Articles

Top 19 de herramientas populares de informática forense [actualizado 2021]

Posted on

Introducción

Los ordenadores son una fuente vital de pruebas forenses para un número creciente de delitos. Mientras que la ciberdelincuencia ha crecido de forma constante en los últimos años, incluso los delincuentes tradicionales utilizan los ordenadores como parte de sus operaciones. La capacidad de extraer información forense de forma fiable de estas máquinas puede ser vital para atrapar y procesar a estos delincuentes.

Las herramientas de informática forense están diseñadas para garantizar que la información extraída de los ordenadores sea precisa y fiable. Debido a la gran variedad de tipos de pruebas basadas en los ordenadores, existen varios tipos de herramientas informáticas forenses, entre ellas:

  • Herramientas de captura de discos y datos
  • Visores de archivos
  • Herramientas de análisis de archivos
  • Herramientas de análisis de registros
  • Herramientas de análisis de Internet Internet
  • Herramientas de análisis de correo electrónico
  • Herramientas de análisis de dispositivos móviles
  • Herramientas de análisis de redes
  • Herramientas de análisis de bases de datos
  • Dentro de cada categoría, existe un número de herramientas diferentes. Esta lista resume algunas de las herramientas forenses informáticas más utilizadas.

    Herramientas de captura de datos y de disco

    Las herramientas forenses de captura de datos y de disco se centran en el análisis de un sistema y en la extracción de posibles artefactos forenses, como archivos, correos electrónicos, etc. Esta es una parte central del proceso forense informático y el enfoque de muchas herramientas forenses.

    Autopsy/The Sleuth Kit

    Autopsy y The Sleuth Kit son probablemente las herramientas forenses más conocidas y populares que existen. Estas herramientas están diseñadas para analizar imágenes de disco, realizar análisis en profundidad de los sistemas de archivos e incluir una amplia variedad de otras características. Como resultado, incluyen funcionalidades de muchas de las categorías de herramientas forenses mencionadas anteriormente y son un buen punto de partida para una investigación forense informática.

    Autopsy y The Sleuth Kit están disponibles tanto para Unix como para Windows y se pueden descargar aquí.

    X-Ways Forensics

    X-Ways Forensics es una plataforma forense digital comercial para Windows. La compañía también ofrece una versión más reducida de la plataforma llamada X-Ways Investigator.

    Una de las principales ventajas de la plataforma es que está diseñada para ser eficiente en cuanto a recursos y capaz de funcionar con una memoria USB. A pesar de esto, cuenta con una impresionante gama de características, que se enumeran en su sitio web.

    AccessData FTK

    AccessData Forensics Toolkit (FTK) es una plataforma forense digital comercial que se jacta de su velocidad de análisis. Afirma ser la única plataforma forense que aprovecha plenamente los ordenadores multinúcleo. Además, FTK realiza la indexación por adelantado, acelerando el análisis posterior de los artefactos forenses recogidos.

    Lea más aquí.

    EnCase

    EnCase es una plataforma forense comercial. Ofrece soporte para la recogida de pruebas de más de veinticinco tipos de dispositivos diferentes, incluyendo ordenadores de sobremesa, dispositivos móviles y GPS. Dentro de la herramienta, un investigador forense puede inspeccionar los datos recogidos y generar una amplia gama de informes basados en plantillas predefinidas.

    Lea más sobre EnCase aquí.

    Mandiant RedLine

    Mandiant RedLine es una popular herramienta para el análisis de memoria y archivos. Recoge información sobre los procesos en ejecución en un host, los controladores de la memoria y reúne otros datos como metadatos, datos del registro, tareas, servicios, información de red e historial de Internet para construir un informe adecuado.

    Lea más aquí.

    Suite Paraben

    La Corporación Paraben ofrece una serie de herramientas forenses con una gama de diferentes opciones de licencia. Paraben tiene capacidades en:

    • Análisis de escritorio
    • Análisis de correo electrónico
    • Análisis de teléfonos inteligentes
    • Análisis de la nube
    • Análisis forense del IoT
    • Tratamiento y visualización
    • La oferta E3:Universal ofrece un acceso todo en uno, el E3:DS se centra en los dispositivos móviles y otras opciones de licencia desglosan las funciones de análisis forense de ordenadores, análisis forense de correos electrónicos y visualización.

      Lea más aquí.

      Bulk Extractor

      Bulk Extractor es también una importante y popular herramienta forense digital. Escanea las imágenes de disco, archivo o directorio de archivos para extraer información útil. En este proceso, ignora la estructura del sistema de archivos, por lo que es más rápido que otros tipos de herramientas similares disponibles. Es utilizado básicamente por las agencias de inteligencia y de aplicación de la ley en la resolución de ciberdelitos.

      Actualmente, la última versión del software, disponible aquí, no ha sido actualizada desde 2014. Sin embargo, una versión 2.0 está actualmente en desarrollo con una fecha de lanzamiento desconocida. Se puede encontrar aquí.

      Análisis del registro

      El registro de Windows sirve como base de datos de información de configuración para el sistema operativo y las aplicaciones que se ejecutan en él. Por esta razón, puede contener una gran cantidad de información útil utilizada en el análisis forense.

      Registry Recon

      Registry Recon es una popular herramienta comercial de análisis del registro. Extrae la información del registro de las pruebas y luego reconstruye la representación del registro. Puede reconstruir registros tanto de instalaciones actuales como anteriores de Windows.

      Lea más sobre ella aquí.

      Análisis forense de la memoria

      El análisis del sistema de archivos pasa por alto la memoria volátil del sistema (es decir, la RAM). Algunas herramientas forenses se centran en capturar la información almacenada aquí.

      Volatilidad

      La volatilidad es el marco forense de la memoria. Se utiliza para la respuesta a incidentes y el análisis de malware. Con esta herramienta se puede extraer información de procesos en ejecución, sockets de red, conexión de red, DLLs y hives del registro. También soporta la extracción de información de archivos de volcado de Windows y de archivos de hibernación. Esta herramienta está disponible de forma gratuita bajo licencia GPL.

      Lea más sobre la herramienta aquí.

      WindowsSCOPE

      WindowsSCOPE es una herramienta comercial de análisis forense de memoria e ingeniería inversa utilizada para analizar la memoria volátil. Se utiliza básicamente para la ingeniería inversa de malware. Proporciona la capacidad de analizar el kernel de Windows, los controladores, las DLL y la memoria virtual y física.

      Lea más aquí.

      Análisis de red

      La mayoría de los ciberataques se producen a través de la red, y ésta puede ser una fuente útil de datos forenses. Estas herramientas permiten a un investigador forense analizar eficazmente el tráfico de red.

      Wireshark

      Wireshark es la herramienta de análisis de tráfico de red más utilizada que existe. Tiene la capacidad de capturar el tráfico en vivo o ingerir un archivo de captura guardado. Los numerosos disectores de protocolos de Wireshark y su interfaz fácil de usar facilitan la inspección del contenido de una captura de tráfico y la búsqueda de pruebas forenses en ella.

      Lea más aquí.

      Network Miner

      Network Miner es una herramienta de análisis de tráfico de red con opciones gratuitas y comerciales. Aunque muchas de las funciones premium están disponibles de forma gratuita con Wireshark, la versión gratuita puede ser una herramienta útil para las investigaciones forenses. Organiza la información de una manera diferente a Wireshark y extrae automáticamente ciertos tipos de archivos de una captura de tráfico.

      Lea más aquí.

      Xplico

      Xplico es una herramienta de análisis forense de red de código abierto. Se utiliza para extraer datos útiles de aplicaciones que utilizan protocolos de Internet y de red. Soporta la mayoría de los protocolos más populares, incluyendo HTTP, IMAP, POP, SMTP, SIP, TCP, UDP, TCP y otros. Los datos de salida de la herramienta se almacenan en una base de datos SQLite o MySQL. También es compatible con IPv4 e IPv6.

      Lea más sobre esta herramienta aquí.

      Forense de dispositivos móviles

      Los dispositivos móviles se están convirtiendo en el principal método por el que muchas personas acceden a Internet. Algunas herramientas forenses tienen un enfoque especial en el análisis de dispositivos móviles.

      Oxygen Forensic Detective

      Oxygen Forensic Detective se centra en los dispositivos móviles, pero es capaz de extraer datos de una serie de plataformas diferentes, incluyendo móviles, IoT, servicios en la nube, drones, tarjetas multimedia, copias de seguridad y plataformas de escritorio. Utiliza métodos físicos para eludir la seguridad del dispositivo (como el bloqueo de pantalla) y recopila datos de autenticación para una serie de aplicaciones móviles diferentes. Oxygen es un producto comercial que se distribuye como un dongle USB.

      Más información aquí.

      Cellebrite UFED

      Cellebrite ofrece una serie de herramientas forenses digitales comerciales, pero su Cellebrite UFED afirma ser el estándar de la industria para acceder a los datos digitales. La oferta principal de UFED se centra en los dispositivos móviles, pero la línea general de productos UFED se dirige a una serie de dispositivos, incluidos los drones, las tarjetas SIM y SD, el GPS y la nube, entre otros. La plataforma UFED afirma utilizar métodos exclusivos para maximizar la extracción de datos de los dispositivos móviles.

      Más información aquí.

      XRY

      XRY es una colección de diferentes herramientas comerciales para el análisis forense de dispositivos móviles. XRY Logical es un conjunto de herramientas diseñadas para interactuar con el sistema operativo del dispositivo móvil y extraer los datos deseados. XRY Physical, por su parte, utiliza técnicas de recuperación física para saltarse el sistema operativo, permitiendo el análisis de dispositivos bloqueados.

      Lea más sobre XRY aquí.

      Distribuciones Linux

      Muchas de las herramientas aquí descritas son gratuitas y de código abierto. Se han creado varias distribuciones de Linux que agregan estas herramientas gratuitas para proporcionar un conjunto de herramientas todo en uno para los investigadores forenses.

      CAINE

      CAINE (Computer Aided Investigative Environment) es la distro de Linux creada para la investigación forense digital. Ofrece un entorno para integrar las herramientas de software existentes como módulos de software de una manera fácil de usar. Esta herramienta es de código abierto.

      Lea más sobre ella aquí.

      SANS SIFT

      SIFT es otra máquina virtual Linux de código abierto que agrega herramientas forenses digitales gratuitas. Esta plataforma fue desarrollada por el Instituto SANS y su uso se enseña en varios de sus cursos.

      Lea más aquí.

      HELIX3

      HELIX3 es una suite forense digital basada en CD en vivo creada para ser utilizada en la respuesta a incidentes. Viene con muchas herramientas forenses digitales de código abierto, incluyendo editores hexadecimales, tallado de datos y herramientas de crackeo de contraseñas. Si quieres la versión gratuita, puedes optar por Helix3 2009R1. Después de esta versión, este proyecto fue adquirido por un proveedor comercial. Por lo tanto, es necesario pagar por la versión más reciente de la herramienta.

      Esta herramienta puede recopilar datos de la memoria física, las conexiones de red, las cuentas de usuario, los procesos y servicios en ejecución, los trabajos programados, el Registro de Windows, los registros de chat, las capturas de pantalla, los archivos SAM, las aplicaciones, los controladores, las variables de entorno y el historial de Internet. A continuación, analiza y revisa los datos para generar los resultados compilados en base a informes.

      Helix3 2008R1 puede descargarse aquí.

      La versión para empresas está disponible aquí.

      Conclusión

      La ciencia forense digital es una especialización que está en constante demanda. A medida que el número de ciberataques y violaciones de datos crece y los requisitos normativos se vuelven más estrictos, las organizaciones requieren la capacidad de determinar el alcance y el impacto de un posible incidente.

      Las herramientas incluidas en esta lista son algunas de las más populares y plataformas utilizadas para el análisis forense. En muchos casos, estas herramientas tienen una funcionalidad similar, por lo que la elección entre ellas depende principalmente del coste y de las preferencias personales. Además, existe una gran variedad de otras herramientas.

      Un buen punto de partida para probar las herramientas forenses digitales es explorar una de las plataformas Linux mencionadas al final de este artículo. Estas plataformas tienen una gama de herramientas gratuitas instaladas y configuradas, lo que hace posible probar las diversas opciones sin una inversión significativa de derechos de licencia o tiempo de configuración.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *