En los últimos años, la tecnología ha estado creciendo a pasos agigantados, sacudiendo industrias y campos enteros. Un campo que se ha beneficiado enormemente de los avances tecnológicos es el campo de la ciencia forense.
La ciencia forense es un campo relacionado con el uso de la ciencia para investigar delitos y descubrir por qué y cómo sucedió algo. El campo examina y presenta evidencia que podría presentarse en un tribunal de justicia para ayudar a resolver un crimen.
La aplicación de la tecnología en la ciencia forense dio lugar a una rama de la ciencia forense llamada ciencia forense digital. El análisis forense digital consiste en investigar y encontrar pruebas almacenadas en dispositivos digitales como teléfonos móviles y ordenadores personales con el objetivo de resolver delitos informáticos.
Para realizar sus funciones de manera efectiva, las personas en análisis forense digital se enfrentan a un obstáculo importante: el cifrado. El cifrado es una forma de codificar datos en un código secreto para evitar el acceso a los datos por parte de personas no autorizadas. Con herramientas de cifrado como AxCrypt y NordLocker y sistemas operativos como Windows y macOS que permiten a los usuarios cifrar sus datos, se vuelve más difícil para el análisis forense digital recuperar datos de dispositivos digitales.
La ubicuidad de las herramientas de cifrado crea la necesidad de herramientas de descifrado forense. Se trata de software especializado que transforma los datos cifrados a su forma original legible por humanos. Dichas herramientas están destinadas a ayudar a los forenses a recopilar datos de archivos cifrados en dispositivos digitales para ayudar en la investigación de delitos.
Tabla de contenido
Ventajas de usar herramientas de descifrado forense
Las siguientes son algunas de las ventajas de usar herramientas de descifrado forense:
- Velocidad: las herramientas de descifrado forense permiten a los expertos forenses descifrar grandes cantidades de datos, independientemente de su complejidad, en mucho menos tiempo.
- Fácil de usar: para descifrar datos cifrados, se necesita una comprensión profunda de la programación, las matemáticas y la criptografía. Sin embargo, con las herramientas de descifrado, no necesita ser un experto en ninguno de ellos, ya que las herramientas de descifrado manejan todo el trabajo pesado por usted.
- Más herramientas a su disposición: las herramientas de descifrado forense le brindan una gran variedad de herramientas para realizar acciones como analizar el registro de una computadora, recuperar contraseñas y recuperar archivos eliminados además de descifrar archivos.
- Precisión: las pruebas forenses se pueden cuestionar en un tribunal de justicia; por lo tanto, su precisión es muy importante. Las herramientas de descifrado forense se someten a pruebas inmensas y pueden funcionar con diferentes algoritmos en el descifrado, lo que le permite recopilar datos muy precisos.
Factores a considerar al seleccionar una herramienta de descifrado forense
Todas las herramientas de descifrado forense no son iguales. Las siguientes son consideraciones a tener en cuenta al seleccionar una herramienta de descifrado forense:
- Aceleración de GPU: esto implica hacer uso de la unidad de procesamiento de gráficos (GPU) de una computadora para acelerar la ejecución de operaciones intensivas. Esto tiene el efecto de reducir en gran medida el tiempo necesario para realizar el descifrado forense en grandes cantidades de datos.
- Descifrado FDE: el cifrado de disco completo (FDE) es un mecanismo de seguridad en el que todos los datos de un disco duro se cifran de forma predeterminada mediante el cifrado a nivel de disco sin necesidad de que los usuarios realicen el cifrado ellos mismos. Dado que muchas empresas utilizan FDE, es importante elegir una herramienta que pueda descifrar discos duros cifrados de disco completo.
- Tipos de archivos admitidos: se pueden cifrar muchos tipos de archivos, como archivos comprimidos, documentos de Word, PDF, etc. Como tal, diferentes herramientas de descifrado forense admiten el descifrado forense solo en ciertos tipos de archivos. Como resultado, al elegir una herramienta de descifrado forense, averigüe si es compatible con el tipo de archivos que desea descifrar.
- Detección de archivos cifrados: al realizar una descripción forense en un sistema grande, a veces puede ser difícil buscar todos los archivos cifrados que pueden tener la información necesaria. Como resultado, elegir una herramienta de descifrado forense que pueda detectar y mostrarle todos los archivos cifrados en un sistema le ahorrará mucho tiempo.
- Irrastreabilidad: la herramienta de descifrado forense ideal no debería dejar ningún rastro después del descifrado. Todos los archivos de destino deben permanecer sin cambios y no deben quedar huellas de un ejercicio de descifrado. Esto se debe a que las investigaciones a menudo se benefician de ser imposibles de rastrear para evitar levantar sospechas y contramedidas al ejercicio. Como resultado, el descifrado forense imposible de rastrear es ideal.
Actualmente, hay muchas herramientas de descifrado disponibles para expertos forenses interesados en análisis forense digital. Sin embargo, no todos tienen las mismas capacidades.
Aquí están las mejores herramientas de descifrado forense para ayudarlo en las investigaciones.
Kit de contraseña Ultimate
Passware Kit Ultimate es el último producto estrella de Passware, una empresa que fabrica herramientas de recuperación y descifrado de contraseñas para diferentes usuarios. Según su sitio web, los principales organismos encargados de hacer cumplir la ley del mundo utilizan los productos Passware para resolver casos que requieren descifrado.
Esta herramienta de descifrado tiene una serie de características que la hacen encabezar esta lista.
- Recuperación de contraseña para más de 340 tipos de archivos: Passware Kit Ultimate le permite recuperar contraseñas de una amplia gama de archivos, incluidos archivos archivados, billeteras bitcoin, documentos de Word y QuickBooks, entre otros. Incluso le permite recuperar contraseñas encriptadas por herramientas de encriptación como AxCrypt y VeraCrypt.
- Capacidad para extraer datos y recuperar contraseñas de más de 250 dispositivos móviles que van desde iPhones hasta marcas populares de Android como Samsung, Nokia, Huawei y LG. Incluso puede extraer datos de dispositivos móviles encriptados.
- Descifrado de disco completo: Passware Kit Ultimate puede descifrar o recuperar contraseñas de unidades con cifrado de disco completo.
- Aceleración de hardware: Passware Kit Ultimate le permite aprovechar las GPU NVIDIA y AMD para acelerar el proceso de recuperación y descifrado de contraseñas, lo que le permite trabajar en una gran cantidad de archivos en mucho menos tiempo.
- Descifrado de Mac con chip de seguridad T2 de Apple: Passware Kit Ultimate proporciona un complemento que se puede usar para descifrar Mac con el chip de seguridad T2 de Apple.
Passware Kit Ultimate no tiene una prueba gratuita, pero ofrece una garantía de devolución de dinero de 30 días para el producto.
Descifrador de disco forense de Elcomsoft
Elcomsoft Forensic Disk Decryptor es una herramienta de descifrado que le brinda acceso instantáneo a los datos cifrados con BitLocker, FileVault 2, TrueCrypt, Veracrypt y PGP Disk.
Algunas características únicas de Elcomsoft Forensic Disk Decryptor incluyen:
- Operación de huella cero: el uso de Elcomsoft Forensic Disk Decryptor no deja huellas de la operación de descifrado. Toda la operación de descifrado es indetectable.
- Brinda acceso a metadatos de cifrado: esta función es útil si necesita acceder a la contraseña de texto sin formato original para acceder a datos cifrados.
- Acceso en tiempo real a la información cifrada: Elcomsoft Forensic Disk Decryptor descifra sobre la marcha, lo que permite al usuario montar un volumen cifrado como una letra de unidad y tener acceso en tiempo real a los datos cifrados.
Además, ofrece descifrado completo del disco y busca, identifica y muestra automáticamente volúmenes cifrados y detalles sobre la configuración de cifrado del volumen. Elcomsoft ofrece una versión de prueba gratuita del descifrador forense.
Paladín
Paladin forensics suite es una distribución de Linux forense de arranque basada en Ubuntu y está disponible para computadoras de 32 y 64 bits. Es desarrollado por SUMURI, que desarrolla software y hardware relacionado con evidencia digital, informática forense y eDiscovery.
Una vez que un usuario inicia la suite de análisis forense Paladin, tiene acceso a más de 100 herramientas forenses de código abierto precompiladas para realizar una amplia gama de tareas, como descifrado, análisis de hardware, análisis forense de mensajería, descubrimiento de contraseñas y análisis de redes sociales, entre otros.
Algunas de sus características únicas incluyen:
- La capacidad de clonar dispositivos. Esto es útil si no puede eliminar los medios de almacenamiento de un dispositivo
- Tiene un administrador de discos que resulta útil cuando desea visualizar e identificar fácilmente las unidades adjuntas y sus respectivas particiones.
- Realiza un registro automático, que se puede almacenar en cualquier dispositivo.
- Viene con Autopsy Digital Forensics Platform, que es una tecnología de investigación de disco duro creada por la tecnología Basis.
Varias versiones del software están disponibles bajo una oferta de ‘nombre su precio’.
Desde su página de GitHub, Mobile Verification Toolkit (MVT) es una colección de utilidades para simplificar y automatizar el proceso de recopilación de rastros forenses útiles para identificar un posible compromiso de los dispositivos Android e iOS. MVT fue construido y lanzado por Amnistía Internacional Security Lab en 2021.
Esta herramienta fue desarrollada específicamente para dispositivos Android e iOS para permitirles detectar spyware como Pegasus Spyware, que fue desarrollado y vendido a los gobiernos, permitiéndoles espiar los teléfonos de las personas.
MVT es muy eficaz para identificar si se ha instalado software malicioso, como spyware, en un dispositivo Android o iOS sin el conocimiento del usuario.
La herramienta forense de Windows Media consta de tres partes: análisis de imágenes, análisis de video y acciones del usuario. Todos estos se utilizan para analizar las fotos y videos almacenados en la aplicación Fotos de Windows. Dado que las computadoras pueden almacenar grandes cantidades de fotos y videos, puede ser difícil revisarlos todos, y aquí es donde el análisis forense de Windows Media resulta útil.
La herramienta puede analizar imágenes y videos e identificar rostros, personas, etiquetas, personajes y ubicaciones en las imágenes y videos almacenados. También puede identificar cuándo fueron capturados, el modelo de cámara utilizado y el fabricante de la cámara.
Además, permite al investigador saber cuándo el usuario accedió a las fotos y videos almacenados y qué cambios se realizaron en ellos. Toda esta información se proporciona en un formato legible por humanos, y los datos capturados se pueden respaldar para futuros análisis.
CredencialesFileView
CredentialsFileView es una herramienta para el sistema operativo Windows que descifra y muestra los datos almacenados en los archivos de credenciales del sistema operativo.
Los archivos de credenciales del sistema operativo Windows almacenan archivos como contraseñas de inicio de sesión para una computadora y computadoras remotas en la LAN de la computadora. También almacena contraseñas de cuentas de Windows Messenger, cuentas de correo y contraseñas de sitios web protegidos con contraseña a los que se accede a través de Internet Explorer.
Esta herramienta funciona en versiones de Windows hasta Windows 10 y es compatible con sistemas de 32 y 64 bits.
hachís
Hashcat es una herramienta popular para descifrar contraseñas que es ampliamente utilizada por evaluadores de penetración, administradores de sistemas, delincuentes y espías.
Para almacenar contraseñas de forma segura, las contraseñas se convierten en una cadena ininteligible de números y letras pasándolas a través de un algoritmo hash. Hashcat adivina las contraseñas, las procesa y las compara con el hash almacenado, y repite el proceso hasta encontrar la contraseña correcta. Hashcat es compatible con todos los formatos hash existentes y puede usar la GPU de un sistema para acelerar el descifrado de contraseñas.
Hashcat puede realizar diferentes ataques para descifrar contraseñas. Estos ataques incluyen ataque de diccionario, ataque de combinador, ataque de máscara y su ataque más eficiente, el ataque basado en reglas.
Si necesita descifrar contraseñas. Esta es tu herramienta de referencia.
Descifrador de contraseñas de John el Destripador
El destripador de contraseñas de John the Ripper es una herramienta de recuperación de contraseñas y auditoría de seguridad de contraseñas gratuita y de código abierto. Se puede usar para encontrar y descifrar contraseñas débiles en un sistema.
Esta herramienta admite cientos de hashes y cifrados, incluido el hash utilizado en contraseñas almacenadas en sistemas basados en UNIX, sistemas operativos Windows, macOS, aplicaciones web como WordPress, servidores de bases de datos como SQL y claves privadas cifradas en billeteras de criptomonedas, entre otros.
Sin embargo, a diferencia de Hashcat, John the ripper puede usar GPU Acceleration para acelerar el descifrado de contraseñas.
Conclusión
El descifrado forense se realiza utilizando una amplia gama de herramientas, cada una con una aplicación única. Ciertas herramientas son más adecuadas para tareas particulares, como el descifrado de contraseñas para pruebas de penetración, en el caso de Hashcat.
Para determinar la herramienta adecuada para ayudar en su investigación, es importante que primero determine la naturaleza de su investigación y lo que desea lograr. A partir de ahí, puede tomar una decisión sobre qué herramienta usar de las que se han discutido en este artículo.