Técnicas de análisis forense en imágenes digitales

FUENTE: Miguel Ángel Mendoza



En días pasados se llevó a cabo la edición 2017 del Congreso Seguridad en Cómputo, organizado por la Coordinación de Seguridad de la Información/UNAM-CERT. Durante dos días, investigadores presentaron sus trabajos en diversas áreas de la seguridad para el Ciclo de Conferencias.
En su participación, el especialista en seguridad José Miguel Baltazar Gálvez, presentó el trabajo denominado “Identificación de la fuente generadora de una imagen digital”, un desarrollo del programa de Maestría en Seguridad y Tecnologías de Información del Instituto Politécnico Nacional, orientado a reconocer la marca y modelo de un dispositivo utilizado para generar una fotografía digital, durante el proceso de análisis forense.

Desafíos en el proceso de análisis forense de imágenes digitales

El aumento en el uso de dispositivos electrónicos y sus diversas funcionalidades, ha contribuido al desarrollo del perfil técnico de analista forense digital, rol encargado de garantizar la certeza en el uso de una imagen digital que pretende utilizarse como evidencia en una investigación de carácter legal.
el análisis forense de imágenes digitales es relevante para determinar el origen y la autenticidad de una fotografía
Considerando que las imágenes pueden ser utilizadas para deslindar responsabilidades o como parte de la evidencia en un caso administrativo, civil o penal, el análisis forense de imágenes digitales adquiere relevancia para determinar el origen y la autenticidad de una fotografía, con el propósito de relacionar a un individuo con un dispositivo, lugar o evento.
Si además se considera que en la actualidad existen herramientas de manipulación de imágenes cada vez más sofisticadas, que dificultan la identificación de las características de interés, resulta útil la aplicación de este tipo de técnicas.
En este contexto, los retos que enfrenta el analista consisten principalmente en determinar el origen de la fotografía digital, conocer la marca, modelo y dispositivo específico utilizado para generar la fotografía, así como si se ha añadido, eliminado o modificado el contenido en la imagen.

Procedimiento Operativo Estándar (POE), una propuesta para el analista

El trabajo de investigación de Baltazar Gálvez se centra en el desarrollo de un procedimiento operativo estándar para la identificación de la fuente generadora de imágenes, a partir de tres técnicas: análisis de metadatos, análisis de matriz de cuantización y análisis de ruido de foto respuesta no uniforme (PRNU). Dicho procedimiento se compone de las siguientes etapas:

• Recomendaciones iniciales

En esta primera etapa se pretende contar con las condiciones idóneas para la identificación de información de interés. El punto de partida es la adquisición de la evidencia (imágenes con formato JPEG), de preferencia a partir de dos copias para garantizar su integridad. Además, se debe llevar a cabo la definición y manejo adecuado de la cadena de custodia, el resguardo de la evidencia y la caracterización del dispositivo móvil de estudio.

• Definición del escenario de trabajo

La segunda etapa se enfoca a la aplicación metodológica del POE. Debido a que el propósito del procedimiento se centra en la identificación de la marca, modelo y dispositivo específico utilizado para la adquisición de una imagen digital, la organización de la información es fundamental para la obtención de resultados favorables. Por ello, se deben considerar los posibles escenarios: una imagen relacionada con un dispositivo, múltiples imágenes asociadas a un dispositivo o varias imágenes relacionadas con múltiples dispositivos.

• Técnicas de análisis y desarrollo

Metadatos. La primera técnica de análisis es por metadatos, en la cual se extraen los datos de marca y modelo del objeto de estudio, mismos que son comparados con la información de una imagen de referencia. En este proceso el analista debe considerar otros elementos técnicos, como la versión del software utilizado, geolocalización o fecha de adquisición, de tal manera que esta información se pueda correlacionar con otros eventos. Aunque se trata de un análisis básico, es posible que la imagen haya sido alterada, incluso con la modificación de los metadatos, por lo que debe apoyarse de otras técnicas.
Análisis por matriz de cuantización o cuantificación. Para la aplicación de esta técnica también se requiere una referencia que permita llevar a cabo una comparación, pero en este caso se contabilizan y extraen las matrices de cuantización de cada imagen. También conocida como matriz de cuantificación, se trata de un conjunto de valores utilizados para la representación de dicha imagen; en este análisis son cotejados el número y contenido de cada matriz. Al igual que en el caso anterior, si existe una modificación de la imagen o los dispositivos caracterizados son de la misma marca y modelo, se requiere emplear otro tipo de análisis como PRNU.
Análisis de ruido de foto respuesta no uniforme (PRNU). El ruido de foto respuesta es una característica de cada sensor en una cámara digital. En este análisis se requiere contar con imágenes planas (bajo las mismas condiciones de luz y sin escena) con el dispositivo, que permite generar un patrón PRNU de referencia. Posteriormente, se obtiene el patrón PRNU de la imagen a analizar y se contrasta a través de un proceso de correlación. Una imagen digital adquirida con el dispositivo en cuestión obtiene un valor de correlación cercano a uno, mientras que para imágenes que no fueron obtenidas con el dispositivo analizado, los valores de correlación tienden a cero e incluso pueden ser negativos.

• Reporte ejecutivo y técnico

La última fase del procedimiento consiste en la generación de un informe ejecutivo y técnico sobre los resultados de las comparaciones, a partir del procedimiento operativo estándar. En esta última fase se plasma en un documento la información arrojada por los diferentes análisis aplicados a las imágenes de estudio.

Técnicas de análisis y herramientas para el analista forense digital

Como parte de su contribución, José Miguel presentó la herramienta “AnálisisJPEG” para la comparación automática de metadatos y matrices de cuantización. Al finalizar su participación, concluye que “el procedimiento y las técnicas propuestas son una herramienta de ayuda para el analista”. Por esta razón, se debe realizar un proceso de investigación minucioso para que la evidencia pueda ser utilizada como prueba en un proceso de índole legal o simplemente para deslindar responsabilidades.
Finalmente, recomienda profundizar en las técnicas existentes así como desarrollar nuevos métodos de análisis en el ámbito de las imágenes digitales. Además, destaca que las técnicas y herramientas requieren de la interpretación y correlación con otros eventos, de manera que el analista pueda emitir una conclusión contundente.