Datos de Alta Volatilidad, un Diamante en Bruto en la Informática Forense

Durante muchos años, he tenido el privilegio de desempeñar un papel activo en la formación de profesionales y de participar como ponente en diversos congresos internacionales dedicados a la Criminalística y Ciencias Forenses, centrándome especialmente en el fascinante ámbito de la Informática Forense. A lo largo de mi experiencia, he subrayado de manera consistente la importancia crucial de la adquisición de datos de alta volatilidad, con especial énfasis en la memoria RAM. En este contexto, la obtención de evidencias en la memoria RAM se destaca como una práctica esencial, ya que es en este componente donde se encuentran almacenadas las pistas más vitales para llevar a cabo investigaciones exitosas y contribuir a la resolución de crímenes o delitos. La información recopilada de la memoria volátil no solo es valiosa por los procesos activos que esta contiene, sino que también puede proporcionar datos que son fundamentales para comprender y reconstruir los eventos relacionados con actividades delictivas.

La Organización Internacional para la Estandarización (ISO) y otras como NIST (Instituto Nacional de Estándares y Tecnología), han desarrollado estándares, directrices y principios generales para la identificación, adquisición, preservación y presentación de evidencia digital en el ámbito de la informática forense. Estos estándares a menudo enfatizan la importancia de la preservación de la evidencia digital y la adquisición inicial de la memoria volátil como una práctica esencial.

Es importante destacar que el proceso de adquisición de evidencia digital debe llevarse a cabo de manera cuidadosa y siguiendo procedimientos forenses adecuados para garantizar la integridad y autenticidad de la evidencia recolectada. La memoria volátil generalmente se adquiere utilizando herramientas especializadas que permiten una copia bit a bit de la información presente en la RAM del sistema.

¿Pero si la información contenida en la RAM es muy importante, porque en casos de investigación policial no se la extrae?

Esta pregunta ha sido persistente de quienes han podido participar en mis ponencias, y la respuesta siempre ha sido “Por desconocimiento, presupuesto y tiempo”.

Despejemos esta respuesta:

Existe una directriz en la que han sido adoctrinados los miembros de las fuerzas policiales de los grupos especiales, misma que indica que “Los equipos informáticos deben ser desconectados de manera directa de la fuente de energía para mantener la integridad de los datos y preservar la escena del crimen”, directriz que está totalmente fuera de la realidad, ya que no todos los delitos digitales cometidos son hackeos, vulnerabilidades, problemas de código malicioso, etc, etc, en pocas palabras no todo son problemas de ciberseguridad y tampoco son los típicos escenarios de DFIR.

Para entender mejor, vamos a describir un escenario de un crimen digital: “Se tiene la orden de allanamiento de un bien donde ha sido identificado que es una central de estafas mediante la captación de inversiones digitales” los miembros del grupo especial de la policía, el fiscal de turno y demás observadores, proceden con el allanamiento e incautan todos los elementos electrónicos siguiendo la directriz antes mencionada y a continuación trasladan esos activos, mediante cadena de custodia al laboratorio de criminalística para su respectivo estudio y análisis.

En este procedimiento general, se ha incautado 8 computadores de escritorio, 2 laptops, 1 microservidor y 1 NAS de almacenamiento, entre otros dispositivos tecnológicos… para los integrantes de este operativo, fue una incautación y desarticulación exitosa de la red de estafas virtuales.

Para los profesionales de Informática Forense, simplemente fue un allanamiento donde se perdió la información más crucial contenida en la memoria RAM de los 8 computadores de escritorio, el microservidor y otros elementos electrónicos.

Pero.. que podemos encontrar en la RAM?

La información contenida en la memoria RAM, no solo almacena datos y programas temporales mientras el sistema está en funcionamiento, sino que, en el contexto de la informática forense, la memoria RAM puede revelar información valiosa y evidencia crucial para las investigaciones, por ejemplo:

Textos digitados: En la RAM podemos encontrar bloques completos y fragmentos de textos digitados, por ejemplo, mensajes escritos en servicios como WhatsApp, Twitter, Telegram, etc.

Contraseñas y claves de cifrado: En la mayoría de casos, las contraseñas y claves de cifrado utilizadas durante la sesión actual, es posible recuperar de la memoria RAM, lo que puede ser crucial para la investigación forense.

Archivos y documentos: Algunos archivos, documentos y temporales se alojan en la memoria RAM durante su procesamiento, mismas que proporcionan pistas sobre actividades recientes.

Historial de actividades: Se pueden encontrar registros de actividades recientes, como comandos ejecutados, documentos abiertos y otras acciones realizadas durante la sesión actual.

Cache de navegadores: Es posible recuperar toda la actividad de los navegadores, como cookies, historial de navegación y formularios web, incluido aquellos de navegación incógnita.

Y una interminable lista de evidencias digitales que pueden ser recuperados y que aportan para la resolución de la investigación.

Es importante destacar que la información en la memoria RAM es volátil y se pierde cuando se apaga el sistema. Por lo tanto, la adquisición rápida y precisa de la memoria RAM es esencial para preservar la evidencia digital en situaciones forenses.

En conclusión..

La adquisición y preservación adecuadas de la memoria RAM en el ámbito de la informática forense, son aspectos cruciales para el éxito de las investigaciones policiales y la obtención valiosa de evidencia digital. La información almacenada en la memoria volátil, como contraseñas, procesos en ejecución y otros datos temporales, puede desempeñar un papel fundamental en la resolución de casos criminales y en la identificación de actividades delictivas.

La importancia de capacitar a los agentes policiales en el procedimiento de adquisición de la memoria RAM radica en varios aspectos clave. Primero, la formación especializada permite a los agentes comprender la naturaleza volátil de la memoria RAM y la necesidad de actuar rápidamente para preservar la evidencia. Además, capacitar a los agentes en técnicas y herramientas forenses específicas para la extracción de la memoria RAM asegura que puedan realizar este proceso de manera eficiente y efectiva.

La formación también destaca la importancia de tomar decisiones informadas en el lugar de los hechos, evaluando la necesidad de desconectar o no una computadora para preservar la evidencia en función de la situación específica. La capacitación continua en informática forense proporciona a los agentes las habilidades necesarias para manejar la evidencia digital de manera adecuada, respetando la cadena de custodia y cumpliendo con los requisitos legales.

En última instancia, la inversión en la capacitación de los agentes policiales en procedimientos de Informática Forense, fortalece la capacidad de los cuerpos policiales para abordar casos digitales de manera eficiente, garantizando la integridad de la evidencia y contribuyendo a la administración de justicia en la era digital.