Recorriendo los Caminos de EnCase: Lo Básico En Investigaciones Forenses: Los Archivos Cifrados Y Su Identificación Dentro De Una Evidencia

Una gran interrogante para los investigadores forenses es saber interpretar cuando una evidencia contiene archivos cifrados, pero es más importante saber con qué herramienta se puede descifrar los archivos y conocer sus contraseñas. Hoy en día es común encontrar medios de almacenamiento digital y especialmente correos electrónicos cifrados con el programa PGP, un programa muy seguro porque requiere que el investigador conozca dos contraseñas para abrir los datos cifrados: una contraseña pública (más fácil de encontrar porque generalmente esta guardada en el computador donde descubrimos los datos) y una contraseña privada (raramente encontrada).

La identificación de la existencia de archivos cifrados dentro de la evidencia puede ser hecha rápidamente a través del software especializado EnCase Forensic. EnCase Forensic permite encontrar dentro de la evidencia la presencia de los archivos PUBRING.PKR y SECRING.SKR, archivos que contienen respectivamente las claves públicas y privadas. Además, EnCase Forensic permite encontrar archivos con extensiones .PGP o .ASC, indicadores directos de archivos cifrados dentro del dispositivo digital.

Otro desafío para los investigadores forenses es identificar los diferentes tipos de archivos cifrados. Las personas malintencionadas dentro de una organización acostumbran guardar en estos archivos cualquier tipo de información que pueda delatarlos. Me recuerdo de un caso en el cual un funcionario de una prestigiosa organización de venta de inmuebles en Colombia conseguía vender muchos departamentos, pero hacía que los clientes depositen el dinero en cuentas que no pertenecían a la organización. Este funcionario consiguió de forma abusiva acceso a la base de datos de la empresa de la inmobiliaria y hacía negocios en nombre de la empresa, pero todo para su propio lucro. Él estaba envuelto con otros dos empleados en el delito y todos los implicados se retiraron de la empresa simultáneamente, no sin antes robar más información confidencial para continuar con la estafa. Todo fue descubierto cuando uno de los compradores llamó a la organización pidiendo información sobre su departamento justo después de la retirada de los empleados. Esto disparó una señal de alerta y los directores de la organización descubrieron la estafa.

Los involucrados se comunicaban dentro de la organización mediante mensajería instantánea y cifraban sus charlas en archivos de extensión .PLE. EnCase Forensic descubrió los archivos, cuando fueron descifrados fueron descubiertas conversas en las cuales mencionaban la necesidad de retirar más información confidencial de la base de datos de clientes y de la base de datos de inmuebles que estaban en venta, además, discutían la necesidad de ser precavidos con sus conversaciones telefónicas porque podrían ser interceptadas por terceros.

Un Investigador Forense no debe subestimar ninguna evidencia, sin importar cuan pequeña sea. Si usted es un usuario de EnCase Forensic, le aconsejo a usar todas las herramientas que el programa ofrece con la finalidad de evidenciar todo tipo de pruebas.

RELACIONADOS

Investigaciones Forenses: Sistema de Archivos de Resiliencia (ReFS) en Windows

Como Obtener Evidencia En Arreglos De Discos

El Reto Forense En Discos De Estado Sólido (SSD)

Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase

Recorriendo los Caminos de EnCase

Lo Básico En Investigaciones Forenses: Los Archivos Cifrados Y Su Identificación Dentro De Una Evidencia

No hay comentarios :

Publicar un comentario

Buscar este blog

We're Here to Help

Connect With Us

Tags

Popular

Archive