miércoles, 11 de abril de 2012

Caso real 3: Tiempos MAC resuelven un asesinato o del uso de la computación forense para la resolución de crímenes

Interesante incidente tomado del libro de casos reales de informática forense…

El título solo decía “MAC Times Solve Murder” Yo le he agregado lo del uso de la computación forense para la resolución de crímenes… Ya veremos porqué…

La historia nos habla del uso de los Time MAC (Tiempo MAC) para resolver un crimen. Aquí quiero profundizar un poco sobre este concepto y técnica.

Los Time MAC (Tiempos MAC) son marcas de tiempo de última Modificación (Mtime), de Acceso (Atime) o Cambio (Ctime) de un determinado archivo. En definitiva, metadatos relacionados con el tiempo de creación, accesos, modificaciones y cambios de los archivos. Veamos el relato y vuelvo con una pequeña demostración de lo realizado por los expertos forenses.

Nos cuentan que una familia completa fue asesinada. Y las autoridades no tenían ni idea de la causa o del responsable del hecho. En la casa de la familia había un computador Atari,  en este, el equipo forense encontró una carta con fecha anterior al día de los homicidios.

La carta supuestamente había sido escrita por el padre de familia. En ella le concedía algunas acciones de alto valor a un empleado de su empresa. Fue aquí donde los expertos forenses utilizando los tiempo MAC del sistema pudieron fácilmente determinar  y demostrar que la carta fue creada minutos después de los asesinatos. Al parecer el homicida, asesinó a toda la familia y luego, con total tranquilidad tomó el equipo de computo y redactó la carta, otorgándose así mismo estas acciones.

Perfecta combinación entre las ciencias forenses y digitales!!!

Veamos un ejemplo práctico de esto. Para ello utilizaré la nueva versión de FOCA. Orientada al análisis forense digital (Forensic FOCA).


Supongamos que el homicida cometió el asesinato a las 16:00:00. Y a las 16:04:32 creó el nuevo documento y algunos segundos después procedió a llenarlo. La hora del homicidio fue determinada por los forenses. Con base a esta hora los forenses digitales comprobaron la diferencia e inexactitud con respecto al documento.



Para comprobar aun más la efectividad que puede tener el análisis de estos datos, veamos el supuesto caso en el cual el asesino hubiera modificado el mismo documento (por ejemplo si olvidase agregar un nombre, comprobar como se ve, etc.)



Analicemos nuevamente el archivo y comprobemos los datos de acceso y modificación.



Efectivamente se registran los datos anteriores correspondientes a creación y los nuevos de modificación algunos minutos después.

Toda una lástima el asesinato de esta familia… Bien por los forenses que establecieron el responsable…

Para más información sobre MAC Times (Forensics Wiki) >>

Para más información sobre FOCA Forensics (Chema) >>

No hay comentarios:

Publicar un comentario en la entrada