Selección de Herramientas Forenses

Las herramientas forenses hacen el trabajo mucho más eficiente o incluso posible. Existen herramientas para propósitos específicos, como también herramientas con amplias funcionalidades. Estas pueden venir en la forma ya sea de hardware o de software. Pueden ser también herramientas comerciales las cuales deben ser compradas, o también herramientas open source, las cuales están libremente disponibles. Existen ventajas y desventajas en todas ellas. Se debe tener en mente lo siguiente; ninguna herramienta forense hace todo o hace todo excesivamente bien. Como tal, una buena práctica es tener varias herramientas disponibles. El utilizar varias herramientas es también una manera adecuada de validar los hallazgos. Los mismos resultados, con dos diferentes herramientas, incrementan significativamente la fiabilidad de la evidencia.

El mercado de herramientas forenses presume de un gran número de productos, con un mayor despliegue todo el tiempo. ¿Cómo sabe el profesional forense cuales herramientas son fiables y cuales no?. ¿Cómo deben validarse estas herramientas?. El Instituto Nacional de Estándares y Tecnologías; por sus siglas en ingles NIST, y el Instituto Nacional de Justicia, por sus siglas en ingles NIJ, han dado un gran paso para ayudar a responder estas y otras preguntas.

NIST tiene el Proyecto para Pruebas de Herramientas Forenses, CFTT por sus siglas en inglés, el cual establece una metodología para probar herramientas de software para forense de computadoras, mediante el desarrollo de especificaciones generales de las herramientas, procedimientos de prueba, criterios de prueba, conjunto de pruebas, y pruebas de hardware.

Así mismo el Proyecto para Pruebas Federadas, es una ampliación del programa CFTT, para proporcionar a los investigadores forenses digitales y laboratorios, con materiales para la prueba de las herramientas, y para apoyar reportes compartidos de pruebas. El objetivo de las pruebas federativas es ayudar a los investigadores forenses digitales a probar las herramientas utilizadas en los laboratorios, y permitir compartir los resultados de las pruebas dentro de la comunidad forense digital.

Cada herramienta, ya sea hardware o software, debe ser validada antes de ser utilizada en casos particulares, así como en cualquier momento en el cual se modifique o actualice. Por ejemplo, al igual a otro software con el cual se está familiarizado, el software forense se actualiza periódicamente. Después de cada actualización, la herramienta debe validada nuevamente. La validación también es útil en los juzgados, lo cual respalda la validez de las resultados obtenidos por las herramientas forenses.

Fuentes:

https://www.cftt.nist.gov/
https://www.cftt.nist.gov/federated-testing.html
https://www.nist.gov/programs-projects/computer-forensics-tool-testing-cftt

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Informática Forense & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1