AbstractBasándonos en la ley de Newton donde se dice que: “Toda acción que ocurre siempre hay una reacción igual y contraria”, podemos deducir que cada aspecto tiene su contraparte; el bien y el mal, el ying y el yang, el cielo y el infierno, etc. Hoy en día no existe la excepción a la informática forense que su otra cara son las técnicas antiforenses. Introducción Mucho se ha hablado últimamente sobre la seguridad informática en varios aspectos del país (económicos, políticos, empresariales) y mucho mas ha sido acogido el tema de la informática forense a raíz de los computadores del líder guerrillero Raúl Reyes, que durante la operación militar donde fue abatido fueron confiscados sus computadores personales. A partir de allí prácticamente los colombianos hemos sido protagonistas de algo nuevo para nosotros y que el contacto mas cercano que hemos tenido con el tema ha sido conocido largometrajes y series de televisión. Computación Forense Lo primero que tenemos que tener claro antes de hablar de las técnicas antiforenses es entender lo que es un análisis forense. Un análisis forense se puede entender como la aplicación de una metodología científica y tecnológica sobre dispositivos digitales (discos duros, tarjetas de memoria, celulares, etc.) teniendo la posibilidad de recuperar de ellos el máximo número de información que contengan. Pero la computación forense no solamente tiene como objetivo la recolección de la información, hay que tener en cuenta la presentación de la información que obtenemos, ya que generalmente los destinatarios son los jueces y tribunales. En la rama judicial no existe un estudio o especialización para que dichas personas obtengan los conocimientos necesarios para la interpretación técnica, así que es necesario realizar informes a modo de entender los resultados obtenidos, siendo así un objetivo secundario del estudio forense. Teniendo estos conceptos claros podemos seguir a lo que “mentes inquietas” y “niños que no duermen” han desarrollado para combatir este “lado bueno de la fuerza”, el tema de antiforense. Por otra parte existen los que no quieren que se dejen rastros dentro del dispositivo. y hay otros que desvirtúan el análisis las cuales tienden a quitar la veracidad y garantía sobre la evidencia recolectada. Las medidas antiforenses no es solo el hecho de decir "Usted no ha encontrado nada" sino va mas allá. . El problema no es el dejar rastro porque de alguna manera puede llegarse a eliminar dichos rastros y esto es lo que se busca en parte las acciones antiforenses. una técnica es cifrarlos (encrypted) y se ven los datos pero no pueden asociar de forma clara. o bien que no podamos recuperar la información que estos contienen o que la información recuperada sea desvirtuada en su presentación ante la justicia.Computación Antiforense La computación anti-forense surge como un reto positivo para la seguridad de la información y sus desarrollos futuros. que puedo hacer para evitar esto??”. Los estudios y pruebas de concepto que adelantan las mentes inquietas. tiene como fin el hecho de decir "usted ha encontrado esto pero como sabe que era mío". bueno no me importa el eliminarlos pero si que no sean claros”. La madurez de una herramienta forense. que no encuentren ni siquiera cifrados. Otra situación que se puede llegar a cuestionar es: “Al final van a encontrar los rastros. Las medidas antiforenses de la misma manera que las técnicas forenses. se mide en las constantes dudas y fallas que tiene que resolver para confrontar las observaciones de las mentes inquietas. son una metodología científica y tecnológica sobre los mismos dispositivos digitales de lo cuales hablábamos con dos objetivos. la información existe y es tangible pero no es posible determinar su contenido. podríamos decir. producen nuevas distinciones y propuestas que permiten a la industria continuar afinando sus desarrollos y no solamente fortalecer los actualmente disponibles. En la mente de las personas que utilizan dichas técnicas llegan a cuestionarse cosas como: "el hecho que utilice un ordenador indica que puedo dejar rastros. Hay técnicas de microscopía más complejas. lo único que estamos haciendo es liberar el espacio que éste ocupaba en nuestro dispositivo digital y lo deja disponible para escribir sobre él. Este método se ha utilizado para propósitos empresariales donde se enfoca a fines de protección de la información cuando esta se quiere transmitir por un medio de comunicación. Dicha tecnica ha sido atacada por medio de tecnicas de hacking como ataques de fuerza bruta o ataques distribuidos para encontrar el medio (mas especificamente la llave) que se utiliza para el desciframiento de la información. comprobaríamos este hecho. pero en la práctica sigue estando allí. Enseguida veremos un poco más en detalle algunas de las técnicas antiforenses mas conocidas. . Esto es así porque en la FAT (tabla de asignación de ficheros. Cuando a ésta le damos la orden de eliminar un fichero. como software forense.Por último y como medida extrema en técnicas antiforenses son aquellos que buscan la destrucción física del dispositivo teniendo como consecuencia la pérdida total de los datos y obviamente del dispositivo. Cifrado de Datos El cifrado es una de las metodologías más antiguas que se ha conocido como técnica antiforense. realmente no lo borra del disco ni lo destruye. Es la ciencia de modificar la información mediante técnicas matemáticas especiales y distorsionar (se entendería mejor el termino de esconder) la información. es el "índice" del dispositivo digital) se marcará como libre el área ocupada por dicho fichero. Si empleáramos herramientas específicas. pero se salen del objetivo de esta introducción. pero no asegurarnos de su recuperabilidad. Wipe Esta técnica de borrado seguro nos permite ir más allá de la mera acción del borrado que se lleva a cabo con la papelera de reciclaje. Su aplicación podría hacerse efectiva mediante la aplicación de un módulo a los servidores de correo. pero la técnica es básicamente siempre la misma: sustituir los bits menos significativos del archivo original por los que componen el mensaje oculto. Esteganografía La esteganografía es una técnica que permite incluir mensajes (cifrados o no) en ficheros aparentemente inocuos. de tal manera que luego sea difícil. pero puede resultar mucho más fácil invalidarla mediante un método muy sencillo: rellenar con basura los bits menos significativos de los ficheros. por no decir imposible. pero habría perdido la capacidad de esconder cualquier mensaje recuperable. que se encargaría de alterar los bits menos significativos de todos los ficheros adjuntos con determinadas extensiones. Así pues.) sobre el espacio antes ocupado. más que de borrado seguro. pero el mensaje secreto puede ser recuperado por su destinatario. Data Hiding (Data Streams) . etc. imagen o sonido. Este método podría denominarse (a nuestro modo de ver) "esteganografía doble" y ha sido propuesto por Keith Bertolino. de modo que el adjunto transmitido sería a la vista (o al oído en caso de ser un archivo de audio) indistinguible del original. La diferencia es inapreciable para el ojo o el oído humano. machacando en varias pasadas. hablaríamos de impedimento seguro del rescate o limpiado de rastros. su recuperación. como una imagen.Su funcionamiento se basa en la sobreescritura: escribir (todo ceros. El uso de esteganografía no siempre es fácil de detectar. de modo que el mensaje oculto se vuelve irrecuperable. un estudiante de ingeniería de Nueva York. Existen cientos de aplicaciones capaces de ocultar mensajes en ficheros de distinto formato como vídeo. patrones aleatorios. ceros y unos. ). o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder otros programas). para esconder información.Se define como los métodos para ocultar información en lugares poco comunes. como puede ser fecha. el ejemplo mas claro es la utilización del slack space (Espacio no utilizado por el dispositivo digital). sin la necesidad de escribir en el disco duro. Un ejemplo claro de esto son los Data streams (son atributos que no forman parte del archivo. Ahora. En memoria estos códigos existen . quien escribió un artículo el cual describía un algoritmo que podía ser usado para encontrar Colisiones en secuencias de 128 bytes (obtener el mismo hash MD5 con diferente contenido de información). Este método puede mezclarse con otros obteniendo una técnica hibrida. autor. Sistemas operativos como Linux y Windows utilizan dicho algoritmo para verificar Integridad de la información. Se tiene la posibilidad de crear algún tipo de backdoors (acceso a la aplicación y que no ha sido contemplado) y/o rootkids (Un rootkit es una herramienta. los cuales pueden pasar inadvertidos por algunas herramientas forenses. Como espacios no localizados también podemos utilizar los espacios no localizados entre particiones. Rootkids de BIOS La BIOS es el software que se carga para iniciar los computadores. donde estos pueden llegar a ser modificados y de esta manera modificar la información que si es verídica y real. algunas herramientas trabajan solo con particiones y no son capaces de analizar el dispositivo (Se ve mucho mas en Discos Duros). etc. el ejemplo mas claro es el MD5 (Messages Digest5). como la esteganografía y la criptografía. MBR. Sistemas de Integridad de Datos Los sistemas de integridad usan algoritmos que por medio de métodos matemáticos llegan a ofrecer un número único de identificación. la parte antiforense se encuentra como en ejemplo lo descrito por Xiaoyun Wang and Hongbo Yu. Rootkids de Bases de Datos Hoy en día las bases de datos actuales tienen cada vez más recursos que pueden ser utilizados para instalar y mantener rootkits. Redes WiFi Abiertas Algunas personas suelen. usuarios o algún tipo de transacción entre los mismos. etc. Ultimos Archivos Modificados . Toda acción que la persona desarrolle puede llegar a dejar rastros y que sean claros.únicamente en memorias volátiles y se instalan debido a algún tipo de vulnerabilidad sobre el sistema donde se encuentra el dispositivo. Esta técnica va muy de la mano de las prácticas anónimas debido a que los datos o evidencia de la actividad que es dejada no corresponden o no es ciertamente posible asociarlo a alguien. los cuales no tienen ningún tipo de control o monitoreo. Ahora cabe aclarar que es posible llegar a este tipo de acciones si se tiene definido y con exactitud el lugar de donde se propiciaron las acciones y con una orden judicial poder llegar a realizar el análisis forense debido. también pueden crear o modificar algún tipo de estructura dentro de la base de datos para simplemente esconder funciones. ejecución de comandos. por necesidad o por urgencia del servicio instalar una red WiFi sin tener las debidas precauciones de dejar la red abierta (muchos conocemos a estas personas como los vecinos samaritanos). El ejemplo mas claro para ello es el uso de los café Internet. Practicas Anónimas Esta es una técnica pensada para el tipo de personas que no posee gran conocimiento técnico y aparte de ello una de las mas fáciles de aplicar. pueden permitir la creación de "herramientas on load" a los hackers. Las bases de datos que tienen privilegios administrativos y proporcionan recursos para la creación de archivos. pero la parte antiforense consiste en desvirtuar las acciones que se han realizado. org/slides/AntiForensics-CodeBreakers2006-TranslationTo-English.com/dfblog/wpcontent/uploads/2007/12/antiforensics.blogspot.Los últimos archivos en un análisis forense son importantes.ar/seguridad/rookits http://ws. La idea es modificar en cierta medida valores que alteren la hora de acceso. rootkits entre otros elementos. ya que pueden llegar a determinar de cierta manera comportamientos anómalos como lo son las puertas traseras. Joshsua J González Díaz Referencias http://www.com. Autor Ing.html http://www.com/2007/05/xp-anti-forensics.pdf http://windowsir.hackaholic. esto con el fin de que el proceso forense sea mucho más complicado o modificando el verdadero contenido de la información.anti-forensics.netsolhost.com/breaking-forensic-images-booted-as-a-virtualmachine .pdf http://001d3e6.aweba. sniffers.