Llegamos a ustedes gracias a:



Reportajes y análisis

Construya su propio laboratorio forense digital

Sin la necesidad de invertir mucho dinero

[28/07/2009] Frecuentemente nos encontramos con alguien que busca desesperadamente la forma de recuperar los archivos borrados del disco duro de un sospechoso. A menudo las pruebas del delito se pierden, o quedan inutilizadas en cuanto el sospechoso sabe que lo están investigando. Con el hardware apropiado -que probablemente ya tenga- y herramientas gratuitas disponibles en línea, podrá construir fácilmente su propio laboratorio informático forense que le ayudará a reducir los costos de recuperación y, lo que es más importante, conseguir pruebas valiosas para sus investigaciones.

La regla de oro para comenzar cualquier investigación forense es no tocar el disco duro o la computadora del sospechoso. En televisión vemos a los detectives de CSI caminando por la escena del crimen, accediendo al equipo del sospechoso y buscar pruebas. No lo haga. Nunca. Cualquier roce en el teclado, mouse o incluso el simple hecho de apagar la computadora provoca cambios forenses en su disco duro.
Estos son los dos pasos esenciales que debe seguir:
1. Primero, desconecte la computadora de la corriente retirando el cable del propio equipo y no de la toma de la pared. Si se trata de una portátil retire la batería y deje que se apague sola. Esto suele "congelar" el estado del disco duro con cualquier prueba útil que contenga.
2. En segundo lugar, nunca trate de ver el disco duro del sospechoso sin un dispositivo de bloqueo de lectura/escritura. Estos dispositivos evitan que se alteren los contenidos del disco mientras buscamos pruebas.
Sin estos dos pasos las pruebas no servirán en un juicio, así que tenga la precaución de seguirlos e incluso moléstese en hacer un duplicado del disco para revisarlo con toda tranquilidad. Lo primero para poder recopilar pruebas es hacer un reconocimiento. Previamente averigüe la marca y modelo de la computadora del sospechoso. Conocerlo le puede ayudar a determinar el tipo de disco duro (SATA o ATA), su tamaño (desde 40 GB hasta varios TB), y sobre todo cómo acceder a él físicamente y desconectarlo. Probablemente una simple búsqueda en YouTube le ayude a encontrar algún tutorial sobre cómo desconectar el disco duro de su PC.
Respecto al dispositivo de bloqueo de lectura/escritura, tiene la opción de comprarlo o fabricarlo. Si elige comprarlo, hay diversas opciones disponibles a distintos precios. Un ejemplo es el laboratorio forense portátil de Logicube, que funciona como una copiadora portátil. Este dispositivo puede hacer copias a una velocidad de 4GB por minuto y es fácil aprender a utilizarlo. También hay otras opciones más pequeñas y baratas en el mercado que pueden servirle.
Si desea fabricar su propio dispositivo de copia, hágase con una carcasa de disco duro externo con conexión USB. Después deberá hacer unos cambios en el registro (editar el registro no es recomendable para usuarios no familiarizados con la tecnología):
1. Haga clic en el botón Inicio, Ejecutar, escriba Regedit y pulse Enter.
2. Diríjase a HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control.
3. Haga doble clic sobre Control y seleccione Edición, Nueva y después Clave. Llame a la nueva clave FORENSICWRITEBLOCK.
3. Haga clic derecho sobre WriteProtect y seleccione Propiedades. Cambie el valor a 1 y pulse OK.
(Nota: para revertir este proceso y eliminar el bloqueo de escritura a los discos una vez hecha la copia, simplemente borre la clave de registro StorageDevicePolicies, o borre la entrada del registro WriteProtect; o bien cambie el valor de WriteProtect a cero).
Una vez configurado el registro, pruebe el disco externo con un disco duro vacío tratando de copiar un archivo. Windows deberá darle un mensaje de error indicando que el disco está protegido contra escritura y que no se puede copiar el archivo.
Tras tomar el disco duro de su sospechoso -a ser posible cuando no se dé cuenta- conecte la unidad a su dispositivo de bloqueo de lectura/escritura. Windows debería reconocer la nueva unidad y se abrirá el Explorador. En este punto puede buscar y usar el dispositivo como si fuera suyo, o hacer una imagen forense para ver los archivos borrados, revisarlo más adelante o presentarlo a un juicio.
Para hacer una imagen forense descargue FTK Imager 2.6.1 de Accessdata. Hay un montón de aplicaciones de código abierto, gratuitas y de pago entre las que elegir, pero esta es muy fácil de usar para principiantes gracias a su guía paso a paso. Una vez instalada, seleccione Create Disk Image, elija el origen de la imagen (su unidad USB), ponga nombre al archivo y guárdelo (es recomendable guardarlo en un disco duro de gran capacidad) y pulse Start. Tras unas horas tendrá una copia idéntica al disco del sospechoso para poder explorarla. En este momento puede devolver el disco duro a la computadora del sospechoso sin que este se dé cuenta. FTK Imager puede revisar la unidad copiada o la original seleccionando "Add Evidence Item". En esta función actúa como si fuera el Explorador de Windows, pero muestra muchos archivos borrados marcados con una equis.
Si necesita más capacidades forenses puede gustarle Guidance y Accessdata, que ofrecen soluciones para organizar los documentos, e-mails y mensajes instantáneos de los sospechosos, romper contraseñas encriptadas y mucho más.
Brandon Gregg, CSO, España
Brandon Gregg es director de investigaciones corporativas