En los últimos años, la tecnología ha crecido a pasos agigantados, sacudiendo industrias y campos enteros. Un campo que se ha beneficiado enormemente de los avances tecnológicos es el de la medicina forense.
Lamedicina forense es un campo relacionado con el uso de la ciencia para investigar delitos con el fin de averiguar por qué y cómo ocurrió algo. Este campo examina y aporta pruebas que podrían presentarse ante un tribunal para ayudar a resolver un crimen.
La aplicación de la tecnología en la ciencia forense dio lugar a una rama de la ciencia forense llamada ciencia forense digital. La criminalística digital consiste en investigar y encontrar pruebas almacenadas en dispositivos digitales como teléfonos móviles y ordenadores personales con el objetivo de resolver delitos informáticos.
Para desempeñar eficazmente sus funciones, los forenses digitales se enfrentan a un gran obstáculo: la encriptación. La encriptación es una forma de convertir los datos en un código secreto para impedir el acceso a los mismos por parte de personas no autorizadas. Con herramientas de cifrado como AxCrypt y NordLocker y sistemas operativos como Windows y macOS que permiten a los usuarios cifrar sus datos, se hace más difícil para los forenses digitales recuperar los datos de los dispositivos digitales.
La ubicuidad de las herramientas de cifrado crea la necesidad de herramientas forenses de descifrado. Se trata de software especializado que transforma los datos cifrados de nuevo a su forma original legible por humanos. Estas herramientas están pensadas para ayudar a los forenses a recopilar datos de archivos cifrados en dispositivos digitales para ayudar en la investigación de delitos.
Ventajas del uso de herramientas forenses de descifrado
Las siguientes son algunas de las ventajas de utilizar herramientas de descifrado forense:
- Rapidez – Las herramientas de descifrado forense permiten a los expertos forenses descifrar grandes cantidades de datos, independientemente de su complejidad, en mucho menos tiempo.
- Facilidad de uso – Para descifrar datos cifrados, es necesario tener profundos conocimientos de programación, matemáticas y criptografía. Sin embargo, con las herramientas de descifrado, no necesita ser un experto en ninguna de ellas, ya que las herramientas de descifrado se encargan de todo el trabajo pesado por usted.
- Más herramientas a su disposición – Las herramientas de descifrado forense le proporcionan una gran variedad de herramientas para realizar acciones como analizar el registro de un ordenador, recuperar contraseñas y recuperar archivos borrados, además de descifrar archivos.
- Precisión – Las pruebas forenses pueden ser cuestionadas en un tribunal de justicia; de ahí que su precisión sea muy importante. Las herramientas de descifrado forense se someten a inmensas pruebas y pueden trabajar con diferentes algoritmos de descifrado, lo que le permite recopilar datos muy precisos.
Factores a tener en cuenta al seleccionar una herramienta de descifrado forense
No todas las herramientas de descifrado forense son iguales. Las siguientes son consideraciones a tener en cuenta a la hora de seleccionar una herramienta de descifrado forense:
- Aceleración de la GPU – Esto implica hacer uso de la unidad de procesamiento gráfico (GPU) de un ordenador para acelerar la ejecución de operaciones intensivas. Esto tiene el efecto de reducir en gran medida el tiempo necesario para realizar el descifrado forense de grandes cantidades de datos.
- Descifrado FDE – El cifrado de disco completo(FDE) es un mecanismo de seguridad en el que todos los datos de un disco duro se cifran por defecto utilizando el cifrado a nivel de disco sin necesidad de que los usuarios realicen el cifrado por sí mismos. Dado que muchas empresas hacen uso del FDE, es importante elegir una herramienta que pueda descifrar discos duros cifrados a nivel de disco completo.
- Tipos de archivos compatibles – Muchos tipos de archivos, como ficheros de archivo, documentos word, pdf, etc., pueden ser encriptados. Por ello, diferentes herramientas de descifrado forense sólo admiten el descifrado forense de determinados tipos de archivos. En consecuencia, al elegir una herramienta de descifrado forense, averigüe si es compatible con el tipo de archivos que desea descifrar.
- Detección de archivos cifrados – Al realizar una descripción forense en un sistema de gran tamaño, a veces puede resultar difícil buscar todos los archivos cifrados que puedan contener la información necesaria. Por ello, elegir una herramienta de descifrado forense que pueda detectar y mostrarle todos los archivos cifrados de un sistema le ahorrará mucho tiempo.
- Imposibilidad de rastreo – La herramienta forense de descifrado ideal no debería dejar ningún rastro tras el descifrado. Todos los archivos objetivo deberían permanecer inalterados y no deberían quedar huellas de un ejercicio de descifrado. Esto se debe a que las investigaciones a menudo se benefician de ser irrastreables para evitar levantar sospechas y contramedidas al ejercicio. En consecuencia, el descifrado forense irrastreable es ideal.
En la actualidad, hay muchas herramientas de descifrado a disposición de los expertos forenses interesados en la investigación forense digital. Sin embargo, no todas tienen las mismas capacidades.
He aquí las mejores herramientas de descifrado forense para ayudarle en sus investigaciones.
Passware Kit Ultimate
Passware Kit Ultimate es el último producto estrella de Passware, una empresa que fabrica herramientas de recuperación y descifrado de contraseñas para diferentes usuarios. Según su sitio web, los productos de Passware son utilizados por las principales agencias policiales del mundo para resolver casos que requieren descifrado.
Esta herramienta de descifrado tiene una serie de características que la hacen encabezar esta lista.
- Recuperación de contraseñas para 340 tipos de archivos – Passware Kit Ultimate le permite recuperar contraseñas de una amplia gama de archivos, incluidos archivos archivados, monederos bitcoin, documentos de Word y QuickBooks, entre otros. Incluso le permite recuperar contraseñas cifradas por herramientas de cifrado como AxCrypt y VeraCrypt.
- Es capaz de extraer datos y recuperar contraseñas de más de 250 dispositivos móviles, desde iPhones hasta populares marcas de androides como Samsung, Nokia, Huawei y LG. Incluso puede extraer datos de dispositivos móviles encriptados.
- Descifrado de disco completo – Passware Kit Ultimate puede descifrar o recuperar contraseñas de unidades con cifrado de disco completo.
- Aceleración por hardware – Passware Kit Ultimate le permite aprovechar las GPU de NVIDIA y AMD para acelerar el proceso de recuperación y descifrado de contraseñas, permitiéndole trabajar con un gran número de archivos en un tiempo mucho menor.
- Descifrado de Macs con chip de seguridad Apple T2 – Passware Kit Ultimate proporciona un complemento que puede utilizarse para descifrar Macs con el chip de seguridad Apple T2.
Passware Kit Ultimate no tiene versión de prueba gratuita pero ofrece una garantía de devolución del dinero de 30 días sobre el producto.
Desencriptador Forense de Discos Elcomsoft
Elcomsoft Forensic DiskDecryptor es una herramienta de descifrado que le proporciona acceso instantáneo a los datos cifrados mediante BitLocker, FileVault 2, TrueCrypt, Veracrypt y PGP Disk.
Algunas características únicas de Elcomsoft Forensic Disk Decryptor incluyen:
- Operación sin huellas – El uso de Elcomsoft Forensic Disk Decryptor no deja huellas de la operación de descifrado. Toda la operación de descifrado es indetectable.
- Proporciona acceso a los metadatos de cifrado – esta función es útil si necesita acceder a la contraseña original en texto plano para acceder a los datos cifrados.
- Acceso en tiempo real a la información cifrada – Elcomsoft Forensic Disk Decryptor realiza el descifrado sobre la marcha permitiendo al usuario montar un volumen cifrado como una letra de unidad y tener acceso en tiempo real a los datos cifrados.
Además, ofrece descifrado de disco completo y busca, identifica y muestra automáticamente volúmenes cifrados y detalles sobre la configuración de cifrado del volumen. Elcomsoft ofrece una versión de prueba gratuita del descifrador forense.
Paladin
Lasuite forense Paladin es una distribución Linux forense de arranque basada en Ubuntu y está disponible para ordenadores de 32 y 64 bits. Está desarrollada por SUMURI, que desarrolla software y hardware relacionados con las pruebas digitales, la informática forense y el eDiscovery.
Una vez que un usuario arranca la suite forense Paladin, tiene acceso a más de 100 herramientas forenses de código abierto precompiladas para realizar una amplia gama de tareas, como descifrado, análisis de hardware, análisis forense de mensajería, descubrimiento de contraseñas y análisis de redes sociales, entre otras.
Algunas de sus características únicas incluyen:
- La capacidad de clonar dispositivos. Esto es útil si no puede eliminar los medios de almacenamiento de un dispositivo
- Dispone de un gestor de discos que resulta muy útil cuando desea visualizar e identificar fácilmente las unidades conectadas y sus respectivas particiones.
- Realiza un registro automático, que puede almacenarse en cualquier dispositivo
- Viene con la plataforma forense digital Autopsy, que es una tecnología de investigación de discos duros creada por Basis technology.
Varias versiones del software están disponibles bajo una oferta de «diga su precio».
Kit de herramientas de verificación móvil (MVT)
Desde su página de GitHub, Mobile Verification Toolkit(MVT) es una colección de utilidades para simplificar y automatizar el proceso de recopilación de rastros forenses útiles para identificar un posible compromiso de dispositivos Android e iOS. MVT fue creado y publicado por el Laboratorio de Seguridad de Amnistía Internacional en 2021.
Esta herramienta fue desarrollada específicamente para dispositivos android e ios con el fin de permitirles detectar programas espía como Pegasus Spyware, que fue desarrollado y vendido a los gobiernos permitiéndoles espiar los teléfonos de las personas.
MVT es muy eficaz para identificar si se ha instalado software malicioso como el spyware en un dispositivo android o ios sin el conocimiento del usuario.
Windows Media Forensics
La herramientaforense Windows Media consta de tres partes: análisis de imágenes, análisis de vídeo y acciones del usuario. Todas ellas se utilizan para analizar las fotos y los vídeos almacenados en la aplicación Fotos de Windows. Dado que los ordenadores pueden almacenar grandes cantidades de fotos y vídeos, puede resultar difícil revisarlos todos, y aquí es donde la herramienta forense de Windows Media resulta útil.
La herramienta puede analizar imágenes y vídeos e identificar rostros, personas, etiquetas, personajes y ubicaciones en las imágenes y vídeos almacenados. También puede identificar cuándo fueron capturados, el modelo de cámara utilizado y el fabricante de la cámara.
Además, permite al investigador averiguar cuándo accedió el usuario a las fotos y vídeos almacenados y qué cambios realizó en ellos. Toda esta información se proporciona en un formato legible por humanos, y los datos capturados pueden guardarse en una copia de seguridad para futuros análisis.
CredentialsFileView
CredentialsFileView es una herramienta para el sistema operativo Windows que descifra y muestra los datos almacenados en los archivos de credenciales del sistema operativo.
Los archivos de credenciales del sistema operativo Windows almacenan archivos como las contraseñas de inicio de sesión de un ordenador y de ordenadores remotos en la LAN del ordenador. También almacena contraseñas de cuentas de mensajería de Windows, cuentas de correo y contraseñas de sitios web protegidos con contraseña a los que se accede a través del explorador de Internet.
Esta herramienta funciona en versiones de Windows hasta Windows 10 y es compatible con sistemas de 32 y 64 bits.
Hashcat
Hashcat es una popular herramienta de descifrado de contraseñas muy utilizada por probadores de penetración, administradores de sistemas, delincuentes y espías.
Para almacenar las contraseñas de forma segura, éstas se convierten en una cadena ininteligible de números y letras haciéndolas pasar por un algoritmo hash. Hashcat adivina las contraseñas, las convierte en hash y las compara con el hash almacenado, y repite el proceso hasta encontrar la contraseña correcta. Hashcat admite todos los formatos hash existentes y es capaz de utilizar la GPU de un sistema para acelerar su descifrado de contraseñas.
Hashcat puede realizar diferentes ataques para descifrar contraseñas. Estos ataques incluyen el ataque de diccionario, el ataque combinador, el ataque de máscara y su ataque más eficiente, el ataque basado en reglas.
Si necesita descifrar contraseñas. Esta es su herramienta.
Descifrador de contraseñas John the Ripper
John theRipper password cracker es una herramienta gratuita y de código abierto de auditoría de seguridad y recuperación de contraseñas. Se puede utilizar para encontrar y descifrar contraseñas débiles en un sistema.
Esta herramienta es compatible con cientos de hashes y cifrados, incluidos los hashes utilizados en contraseñas almacenadas en sistemas basados en UNIX, sistemas operativos Windows, macOS, aplicaciones web como WordPress, servidores de bases de datos como SQL y claves privadas cifradas en carteras de criptomonedas, entre otros.
Sin embargo, a diferencia de Hashcat, John the ripper puede utilizar la aceleración por GPU para acelerar el descifrado de contraseñas.
Conclusión
El descifrado forense se realiza utilizando una amplia gama de herramientas, cada una con una aplicación única. Algunas herramientas son más adecuadas para tareas concretas, como el descifrado de contraseñas para pruebas de penetración, en el caso de Hashcat.
Para determinar la herramienta adecuada que le ayudará en su investigación, es importante que primero determine la naturaleza de su investigación y lo que quiere que se consiga. A partir de ahí, podrá tomar una decisión sobre qué herramienta utilizar de entre las que se han tratado en este artículo.
A continuación, eche un vistazo a nuestra reseña de Passware Kit.