Ing. Humberto Aguilar Lobo - R.N.I. 29057
Es Ingeniero Informático de la Universidad Técnica de Oruro con Maestrías en Seguridad Informática y Educación Superior basada en Competencias, Ph.D.(c) en Ciencia y Tecnología.
RESUMEN
Este artículo tiene por objeto contribuir al estudio de la informática forense en función a herramientas de recuperación de archivos eliminados en unidades de almacenamiento en discos sólidos. Se trata de un estudio de enfoque cuantitativo, del tipo descriptivo, en el que se empleó un diseño no experimental de corte transeccional o transversal. La variable de estudio fue la recuperación de archivos en discos sólidos de 1 [Tb] de capacidad. La población estuvo constituida por herramientas de recuperación de archivos eliminados, de ella se tomó como muestra tres herramientas especializadas. El instrumento empleado fue sistemas de medición por aparatos en base a software especializado en la obtención de datos. Los resultados demostraron que de las herramientas vistas, dos cuentan con mayor rendimiento en tiempo y capacidad en la recuperación de archivos eliminados en unidades de almacenamiento de discos sólidos, siendo muy útiles para llevar a cabo el procedimiento de recuperación de información.
Palabras clave: Informática forense, unidades de almacenamiento, recuperación de archivos.
INTRODUCCIÓN.
La informática forense comprende diferentes procedimientos, uno de ellos es la “Recuperación de archivos eliminados” que ciertamente en los sistemas actuales, los archivos no son eliminados físicamente sino en su forma lógica, esto implica que la información permanece aún después de ser eliminada del sistema. Siendo así, que la informática forense puede intentar reconstruir la estructura de los archivos que la contenía a fin de buscar evidencias en la misma. Existe una gran variedad de métodos de recuperación de archivos eliminados (y herramientas que los implementan) que trae a consecuencia la presente investigación. En este propósito, la interrogante general que motiva la presente investigación es: ¿Cuáles serían los resultados de aplicar herramientas de recuperación de archivos eliminados en unidades de almacenamiento en discos sólidos?
Después de las consideraciones anteriores, es importante empezar por una definición pertinente de este tema. Al respecto los autores (Castañeda Vilchis, Rojas Barrera, & Villanueva Pallares, 2009) afirman: “…la recuperación de información eliminada a partir del sistema de archivos comprende la búsqueda de la información directamente en el espacio de datos omitiendo todo tipo de estructura de sistema de archivos” (p.6)
DESARROLLO
MÉTODOS Y MATERIALES.
Métodos. La metodología a utilizar tiene su fundamento en la siguiente tabla (1):
Tabla 1. Metodología aplicada en la investigación.
|
Metodología |
Característica |
|
Enfoque y diseño |
Se sustentó en el enfoque cuantitativo, del tipo de diseño no experimental, transeccional descriptivo. El objetivo es describir los resultados de aplicar herramientas de recuperación de archivos eliminados en unidades de almacenamiento en discos sólidos. |
|
Población y muestra |
Se define como población a un conjunto finito de elementos con características comunes y que concuerdan con determinadas especificaciones (herramientas de recuperación de archivos eliminados). La muestra es del tipo no probabilística —desde la visión cuantitativa— su utilidad requiere no tanto una “representatividad” de elementos de una población, sino una cuidadosa y controlada elección de casos con ciertas características especificadas. Está se integra por tres herramientas especializadas. |
|
Instrumentos de recolección de datos |
A los efectos de este, se aplicó sistemas de medición por aparatos, a través de instrumentos de software especializado en la obtención de datos, permitiendo la validación y verificación del objetivo de la investigación. Los resultados son tabulados, codificados, procesados y analizados, manejando procedimientos propios de la informática forense. |
Fuente: Elaboración propia.
Materiales.
Tabla 2. Materiales que se utilizó en la investigación.
|
Descripción |
|
|
|
Software especializado |
|
Fuente: Elaboración propia.
RESULTADOS.
HERRAMIENTA FORENSE [FTK IMAGER].
Haciendo uso de esta herramienta se toma de la imagen del disco solido de capacidad de 1 [Tb] en formato “.dd”, (formato de aceptación). La herramienta proporciona archivos con información “MD5” y “SHA”, para verificar si la imagen ha sido cambiada o no. Teniendo la imagen del disco, se procedió a realizar el análisis, matizando que FTK crea diferentes detalles de la información que se encuentra en el disco, como posiciones de memoria o un mapa hexadecimal de los mismos.
“Gb”, es el símbolo de una unidad de medida informática cuyo nombre es Gigabyte.
“Bits”, es una unidad mínima de información, que puede tener solo dos valores (cero o uno).
“Tb”, es el símbolo de una unidad de medida informática cuyo nombre es Terabyte
“MD5”, es un algoritmo de reducción criptográfico de 128 bits ampliamente usado en seguridad informática.
“SHA”, es un algoritmo de Hash seguro de una familia de funciones de cifrado.
Figura 1. Resultados con FTK IMAGER.
Fuente: Elaboración propia.
HERRAMIENTA FORENSE [RECUVA].
Está herramienta permitió recuperar archivos borrados del tipo: documentos, imágenes, videos, músicas, entre otros, pero teniendo debilidades como la recuperación de archivos cuando se ha dado un formato rápido, este tipo de procedimiento puede ser un factor muy importante de riesgo para la informática forense.
Figura 2. Resultados con Recuva.
Fuente: Elaboración propia.
HERRAMIENTA FORENSE [AUTOPSY].
Está herramienta, al igual que FTK IMAGER, trabaja sobre una imagen del disco, además que permitió organizar por casos de análisis la información que proporciona, es en valores hexadecimales y a través de banderas de un archivo (tanto de inicio como del final)
Figura 3. Resultados con Autopsy.
Fuente: Elaboración propia.
A continuación, se muestra los resultados obtenidos en base a las herramientas utilizadas:
Tabla 3. Análisis comparativos de los archivos encontrados y el tiempo estimado.
|
Herramienta |
Archivos encontrados |
Tiempo estimado de recuperación en [minutos] |
|
FTK |
12789 |
10:55 |
|
Recuva |
6929 |
5:15 |
|
Autopsy |
12970 |
15:30 |
Fuente: Elaboración propia.
Se realizó un nuevo análisis de comparación en base al formateo del disco utilizado, teniendo los siguientes resultados:
Tabla 4. Análisis comparativo de archivos encontrados en diferentes formateos del disco.
|
Herramienta |
Cantidad de archivos encontrados |
||
|
1er Formateo |
2do Formateo |
3er Formateo |
|
|
FTK |
11567 |
11430 |
11221 |
|
Recuva |
5129 |
4975 |
4890 |
|
Autopsy |
11952 |
11628 |
11445 |
Fuente: Elaboración propia.
Tabla 5. Análisis comparativo - diferentes formateos en tiempos estimados de recuperación de archivos.
|
Herramienta |
Tiempo estimado de recuperación en [minutos] |
||
|
1er Formateo |
2do Formateo |
3er Formateo |
|
|
FTK |
9:33 |
8:18 |
7:43 |
|
Recuva |
4:50 |
4:02 |
3:38 |
|
Autopsy |
13:48 |
13:16 |
12:34 |
Fuente: Elaboración propia.
Se puede evidenciar que las herramientas utilizadas, cumplen con su objetivo principal, pudiendo recuperar una gran cantidad de archivos, teniendo a FTK IMAGER y AUTOPSY como las óptimas en cuanto a volumen de archivos recuperados, con un tiempo prudente. También cabe mencionar que la herramienta RECUVA utilizó una mayor disposición de tiempo y no logró recuperar la misma cantidad de archivos que las otras herramientas. De la misma manera se puede afirmar que entre más cantidad de veces haya sido formateado el disco de almacenamiento, la recuperación de archivos tiende a disminuir.
DISCUSIÓN.
A través de esta investigación se ha intentado describir los resultados en función a herramientas de recuperación de archivos eliminados en unidades de almacenamiento en discos sólidos. De las mismas se puede mencionar que FTK IMAGER y AUTOPSY son herramientas completas, mientras que RECUVA tiene sus deficiencias, pero siendo cada una de ellas, muy útiles para llevar a cabo el procedimiento de recuperación de información. Es evidente entonces, que la recuperación de archivos a través de la informática forense puede agregar aspectos de debate, como la recuperación de archivos tiende a disminuir entre más cantidad de veces que haya sido formateado. Por ello, desde este trabajo se proyecta a la utilización de estas herramientas que pueda brindar una inmersión paulatina para el estudiante, con el fin de que los objetivos didácticos y las clases materialicen situaciones en entornos controlados.
CONCLUSIONES.
Dadas las condiciones que anteceden, se concluye que la informática forense representa un punto muy importante en la actualidad, y particularmente la recuperación de información, el procedimiento llevado a cabo en este artículo, puede ser calificado como satisfactorio, y es que se logró evidenciar resultados de investigación, siguiendo la metodología adecuada para cada uno de los procedimientos realizados, desde la implementación de diferentes técnicas para la recuperación de información demostrando una comparación de las herramientas seleccionadas, cotejando su alcance de cada una de ellas, y observando el rendimiento obtenido de acuerdo a su implementación y características específicas.
REFERENCIAS BIBLIOGRÁFICAS.
Castañeda Vilchis, F., Rojas Barrera, V., & Villanueva Pallares, N. (2009). Evaluación de herramientas para análisis forense orientado a discos duros. México.
Hernández-Sampieri, R., & Torres, C. P. M. (2018). Metodología de la investigación (Vol. 4). México Ed. F DF: McGraw-Hill Interamericana.
Arias, F. G. (2012). El proyecto de investigación. Introducción a la metodología científica. 6ta. Fidias G. Arias Odón.
Arias, F. G. (2008). Perfil del profesor de metodología de la investigación en educación superior. Universidad Central de Venezuela.
Posada, J. A. C. (2001). Metodología de la Investigación (Vol. 58). Bib. Orton IICA/CATIE.
Flores, M. D., Franco, M. E. V. E., Ricalde, D. C., Garduño, A. A. L., & Apáez, M. R. (2013). Metodología de la investigación. Editorial Trillas, SA de CV.
Namakforoosh, M. N. (2000). Metodología de la investigación. Editorial Limusa.
Moguel, E. A. R. (2005). Metodología de la Investigación. Univ. J. Autónoma de Tabasco.
Vélez, A. (2011). Metodología de la investigación. Medellín: EAFIT.