Informática forense y E-Discovery: La importante diferencia entre la informática forense y el E-Discovery

We empower Anti-Financial Crime and Corporate Risk Management Professionals

  • Home
  • /
  • Blog
  • /
  • Informática forense y E-Discovery: La importante diferencia entre la informática forense y el E-Discovery
1 44

La informática forense y el E-Discovery. El descubrimiento electrónico es el proceso de identificar, preservar, recoger, procesar, revisar y analizar la información almacenada electrónicamente (ESI) en los procedimientos legales. La identificación, conservación, recopilación, análisis y elaboración de informes sobre la información digital forma parte del proceso de la informática forense. Como puede ver, son muy similares hasta la diferencia crucial, la parte encargada de analizar los datos.

La informática forense y el descubrimiento electrónico

El papel del experto en un caso de E-Discovery es proporcionar información a los equipos jurídicos en un formato revisable para su análisis. Sin embargo, cuando se utiliza la informática forense, el experto analizará los datos e informará de las conclusiones a los equipos jurídicos. En mi opinión, la principal distinción entre el E-Discovery y la informática forense es la parte que realiza el análisis de la información electrónica.

InformáTica Forense Y E-Discovery

Informática forense

La informática forense consiste en aplicar estrategias de investigación y análisis para reunir y almacenar pruebas de un determinado dispositivo informático de forma que sean adecuadas para su presentación ante un tribunal. El objetivo es realizar una investigación adecuada y mantener una cadena de pruebas documentada para buscar lo que ocurrió en un dispositivo informático y quién fue el responsable.

La informática forense, que a veces se denomina ciencia forense informática, es la recuperación de datos con directrices de cumplimiento legal para que la información sea admisible en los procedimientos judiciales. Los términos » digital forensics» y «cyber forensics» también se utilizan para la informática forense.

¿Por qué es importante la informática forense?

En el sistema de justicia civil y penal, la informática forense se encarga de preservar la integridad de las pruebas digitales presentadas en los tribunales. Dado que los dispositivos de recogida de datos se utilizan con frecuencia en todos los aspectos de la vida, las pruebas digitales y el proceso forense han cobrado mayor importancia en la resolución de delitos y otras cuestiones legales.

La información que recogen estos dispositivos no es accesible para muchos. Sin embargo, esta información puede ser fundamental para resolver un asunto legal o un delito, y la informática forense ayuda a recopilar esa información.

Sólo los delitos del mundo digital, como el robo de datos, las violaciones de la red y las transacciones ilegales en línea, no utilizan pruebas digitales, pero también se utilizan para resolver delitos del mundo físico, como robos, agresiones, atropellos y asesinatos. Las empresas utilizan sobre todo la gestión de datos a varios niveles, la gobernanza de los datos y la técnica de seguridad de la red para mantener a salvo la información de propiedad, lo que ayuda a agilizar el proceso forense.

La informática forense también se utiliza para rastrear la información relacionada con un sistema o una red por parte de las empresas, lo que puede servir para identificar y hacer frente a los ciberatacantes.

Tipos de informática forense

Hay muchos tipos de exámenes informáticos forenses. Cada uno de ellos se ocupa de un aspecto concreto de la tecnología de la información. Algunos de los principales tipos son:

Forense de la base de datos

El análisis de la información contenida en las bases de datos, tanto de los datos como de los metadatos relacionados, se conoce como análisis forense de bases de datos. Sigue el proceso forense normal y aplica técnicas de investigación a los contenidos y metadatos de las bases de datos.

Un examen forense de una base de datos implica el registro de marcas de tiempo que registran cualquier actualización realizada en la base de datos y capturan detalles como el nombre del usuario que realiza el cambio, qué parte de la base de datos se modificó y cuándo se realizó el cambio. Este registro ayuda a proporcionar una pista de auditoría y ayuda en las investigaciones en caso de cualquier mala acción. Este aspecto de la investigación forense registra los registros a medida que se realizan las actualizaciones. Por otra parte, un examen forense también puede implicar la identificación de transacciones dentro de un sistema de base de datos que indiquen pruebas de infracciones, como el fraude después de que la transacción haya tenido lugar.

Esto implicará una revisión de los registros, y otros ejercicios de desglose de datos para identificar tendencias inusuales en los datos. Las transacciones realizadas a muy altas horas de la noche, o en fines de semana, o en días festivos, pueden indicar que estas transacciones pueden ser realizadas con intención maliciosa. Los contables forenses identifican estos perímetros dentro de la base de datos para buscar posibles irregularidades.

Los contables forenses también utilizan herramientas informáticas que les ayudan a manipular y analizar los datos. Estas herramientas ofrecen capacidades de registro de auditoría que proporcionan una prueba documentada de qué tareas o análisis ha realizado un examinador forense en la base de datos.

Análisis forense del correo electrónico

El análisis forense del correo electrónico es el estudio de la fuente y el contenido del correo electrónico como prueba para identificar al remitente y al destinatario reales de un mensaje, junto con otros datos como la fecha u hora de transmisión y la intención del remitente. Se trata de investigar los metadatos, el escaneo de puertos y la búsqueda de palabras clave. Implica El examen de los correos electrónicos y otra información contenida en las plataformas de correo electrónico, como los horarios y los contactos.

Hay cadenas de datos adjuntas a cada correo electrónico que proporcionan información como, por ejemplo, si el correo electrónico estaba en rojo, cuándo se leyó y, si el correo electrónico incluye algún enlace, si se hizo clic en él. Estas cadenas de datos se denominan metadatos y se almacenan en el software de correo electrónico. Los contables forenses utilizan herramientas especializadas para extraer estos metadatos que pueden ser útiles en su investigación general.

Análisis forense de malware

El análisis forense del malware consiste en examinar el código para encontrar posibles programas fraudulentos y analizar su carga útil. Dichos programas pueden incluir caballos de Troya, ransomware o diversos virus. Es una forma de encontrar, analizar e investigar diversas propiedades del malware para buscar a los culpables y encontrar la razón del ataque. El método también incluye tareas como la comprobación del código malicioso, la determinación de su entrada, el método de propagación, el impacto en el sistema, los puertos que intenta utilizar, etc. Los investigadores realizan una investigación forense utilizando diferentes técnicas y herramientas.

Memoria forense

El análisis forense de la memoria se refiere a la recopilación de información almacenada en la memoria de acceso aleatorio(RAM) y la caché de un ordenador. Se refiere al análisis de los datos volátiles en el volcado de la memoria de un ordenador. Los profesionales de la seguridad de la información realizan análisis forenses de la memoria para investigar e identificar ataques o comportamientos maliciosos que no dejan huellas fácilmente detectables en los datos del disco duro.

Forense móvil

La criminalística móvil es una rama de la criminalística digital y consiste en la adquisición y el análisis de dispositivos móviles para recuperar pruebas digitales de interés para la investigación. Consiste en examinar los dispositivos móviles para recuperar y analizar la información que contienen.

A medida que los móviles son más potentes y su capacidad de cálculo aumenta, muchas cosas que antes requerían un PC o un portátil pueden realizarse con el teléfono móvil. Cosas como la aprobación de un pago, la aprobación de transacciones o la revisión de documentos pueden hacerse a través del móvil. Por ello, en los últimos años ha surgido un campo especializado de la criminalística móvil que consiste en registrar todas las acciones realizadas a través de los dispositivos móviles de forma similar a la criminalística informática.

Análisis forense de la red

La ciencia forense de la red es el estudio de los datos en movimiento, con un enfoque especial en la recopilación de pruebas a través de un proceso que apoyará la admisión en los tribunales. Esto significa que la integridad de los datos es primordial, así como la legalidad del proceso de recogida. Se trata de buscar pruebas mediante la supervisión del tráfico de la red.

Normalmente, las empresas tienen su intranet que restringe el acceso a la red mundial para evitar la fuga de datos y los intentos de piratería. Sin embargo, incluso dentro de las intranets, los datos pueden ser robados, filtrados o pirateados.

El análisis forense de la red se despliega en caso de que se produzca una fuga de datos, un robo o un ciberataque, y ayuda a identificar las causas de dicho evento y, potencialmente, a identificar a la persona responsable del mismo.

La persona responsable puede haber realizado las acciones que conducen a dicho suceso deliberadamente para obtener beneficios económicos, en cuyo caso puede ser objeto de un procedimiento civil o penal. También es posible que hayan sido víctimas de estafas de phishing o de otro tipo, en cuyo caso esto puede indicar un problema más frecuente y puede requerir más formación y concienciación del personal en relación con estos riesgos.

InformáTica Forense Y E-Discovery

E-Discovery

El descubrimiento electrónico es el que se realiza en procedimientos legales como litigios o investigaciones gubernamentales, donde la información requerida está en formato electrónico. El descubrimiento electrónico se basa en las normas de procedimiento civil y los procesos, que implican la revisión del privilegio y la relevancia antes de entregar los datos a la parte solicitante.

La información electrónica se considera diferente de la información en papel por su forma intangible, volumen, transitoriedad y persistencia. La información electrónica suele ir acompañada de metadatos que no se encuentran en los documentos en papel y que pueden desempeñar un papel importante como prueba. Es bastante fácil conservar los metadatos de los documentos electrónicos para evitar que se estropeen.

Tipos de información almacenada electrónicamente

Cualquier dato que se conserve en formato electrónico puede ser sometido a la producción en virtud de las normas comunes de e-Discovery. Este tipo de datos ha incluido el correo electrónico y los documentos de oficina, pero también puede incluir fotos, vídeos, bases de datos y otros tipos de archivos.

Los datos en bruto también se incluyen en el e-discovery, que los investigadores forenses pueden revisar en busca de pruebas ocultas. El formato de archivo original se llama formato nativo. Los litigantes pueden revisar el material procedente del e-discovery en varios formatos, como papel impreso, archivo nativo o un formato petrificado, similar al papel, como archivos PDF o imágenes TIFF. Las plataformas modernas de revisión de documentos alojan el uso de archivos nativos y permiten convertirlos a TIFF y ponerles el sello Bates para su uso en los tribunales.

Mensajes electrónicos

Algunos sistemas de archivo registran un código único en cada mensaje o chat archivado para establecer su autenticidad. Los sistemas detienen los cambios en los mensajes originales. Los mensajes no pueden ser borrados, y las personas no autorizadas no pueden acceder a ellos.

Bases de datos y otros datos estructurados

Los datos estructurados se incluyen normalmente en bases de datos o conjuntos de datos. Se organiza en tablas con columnas y filas junto con tipos de datos definidos. Los más comunes son los sistemas de gestión de bases de datos relacionales, capaces de manejar grandes volúmenes de datos, como Oracle, IBM DB2, Microsoft SQL Server, Sybase y Teradata. El ámbito de los datos estructurados también comprende las hojas de cálculo, las bases de datos de escritorio como FileMaker Pro y Microsoft Access, los archivos planos estructurados, los archivos XML, los mercados de datos, los almacenes de datos, etc.

Audio

El buzón de voz puede ser descubrible bajo las leyes de descubrimiento electrónico. Los empleadores pueden tener la obligación de conservar el correo de voz si existe la posibilidad de un litigio que involucre a ese empleado. Los datos de asistentes de voz como Amazon Alexa y Siri se han utilizado en casos criminales.

Reflexiones finales

La ciencia del análisis de datos electrónicos se conoce como informática forense. La informática forense puede realizarse en cualquier soporte digital, ya sea hardware o software. Un caso de informática forense puede implicar casi cualquier tipo de datos, desde ordenadores, dispositivos móviles, tabletas y unidades flash hasta datos específicos de aplicaciones, cuentas de almacenamiento en la nube y todo lo demás. Los diferentes tipos de informática forense son principalmente un servicio basado en artefactos que encuentra los hechos a través de la investigación, así como la revisión del contenido si es necesario.

El E-Discovery puede definirse como la búsqueda de pruebas relevantes dentro de una colección de datos. El análisis forense del descubrimiento electrónico implica tomar datos, normalmente documentos, y buscar en ellos utilizando palabras clave, restricciones de fecha u otros parámetros, separando los documentos que se consideran relevantes para el caso. Este tipo de servicio de búsqueda es cada vez más popular y solicitado en el mundo jurídico, ya que la búsqueda electrónica supera a la revisión física ojo a papel en términos de precisión y utilización del tiempo. E-Discovery es un servicio de contenido que descubre la verdad a través de una búsqueda específica y personalizada.

Leave a Comment

Your email address will not be published. Required fields are marked

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}