun no han sido sobrescritos. Algunas veces esto resulta en un archivo incompleto, lo cual puede ser mucho más difícil de analizar.
- Hay varios programas diseñados para preservar la información en la memoria RAM de un ordenador. De forma distinta a un disco duro, los datos en la RAM dejan de existir cuando alguien apaga el ordenador. Si el software adecuado, esta información puede perderse fácilmente.
- El software de análisis revisa toda la información en el disco duro buscado contenido específico. Al poder los ordenadores modernos, tener mucha capacidad de almacenamiento, es difícil y tedioso buscar archivos manualmente. Por ejemplo, algunos programas de análisis buscan y evalúan las cookies de Internet, lo cual pueden decir al investigador cosas sobre la actividad del sospechoso en la red. Otros programas permiten a los investigadores buscar un tipo determinado de contenido que los investigadores estén buscando.
- El software decodificador de información encriptada y los famosos programas para craquear contraseñas son muy utilizados y útiles para acceder a los datos protegidos. Los investigadores utilizan varios programas de este tipo, los cuales se actualizan cada poco tiempo.
Estas herramientas son útiles siempre y cuando los investigadores sigan los procedimientos correctos. De otra manera, un abogado podría sugerir que cualquier evidencia encontrada en un equipo informático no es fiable. Por supuesto, hay gente que dice que ninguna de estas pruebas son fiables al cien por cien.