Las herramientas de informática forense han mejorado mucho en los últimos años. Con estos avances, la comunidad de informática forense ahora cuenta con muchas opciones de herramientas para cada fase de una investigación.

De hecho, puede haber muchas opciones para seguir.

Por eso queríamos reunir la guía definitiva de herramientas DFIR, destacando las opciones disponibles para los examinadores y el mejor momento para utilizarlas.

Los avances en las herramientas de informática forense a lo largo de los años han sido impulsados en gran medida por dos cosas para satisfacer las necesidades de investigación en evolución: la competencia entre más desarrolladores de software forense y la maduración de las comunidades de código abierto y de investigación en informática forense.

El IDC MarketScape Informe Mundial sobre Informática Forense en Seguridad Pública, 2022.
Análisis independiente de IDC del panorama competitivo para proveedores de software forense en seguridad pública.
En cuanto al aumento de la competencia entre proveedores de software, IDC ha creado algunos informes en profundidad que comparan herramientas de informática forense para profesionales de ciberseguridad del sector privado y investigadores digitales del sector público. Su reciente informe MarketScape encontró que Magnet Forensics tiene las capacidades más altas de cualquier herramienta de informática forense.

En cuanto a la maduración de la comunidad de investigación en informática forense, conferencias como el Taller de Investigación en Informática Forense, el Grupo de Trabajo Científico sobre Evidencia Digital (SWGDE) y la Cumbre de Usuarios de Magnet han sido grandes oportunidades para que la comunidad se reúna y comparta conocimientos y puntos de dolor. Empresas como Magnet Forensics apoyan a estas comunidades con recursos y conjuntos de datos y proporcionan una forma fácil para que la comunidad capture, reutilice y comparta nuevos conocimientos sobre artefactos. En lugar de actuar como guardianes, las empresas de software que trabajan con la comunidad de informática forense han llevado a un avance rápido en todo tipo de herramientas de informática forense. Ya sean de código cerrado o de código abierto, gratuitas o de pago, te traemos una lista completa de herramientas de informática forense para ayudarte a equipar un laboratorio de informática forense de cualquier tamaño.

Esta guía se centrará en las herramientas necesarias para construir un laboratorio funcional de propósito general en el sector público o privado.

Herramientas de Informática Forense

Típicamente, un laboratorio de informática forense tendrá varias herramientas que realizan la misma tarea. Por ejemplo, varias herramientas superpuestas permiten al laboratorio validar los resultados de la investigación (consulta la guía de Josh Brunty y las pautas de validación de SWGDE).

Cualquiera que sea la herramienta que elijas, asegúrate de poder obtener los mismos resultados utilizando diferentes métodos. Si no puedes, debes poder explicar por qué no puedes. La validación puede significar análisis manual, realizar investigaciones y contactar a la comunidad forense.

Al elegir herramientas de informática forense para tu conjunto de herramientas, piensa en cada parte de tu flujo de trabajo de investigación y las tareas que normalmente necesitan completarse. Los conjuntos de herramientas de investigación digital completos apoyan las tareas de investigación más comunes. Estos conjuntos de herramientas a menudo pueden incluir artefactos o módulos creados por terceros o por usuarios. Los artefactos personalizados permiten a un laboratorio desarrollar rápidamente analizadores para nuevas fuentes de evidencia observadas, independientemente de la herramienta de software subyacente. Vale la pena aprender a escribir artefactos personalizados para tus conjuntos de herramientas preferidos.

Las herramientas de software forense gratuitas y de código abierto son excelentes para validar resultados. Pero equipar un laboratorio completo con software gratuito puede llevar a un mosaico de herramientas que no siempre funcionan juntas. A veces, esto puede generar flujos de trabajo complejos e ineficientes y reducir tu tiempo hasta la evidencia. Se recomienda que un laboratorio profesional tenga al menos una solución de software completamente integral, como Magnet One, para trabajar rápidamente en los casos con un mínimo de tiempo de inactividad. Usar herramientas que son bien reconocidas por los tribunales también ahorrará tiempo y facilitará el testimonio en juicio.

Las siguientes listas de herramientas de informática forense están categorizadas utilizando el primer proceso de investigación del Taller de Investigación en Informática Forense para la ciencia forense digital. Aunque se propuso en 2001, el concepto procedimental se mantiene sorprendentemente bien. Veamos las herramientas de informática forense y dónde encajan en identificación, preservación, recopilación, examen y análisis.

Identificación

Esta es probablemente la parte más desafiante de cualquier investigación. Antes de que podamos responder a un incidente, debemos detectarlo. El reporte podría provenir de víctimas que abren un caso, una auditoría financiera o un administrador revisando sus registros.

En las investigaciones criminales, los casos se reportan típicamente a las fuerzas del orden. Sin embargo, para las organizaciones privadas, la detección de incidentes es crítica. Medidas pasivas como los honeypots y los tokens canarios pueden ayudar mucho a alertar a una organización sobre un compromiso, mientras que una herramienta como Magnet Axiom Cyber ayuda con la caza de amenazas, el análisis de registros de eventos de Windows y las tareas de respuesta a incidentes.

Cada vez más, los usuarios identifican incidentes de seguridad a partir de mensajes amenazantes en la pantalla. El ransomware cifra archivos de usuario y exige un pago por la clave de descifrado. Si tú o tu organización han sido víctimas de ransomware, encuentra información y herramientas de Magnet Axiom Cyber. Continúa con tu plan de respuesta a incidentes y haz copias de todos los datos. Para aprender más sobre ransomware, consulta esta excelente charla de Cindy Murphy. Para un informe en profundidad sobre amenazas globales, consulta el Informe de Amenazas Globales 2024 de CrowdStrike.

Las herramientas para ayudar en la identificación de incidentes se utilizan antes o después del incidente. La monitorización previa al incidente a menudo resulta en más datos y mayor fidelidad. El análisis posterior al incidente requiere una reconstrucción de eventos mucho más desafiante, a menudo con datos limitados. Los entornos corporativos tienen control sobre sus sistemas y pueden habilitar la monitorización previa al incidente con sistemas adicionales de registro y detección. Sin embargo, las fuerzas del orden casi siempre tratan con registros predeterminados (o deshabilitados) y anti-forense posteriores al incidente.

Magnet Axiom Cyber es el líder de la industria en monitorización previa al incidente y adquisición posterior al incidente. Te permite recuperar datos eliminados e investigar evidencia digital de fuentes móviles, computadoras, nube y vehículos, todo en un solo archivo de caso con análisis potentes.

Preservación

Desafortunadamente, se ha identificado un incidente y ahora necesitas crear un caso, iniciar la documentación y preservar cualquier dato relacionado.

Gestión de Casos, Documentación y Reportes

La mayoría de los conjuntos de herramientas de investigación digital completos requieren crear un “caso” en el software antes de agregar exhibiciones. La gestión de casos dentro de tu herramienta de análisis principal puede ser posible. Sin embargo, considera la gestión general del laboratorio y la colaboración. Un sistema de gestión de casos a nivel organizacional proporcionará mejor visibilidad y coordinación.

Independientemente de dónde se coloquen las herramientas de gestión de casos, asegúrate de que tus investigadores puedan documentar fácilmente sus procesos y que se les apoye en la redacción de informes completos. Este apoyo implica acceso a una base de conocimientos de legislación, definiciones, referencias y procedimientos comúnmente utilizados.

Los requisitos de gestión de casos, documentación e informes han avanzado más allá de un documento de MS Word. Aquí hay herramientas que ayudan en la calidad y seguridad de las comunicaciones de investigación.

Magnet ONE es la herramienta estándar de oro aquí; mejora la eficiencia y elimina silos al permitir que las partes interesadas a nivel de la agencia gestionen, colaboren, analicen e informen sobre todos los aspectos de sus investigaciones digitales.

Ayuda a los primeros respondedores a recopilar evidencia de testigos en la escena sin pedirles que renuncien a sus dispositivos con Magnet Shield.

Imágenes Forenses Digitales

La imagen forense es común e importante en las investigaciones de informática forense. Pero la imagen no es fácil. Recursos como Practical Forensic Imaging son excelentes para entender el proceso y los desafíos de la imagen.

Bloqueadores de Escritura de Hardware y Dispositivos de Imagen de Disco

Los bloqueadores de escritura de hardware son dispositivos altamente confiables y generalmente solo fallan cuando están mal configurados. Algunos bloqueadores de escritura permiten desactivar funciones de escritura y usar el dispositivo como un puente de hardware de lectura/escritura. Asegúrate de incluir capacitación y pruebas de uso al agregar bloqueadores de escritura de hardware a tu conjunto de herramientas. Es crucial tener una metodología de prueba estándar que acepte tu tribunal local y probar regularmente.

La mayoría de los sistemas operativos forenses basados en Linux incluyen bloqueo de escritura a nivel de software (kernel). Hay varios bloqueadores de escritura comerciales para Windows, pero tienden a ser más caros que los bloqueadores de escritura de hardware. Si eliges un bloqueador de escritura de software, asegúrate de que haya un procedimiento de prueba y validación en su lugar.

Software de Adquisición de Disco

Los bloqueadores de escritura de hardware y software deben emparejarse con software de imagen. Los dispositivos de imagen de disco de hardware tienen software de imagen de disco incorporado; algunos dispositivos externos de bloqueadores de escritura no. La imagen correcta es crítica en cualquier investigación, y la comunidad tiene la suerte de tener herramientas tan sólidas disponibles de forma gratuita.

Magnet Acquire es la mejor herramienta para la imagen de disco física y lógica, así como para la imagen de dispositivos móviles. Permite a los investigadores adquirir rápida y fácilmente