¿Cómo es vencer el cibercrimen? Un vistazo a cómo los profesionales de informática forense ayudan a llevar a los ciberdelincuentes ante la justicia.
Muchas personas me preguntan cómo fue trabajar para la policía. Sin embargo, la mayoría de las veces, en realidad se preguntan cómo se investiga realmente el delito informático. Ya sea que se trate de la precisión con que se retrata en la televisión, las limitaciones que siente la policía, los mitos asociados o sobre cómo encontrar tácticas y secretos estrechamente guardados, las personas parecen tener una fascinación mórbida con el oscuro mundo de la ciencia forense digital.
Antes de unirme a ESET, fui examinador forense de computadoras para la policía del Reino Unido durante casi una década. Mi trabajo consistía en realizar análisis forenses profundos de computadoras, discos duros, teléfonos y otros dispositivos que habían sido fundamentales en crímenes, incluidos asesinatos, abuso infantil y fraude. Con algunos de los mejores herramientas forenses a mi disposición, profundicé no solo en estos dispositivos sino, metafóricamente, en la vida de los sospechosos que habían sido encerrados o liberados bajo fianza. Realizar dicho análisis podría llevar desde un día hasta unos pocos meses, dependiendo de lo que se requiera, el estado y la seguridad del medio de almacenamiento, o lo que es más importante, la magnitud del caso.
Al poder localizar el historial de búsqueda de Google de un sospechoso, sus galerías de fotos, sus chats en línea e incluso sus elementos eliminados, una vez que estuve en los dispositivos, pude ver mucho más que solo los datos en las unidades. Pasar por la computadora o el teléfono de una persona es como pasar por sus mentes: es intenso. Y la gente me preguntaba cosas como «¿es como en las películas?» O «¿realmente puedes recuperar algo que he eliminado»?
Bueno, «sí y no» es la verdadera respuesta a ambas preguntas. Nunca es tan rápido como en las películas, pero la mayoría de lo que ves generalmente es posible, pero no para todos los casos. Los archivos eliminados se pueden recuperar siempre que no se hayan sobrescrito. Al eliminar cualquier dato, es efectivamente como extraer la página de contenido de un libro: la información sigue ahí, simplemente no sabes en qué página está.
Restricciones
Además de las dificultades que se presentan en la forma de aumentar la actividad de la crimson oscura que causa dolor de cabeza a la policía, la restricción authentic en el laboratorio se produjo en forma de disco completo cifrado. Es el mayor obstáculo para los examinadores informáticos y solo hay unas pocas medidas para superarlo. Primero está el Centro Nacional de Asistencia Técnica (NTAC), parte del GCHQ del Reino Unido, que estaría disponible para unidades cifradas de fuerza bruta para la policía. Esto puede llevar mucho tiempo dependiendo del código de acceso. Sin embargo, tuvieron una increíble tasa de éxito con la potencia de la computadora detrás de ellos. Siempre sería mágico devolver un disco duro de contenido previamente cifrado con acceso completo ahora después de que un sospechoso no haya hecho ningún comentario o, mejor aún, un sospechoso que diga que no encontraremos nada ilegal.
Sin embargo, los teléfonos bloqueados nunca fueron un problema. Por lo basic, podrían desbloquearse internamente con el mejor program provisto por la policía, que la policía del Reino Unido todavía utiliza. Esto se hizo más fácil en teléfonos que no se actualizaron de inmediato al último sistema operativo.
El lado oscuro de la medicina forense electronic
Ningún trabajo viene sin sus desventajas, pero poder ver absolutamente cualquier tipo de product en un dispositivo conlleva efectos secundarios perjudiciales para cualquiera. Afortunadamente, cualquier persona que trabaje en medicina forense electronic policial recibe asesoramiento cada 6 meses. Esto es esencial para cualquier persona que entre en contacto con dispositivos sospechosos y cierto content que afecte la vida. Algunas personas pueden tener imágenes o video clips repulsivos y horribles en sus dispositivos y esto debe ser abordado por cualquiera que lo vea. Aunque en mi trabajo podría ver cualquier cosa, estaba allí para localizar la evidencia antes de que un equipo especializado, el Equipo de Investigación en Línea de Pedófilos (POLIT) clasificara cualquier product indecente en un subgrupo de categorías. El peor substance localizado naturalmente daría sentencias más severas, pero dependerá de los tribunales determinar el tiempo en la cárcel. Esta fue una parte inquietante, pero vital, del proceso que, a su vez, alejaría a las personas dañadas de nuevas ofensas.
Lectura relacionada: ¿Qué hace a un cibercriminal?
Una vez me llamaron para ayudar a investigar un asesinato en el que el Equipo del Crimen Mayor ya tenía una gran cantidad de evidencia, pero como en la mayoría de los asesinatos o muertes sospechosas, había evidencia electronic que requería un examen forense. Después de recibir una computadora portátil manchada de sangre, hice una copia digital (imagen) del disco duro y profundicé en lo que estaba sucediendo en los archivos de registro cerca de cuando ocurrió el supuesto delito. No esperaba encontrar nada, y mucho menos que el sospechoso hubiera buscado en Google «¿cómo me deshago de un cadáver» justo después de que ocurriera el delito? Por supuesto, cualquiera podría haber buscado en Google eso, ¿verdad?
Me llamaban regularmente a los tribunales para discutir la evidencia electronic que había descubierto en una amplia gama de casos. En 2014 fui convocado a los tribunales por un caso de posesión de imágenes indecentes. El acusado había respondido «sin comentarios» a todas las preguntas anteriores durante el interrogatorio y luego se declaró inocente. Sin embargo, al aparecer como testigo profesional con mi experiencia forense digital, se declaró culpable con base en la evidencia que presenté al juez, al jurado y al equipo de defensa. La defensa esperaría para ver qué evidencia podría presentar la fiscalía. De hecho, incluso intentarían atacar o declararse culpables solo una vez que supieran que un examinador forense electronic tenía pruebas sólidas e incuestionables más allá de toda duda razonable para el jurado. En este caso en specific, tuve su historial completo de búsqueda en Google desde hace muchos años, sin mencionar su vasta colección de imágenes indecentes en una carpeta encriptada que pude extraer y mostrarle al juez.
Sentencia
A muchos delincuentes condenados no se les dio tiempo en prisión o solo sentencias cortas por algunos delitos que, a los ojos del público, no coincidían con el delito que se estaba juzgando. El trabajo de la policía es entregar la mejor evidencia disponible y ayudar a demostrar que el acusado es culpable. El Servicio de Fiscalía de la Corona, CPS, es el órgano rector que dicta la sentencia. ¿Pero qué sacaría a un sospechoso? Este es el trabajo de la defensa y fueron muy buenos en eso.
Por lo general, el abogado defensor esperaría para ver toda la evidencia que la fiscalía tiene para ofrecer y luego trataría de atacarlo cuando sea posible. Tales ataques podrían ser en declaraciones de testigos o mejor aún, a través de un examinador forense informático independiente que trabaja para la defensa para tratar de enturbiar la evidencia.
Una respuesta típica a un delito sería el «Defensa troyana«, Donde el sospechoso afirmaría que no tenía strategy de lo que había en el dispositivo y debe haber sido un trabajo de malware. Algunas veces tomaría mucho trabajo refutar este argumento en certain. En algunos casos, esto incluso detendría el proceso judicial por completo hasta que tuviera tiempo de volver a trabajar en la imagen forense y demostrar lo contrario.
Mientras me preparaba para la corte, un abogado increíble que trabajaba tanto para el enjuiciamiento como para la defensa me dio una intensa capacitación en la corte. Él me enseñó las fortalezas y debilidades que un juicio enfrenta día tras día y las tácticas utilizadas para tratar de ganar o desestimar un caso judicial. Me enseñaron los trucos que un abogado podría usar, además de aprender dónde admitir la derrota. Estos trucos para obtener una absolución todavía se usan en las salas de los tribunales ingleses en la actualidad.
En el Reino Unido, el juez generalmente querrá un voto unánime (12-) o un voto mayoritario (11-1 o 10-2) más allá de cualquier duda razonable para condenar al acusado. Por lo tanto, esto abre el hecho de que el abogado defensor solo necesita revocar a 3 miembros del jurado para salirse con la suya y obtener un jurado colgado, lo que a su vez puede conducir a un nuevo juicio. Esto se puede lograr usando psicología, manipulación y habilidad, y usando tácticas como poner a los miembros del jurado del lado de la defensa y luego estar de acuerdo con la defensa.
¿Por que hacerlo?
Entonces, ¿por qué los examinadores forenses digitales hacen lo que hacen? Porque lo que realizan ayuda alejar a los criminales y sin dicha evidencia forense, la mayoría de los casos lucharían solo con la evidencia clásica de CSI, como las huellas dactilares, and many others. Los examinadores forenses de CSI hacen un trabajo fabuloso, pero la evaluación de la evidencia electronic está creciendo en las fuerzas policiales de todo el mundo y está estirando el financiamiento policial más que nunca . Están llegando más dispositivos digitales de los que la policía puede manejar y los retrasos aumentan a diario algunos trabajos pueden tardar más de 12 meses en examinarse.
¿Me alegra estar fuera de esto? Esta es otra pregunta que recibo muchas veces y, para ser sincero, extraño la comunidad dentro de la policía, que es como una familia. Lo que no extraño son los resultados «no culpables» en los casos en que estaba seguro de que deberían ser diferentes. Tampoco echo de menos las limitaciones en torno al cifrado y el aumento del uso oscuro de la world-wide-web, y ahora obtengo satisfacción laboral al ayudar a las personas y las empresas a protegerse contra los ataques cibernéticos.
Lectura adicional
Si bien lo siguiente no está estrictamente relacionado con el trabajo de los expertos en informática forense, la aplicación de la ley en todo el mundo, a lo largo de los años, ha solicitado la asistencia de investigadores de seguridad de ESET para ayudar a tomar medidas enérgicas contra varias operaciones cibercriminales a gran escala. Los análisis técnicos de los investigadores han jugado un papel decisivo en la interrupción de una serie de redes criminales, incluidas las Operación de fraude publicitario en línea 3ve y el Botnet Gamarue.
