En marzo de 2015, el Director de la CIA, John Brennan, anunció el establecimiento de una nueva Dirección de Innovación Digital de la CIA, la primera nueva dirección de la CIA en unas cinco décadas. La nueva división se creó para avanzar en las técnicas forenses digitales, un pilar de la ciencia forense relacionada con las actividades de investigación y recuperación de datos y metadatos (datos sobre los datos) encontrados en dispositivos digitales, y para mejorar la capacidad de la CIA para rastrear "Polvo digital" dejado durante las ciberactividades de rutina. Como Brennan explicó el 28 de abril en un discurso en una cena de liderazgo de la Alianza de Inteligencia y Seguridad Nacional, "A donde quiera que vayamos, todo lo que hacemos, dejamos un poco de polvo digital, y realmente es difícil operar clandestinamente, mucho menos encubiertamente, cuando usted" estás dejando polvo digital a tu paso ".
El objetivo principal del análisis forense digital es la evaluación del estado de un artefacto digital que podría utilizarse en cualquier investigación en un sistema informático. Utilizando las técnicas de análisis forense digital, un investigador puede adquirir evidencia digital, analizarla e informar los resultados de ese análisis. El desarrollo de herramientas forenses digitales y otras técnicas aún más avanzadas deberían permitir que los gobiernos y las empresas privadas estudien con éxito el polvo digital dejado por aquellos, sospechosos u otras personas de interés, relacionados con sospechas de ciberactividades ilegales.
Metodologías
Las metodologías forenses digitales se aplican en una variedad de situaciones, especialmente por parte de miembros de la policía u otras autoridades oficiales para recopilar pruebas en un caso penal o civil o por empresas privadas para ayudar en la búsqueda de una investigación interna. El término forense digital es extremadamente general y puede usarse para caracterizar numerosas especializaciones, dependiendo del campo particular de investigación. Por ejemplo, el análisis forense de la red está relacionado con el análisis del tráfico de la red informática, mientras que el análisis forense de dispositivos móviles se ocupa principalmente de recuperar evidencia digital de teléfonos inteligentes y tabletas. Existen metodologías potencialmente infinitas para el análisis forense digital, pero las técnicas más utilizadas incluyen realizar búsquedas de palabras clave en los medios digitales, recuperar archivos borrados, analizar el espacio no asignado y extraer información del registro (por ejemplo, mediante el uso de dispositivos USB conectados).
Cuando se trata con evidencia digital, es esencial asegurar que la integridad y autenticidad de los datos y metadatos no se vean afectados durante las fases de investigación. Por lo tanto, es crucial evitar cualquier alteración de la evidencia causada por el trabajo de los investigadores y garantizar que los datos recopilados sean "auténticos", es decir, idénticos en todos los sentidos a la información original. Aunque los luchadores contra el delito cibernético en las películas y en la televisión pueden identificar inteligentemente la contraseña de una persona de interés y luego iniciar sesión directamente en la computadora del objetivo u otro dispositivo inteligente, en el mundo real, tal acción directa podría alterar el original de tal manera que se pueda encontrar cualquier cosa en el dispositivo inutilizable o al menos inadmisible en la corte.
La fase de adquisición, también llamada “imagen de exhibiciones”, consiste en obtener una imagen del contenido de la computadora u otro dispositivo. El principal problema con los medios digitales es que se modifican fácilmente; Incluso el intento de obtener acceso a los archivos o al contenido de la memoria de una computadora puede alterar su estado. Por lo tanto, es necesario evitar el acceso directo creando una imagen exacta de la memoria volátil y de los discos del sistema bajo análisis. Esto se puede lograr mediante la obtención de una "copia bit" (una reproducción exacta bit a bit) de los medios mediante el uso de herramientas especializadas de bloqueo de escritura que "reflejan" los datos y evitan cualquier modificación del contenido original de los medios.
El crecimiento en el tamaño de los medios de almacenamiento y la difusión de paradigmas como la computación en la nube exigen la adopción de nuevas técnicas de adquisición que permitan a los investigadores tomar una copia "lógica" de los datos en lugar de una imagen completa del dispositivo de almacenamiento físico. En un esfuerzo concentrado para garantizar la integridad de los datos, los investigadores utilizan mecanismos de "hash" que generan valores más cortos y de longitud fija que representan el original más largo o más complejo. Los valores hash permiten búsquedas más rápidas y hacen posible que los investigadores evalúen la consistencia del contenido digital bajo investigación en cada momento. Cualquier modificación al contenido causaría un cambio en el hash del artefacto digital, que podría detectarse fácilmente sin la necesidad de buscar en toda la base de datos.
![Código Napoleónico Francia [1804]](https://images.thetopknowledge.com/img/politics-law-government/2/napoleonic-code-france-1804.jpg "Código Napoleónico Francia [1804]")
