Cómo los especialistas forenses investigar con metadatos

December 04, 2024 | 10 minutes read
Cómo los especialistas forenses investigar con metadatos

Los datos más allá de los datos

A medida que la variedad de datos se desarrolla a través de diversos medios en la sociedad, se han ido creando normas para organizar estos datos. Los metadatos son un tipo de información que funciona como una firma en el fondo de tus archivos, y contienen una gran cantidad de información. Puede mostrar quién creó el archivo, cuándo, a qué hora e incluso dónde. Siempre debes preocuparte, ya que cualquier dato que publiques en Internet, incluidas las imágenes de tu móvil, contiene este tipo de información. Publicar en Facebook una simple foto que has hecho en casa con el móvil puede significar que acabas de dar al mundo tus datos privados, incluida la dirección de tu casa.

Metadatos es un término utilizado para describir el paquete de información que se adjunta en el fondo de tus archivos. En pocas palabras, “meta” significa “más allá”. Es un concepto que da sentido a lo que se adjunta. En otras palabras, puede significar “datos más allá de los datos”. La teoría se remonta a cientos de años atrás y, antes de los ordenadores, se relacionaba con lo que solíamos conocer como el catálogo de fichas de la biblioteca. Estas fichas contenían información específica que permitía buscar en la biblioteca y encontrar la información buscada. Es el mismo concepto, sólo que en los ordenadores y en Internet; esta información de fondo es la que escarban los motores de búsqueda como Google y otros para encontrar los datos.

Especialista forense en metadatos

Hoy en día, pensamos en la resolución de delitos cuando los detectives siguen un rastro de papel para resolver un misterio, obtener información o resolver un crimen. Pero muchos de los datos actuales están digitalizados de alguna forma. Se necesitan especialistas en metadatos forenses altamente cualificados para examinar el rastro dejado como huella digital.

Los archivos digitales tienen su forma de identificar al individuo que los creó. Estos marcadores son la forma en que los especialistas forenses reúnen los detalles de quién los creó, cuándo y dónde. He aquí algunos ejemplos de los tipos de datos que se ocultan en muchos archivos digitales.

En la mayoría de los sistemas informáticos, basta con hacer clic con el botón derecho del ratón sobre un archivo para obtener información. Esta acción demuestra lo fácil que puede ser consultar los metadatos de los archivos digitales. La información devuelta debe ser una pantalla que contenga la firma o huella digital de los archivos. Puede incluir todos los datos mencionados anteriormente.

Dependiendo del documento o archivo que se cree, algunas aplicaciones ofrecen la posibilidad de cambiar los metadatos registrados sobre la información que se produce. Aunque éste es el tipo de metadatos al que el usuario puede acceder y que a menudo modifica, lo cierto es que una gran parte de los metadatos se registran sobre las acciones del usuario en muchas otras áreas del sistema. Los subsistemas y otras aplicaciones pueden registrar los metadatos en otras partes del sistema, que es lo que utilizan los especialistas forenses para comparar y ver cualquier incoherencia. El tipo de datos que se encuentran en los subsistemas suele requerir un profesional altamente cualificado para localizarlos.

Rastros dejados como pistas

Los especialistas forenses pueden profundizar y encontrar rastros de firmas digitales dejadas como pistas de lo que se almacenó inicialmente en un ordenador. Algunos delincuentes y otras personas, por motivos de privacidad, intentan ocultar, eliminar o modificar los metadatos adjuntos a sus archivos digitales. Puede consultar el artículo Los datos EXIF pueden hablar si desea eliminar metadatos como ubicaciones GPS en sus archivos de fotografía o imagen.

Un experto en informática forense podría realizar una inmersión profunda en los archivos de un sistema y descubrir si se ha manipulado o eliminado algún metadato. Al comparar los datos de un lote mayor de archivos, un experto se dará cuenta de cualquier incoherencia significativa en los datos y sabrá si algo va mal. Los expertos en datos pueden saber cuándo se modificaron los datos y, muy probablemente, quién lo hizo.

Imágenes forenses

Una técnica que se utiliza a menudo para estudiar los cambios realizados en los metadatos consiste en crear un duplicado de imagen especular del disco duro. Este método se conoce comúnmente como imagen forense. Cualquier análisis se realiza a partir de datos duplicados. De este modo, se preservan los datos o unidades originales para posibles investigaciones futuras o posteriores.

Para crear una imagen forense es necesario realizar una copia bit a bit, sector a sector, de la unidad de almacenamiento físico original. Esta copia incluirá todos los archivos, carpetas e incluso el espacio libre disponible. Estas imágenes forenses incluyen mucho más que los datos actualmente visibles para el sistema operativo. También ofrece detalles sobre archivos borrados y fragmentos de datos que han quedado en el espacio libre.

Las imágenes forenses son sólo una de las herramientas de la investigación informática. Los investigadores informáticos utilizan diversas técnicas de análisis para reunir las pruebas presentadas por los representantes legales ante un tribunal. Para crear este tipo de imagen forense del contenido de un sistema o de archivos digitales se pueden utilizar diversos paquetes de software y aplicaciones.

Algunas aplicaciones crearán una copia de seguridad de la imagen, pero no son copias completas del dispositivo. Se utiliza software forense especializado para asegurarse de que la imagen creada para el estudio es completa. Para quienes no sean especialistas certificados, existen herramientas gratuitas de creación de imágenes de disco que pueden utilizarse para crear duplicados de los datos y utilizarlos posteriormente como copia de seguridad de los datos en caso de pérdida significativa.

Una de las mejores aplicaciones gratuitas de copia de seguridad de imágenes disponibles es AOMEI Backupper. Esta aplicación es fácil de usar tanto para principiantes como para usuarios experimentados. Esta aplicación fácil de usar ofrece opciones, incluyendo unidades de disco de imagen, particiones y sistemas enteros. Incluye copias de seguridad de archivos y carpetas. Una de las principales características de esta aplicación gratuita es que ofrece una opción para cifrar los datos. Ofrece varias opciones para realizar copias de seguridad más grandes: optimización de sectores, copia shadow, disco GPT y compatibilidad con arranque UEFI. GPT o GUID Partition Table es una descripción de la disposición física de las tablas de particiones o del dispositivo de almacenamiento físico. UEFI o Unified Extensible Firmware Interface se refiere a la estandarización de la interfaz de software entre los sistemas operativos y el firmware de la plataforma. AOMEI Backupper también incluye modos de copia de seguridad diferencial e incremental. Ofrece una gran cantidad de funcionalidades como programa gratuito que no están cubiertas en muchos paquetes de software de copia de seguridad costosos.

Existen varios tipos de aplicaciones gratuitas de software de copia de seguridad del sistema, pero no todas son iguales. Windows crea copias de seguridad de imágenes, pero éstas no son copias completas del dispositivo físico, y algunos datos, archivos y metadatos pueden perderse o corromperse.

Ciberdelincuencia

Muchos detectives de datos forenses utilizan sus habilidades para resolver ciberdelitos. Lo hacen mediante una investigación exhaustiva de los metadatos y archivos de un sistema determinado. A menudo se descubren pruebas adicionales que el usuario o el delincuente pensaban haber borrado. Los datos incriminatorios pueden recuperarse con software forense o de recuperación de archivos, a menos que se eliminen los datos y se sobrescriba la partición con una nueva forma de datos.

El concepto de análisis forense digital sigue las definiciones de prueba que siguen los principios forenses, como la regla de intercambio de Edmond Locard. Esta ley establece que “siempre que dos objetos entran en contacto, se produce una transferencia de material”. Por ejemplo, cuando un asesino entra y posteriormente sale del lugar del crimen, el agresor podría dejar sangre, ADN, huellas latentes, pelo y fibras o recoger tales pruebas de la víctima. Este concepto también se aplica a las pruebas digitales. Las claves de registro de metadatos y los archivos de registro son equivalentes a las pruebas judiciales, como las huellas dactilares o las fibras.

Los expertos están formados para seguir los tipos de datos que deja tras de sí el usuario. La forma en que un usuario utiliza las tecnologías de la información y la comunicación puede proporcionar pistas sobre su identidad. Puede contener información directa de metadatos que permita identificar al usuario por su nombre, ubicación geológica y tipos de archivos creados o modificados. Aunque los datos estén alterados, los criminólogos forenses están capacitados para comprender la psicología que subyace al uso de la información. Según la UNODC (Oficina de las Naciones Unidas contra la Droga y el Delito), la huella digital o rastro de pruebas puede ayudar a estos expertos a conocer “información sobre ellos, incluyendo edad, sexo, raza, etnia, nacionalidad, orientación sexual, pensamientos, preferencias, hábitos, aficiones, historial médico y preocupaciones, trastornos psicológicos, situación laboral, afiliaciones, relaciones, geolocalización, rutinas y otras actividades.”

El tipo de datos que pueden obtenerse pueden ser contenidos escritos, que revelan al usuario. Los datos de contenido pueden incluir comunicaciones escritas o incluso palabras habladas en formato de audio o vídeo. Estos archivos pueden conducir a los investigadores a mensajes de texto, correos electrónicos y contenido de las redes sociales del usuario. Incluso los datos digitales almacenados por las consolas de juego, un sistema informático, pueden revelar gran cantidad de información sobre los usuarios de ese sistema. Los usuarios del dispositivo dejan un rastro digital de nombres, direcciones de correo electrónico, datos de tarjetas de crédito, historial de navegación por Internet y otras fuentes de contenido variado.

Por ejemplo, las videoconsolas, que funcionan como ordenadores personales, almacenan información personal sobre los usuarios de los dispositivos (por ejemplo, nombres y direcciones de correo electrónico), información financiera (por ejemplo, datos de tarjetas de crédito), historial de navegación por Internet (por ejemplo, sitios web visitados), imágenes y vídeos, entre otros datos. Este tipo de datos ha sido utilizado por expertos para resolver y probar casos de explotación sexual infantil y para transferir materiales de abuso sexual infantil en línea.

Otras formas de tecnología inteligente, dispositivos digitales y otros electrodomésticos que interactúan con la Internet de las Cosas o IoT pueden proporcionar la información necesaria para resolver delitos. Uno de los elementos esenciales en los últimos tiempos ha sido presentar en los tribunales los datos recogidos por gadgets domésticos como el Amazon Echo con el servicio de voz Alexa. Las pruebas de un Amazon Echo se presentaron ante un tribunal cuando se intentaba resolver un caso de asesinato en Estados Unidos (Maras y Wandt, 2018). Al final se retiraron los cargos, pero se demostró que los datos digitales como forma de prueba podían proceder de muchas fuentes y de las nuevas tecnologías digitales utilizadas en los hogares estadounidenses y de todo el mundo.

En última instancia, un rastro electrónico de contenidos y metadatos puede ser decisivo para resolver delitos y encontrar a delincuentes que han dejado tras de sí sus huellas digitales. La tecnología que utilizamos todos los días, nuestros ordenadores, nuestros electrodomésticos inteligentes e incluso los sistemas de juego siguen la pista de nuestras actividades. Como cultura humana avanzada, debemos aprender más sobre la tecnología que utilizamos y cómo rastrea nuestros comportamientos, identidades y otra información personal. Por un lado, debemos ser muy cautelosos con los metadatos que se hacen públicos por cuestiones de privacidad, pero también conscientes de cómo pueden utilizarse en nuestra contra ante un tribunal. Con suerte, las actividades que realizamos no se consideran delictivas, pero estos datos pueden utilizarse por diversas razones legales. En el caso de Maras y Wandt, los datos obtenidos ayudaron a demostrar la inocencia de la persona acusada. Corresponde a los especialistas forenses estar atentos a cómo pueden manipularse, alterarse o corromperse los datos para no cometer errores en la sala del tribunal que podrían permitir que algunos delincuentes salieran libres o incluso utilizarse a propósito para tender una trampa a un individuo inocente. Aprender todo lo que pueda sobre su rastro electrónico puede ayudarle a entender qué información está enviando al mundo sobre usted, su vida, su familia y su hogar.

Related Reads

what-is-the-colorado-privacy-act
December 04, 2024 | 7 minutes read
La Ley de Privacidad de Colorado y sus nuevos requisitos

La Ley de Privacidad de Colorado protege la privacidad y los datos personales de los residentes del estado al regular su uso en Internet.

Conozca Más »
hb-3746-an-update-to-data-breach-notifications-in-the-state-of-texas
December 04, 2024 | 5 minutes read
Uuna actualización de la ley de violación de datos en Texas

El proyecto de ley HB 3746 modifica y actualiza las leyes de notificación de violación de datos en el estado para mejorar la transparencia y la protección.

Conozca Más »
what-is-the-childrens-internet-protection-act
December 04, 2024 | 4 minutes read
La Ley de Protección de la Infancia en Internet

La Ley de Protección de Menores en Internet (CIPA), aprobada en 2000, regula el acceso de menores a contenidos nocivos u ofensivos en Internet.

Conozca Más »
traditional-video-editing-software-vs-machine-learning-software
December 04, 2024 | 8 minutes read
Evoluciones en software de edición y soluciones geniales

La edición de vídeo es el proceso de manipular secuencias grabadas para crear contenido coherente, generalmente para su difusión al público a través de medios.

Conozca Más »
female-real-estate-agent-and-a-senior-couple-discu-NUECSFV
December 04, 2024 | 8 minutes read
Lo que el OCR puede hacer por su empresa

Las empresas de todo el mundo buscan mejores formas de automatizar o acelerar el procesamiento de documentos, y la tecnología OCR ofrece una solución.

Conozca Más »
Doctor checking medical records
December 04, 2024 | 9 minutes read
Intervención y redacción de los centros de crisis

El Departamento Federal de Salud y Servicios Humanos (HHS) aprobó la normativa HIPAA en 1996 para proteger la información médica privada de los pacientes.

Conozca Más »