INFORMÁTICA FORENSE
A lo largo de todos estos años, la ciencia forense, sin perder su
espíritu, ha ido evolucionando hacia un campo muy bien documentado y
disciplinado, con gran variedad de niveles de calidad, los cuales son cada
vez más exigentes, ya que ha medida que el conocimiento técnico y
científico se expande, así también lo hace la ciencia forense. Aún así, ésta
siempre irá por detrás de los avances de la ciencia en algún aspecto; sirva
como ejemplo que en los años 80 la prueba genética ya fue utilizada en
Nueva Zelanda, pero no aparece como prueba válida hasta años después, en
los tribunales de los Estados Unidos de América. Considerando pues los aspectos de que la ciencia forense como
disciplina se está desarrollando desde hace más de 800 años, y que lleva
menos de un siglo presentándose normalmente ante los tribunales, el campo
de la informática forense está en su más tierna infancia.
Historia de la informática forense
Muchas son las definiciones que de informática forense podemos encontrar en gran número de publicaciones, pero todas ellas de una manera u otra hacen hincapié en unos puntos esenciales; así, de una forma simple, podríamos definir la informática forense como un proceso metodológico para la recogida y análisis de los datos digitales de un sistema de dispositivos de forma que pueda ser presentado y admitido ante los tribunales. De la definición vemos que se trata de un proceso, técnico y científico, que debe estar sujeto a una metodología, tendente primero a la recogida y después al análisis de los datos digitales que se pueden extraer de un sistema o conjunto de dispositivos informáticos o electrónicos, y todo ello con el propósito de ser presentados ante un tribunal.
El fin último y principal objetivo que se deduce de la palabra forense, es su uso en un procedimiento judicial. A comienzo de los años 90, el FBI (Federal Bureau of Investigation) observó que las pruebas o evidencias digitales tenían el potencial de convertirse en un elemento de prueba tan poderoso para la lucha contra la delincuencia, como lo era el de la identificación por ADN. Para ello, mantuvo reuniones en su ámbito, y a finales de los años 90 se creó la IOCE (International Organization of Computer Evidence) con la intención de compartir información sobre las prácticas de informática forense en todo el mundo.
En marzo del año 1998, el G8 a través del subgrupo de trabajo denominado The High Tech Crime, conocido como el Grupo de Lyón encargó a la IOCE el desarrollo de una serie de principios aplicables a los procedimientos para actuaciones sobre pruebas digitales, así como la armonización de métodos y procedimientos entre las naciones que garantizasen la fiabilidad en el uso de las pruebas digitales recogidas por un estado para ser utilizadas en tribunales de justicia de otro estado. La IOCE, trabajó en el desarrollo de estos principios a lo largo de dos años. La Scientific Working Group on Digital Evidence (SWGDE), principal portavoz de la IOCE en Estados Unidos, y la Association of Chief Police Officers (ACPO) del Reino Unido, propusieron una serie de puntos que luego englobaron los principios generales que se presentaron en el año Principios básicos
Una vez estudiado el informe, el G8 aprobó un conjunto de principios
básicos para luego dictar una serie de recomendaciones aplicables a las
evidencias digitales:
• Todos los principios generales de procedimientos y técnicas forenses
deben ser aplicados cuando se manipulen pruebas digitales.
Cualquier institución con atribuciones en la búsqueda, recolección, y
análisis de pruebas debe tener una metodología o unos principios
generales definidos con el objetivo de proteger los intereses de todas
las partes. Dichos principios han de tener en cuenta las
peculiaridades de cada ordenamiento jurídico.
• En la manipulación de pruebas digitales, las acciones que se lleven a
cabo no deben alterar dicha prueba. Siempre que sea posible, no se
realizará ninguna acción, durante la búsqueda, recolección, o
manipulación de las pruebas digitales, que conlleve una alteración de
la misma. En caso de que se tenga que actuar de tal forma que se
altere la prueba, las acciones deberán ser completamente
documentadas.
• Cuando sea necesario que una persona tenga acceso a una prueba
digital original, dicha persona debe estar formada para ese propósito.
Aunque es ampliamente aceptado que la mejor práctica es realizar
una imagen digital de la prueba a analizar, y actuar sobre la copia,
puede haber ocasiones, en el curso de una actuación, en que se tenga
que acceder a la prueba digital original. Dicha acción, además de
seguir el principio anterior, debe realizarse por una persona que esté
formada en dicho aspecto.
• Toda actividad relativa a la recogida, acceso, almacenamiento, o
transferencia de pruebas digitales debe ser completamente
documentada, conservada y disponible para su estudio. Todas las
manipulaciones que se lleven a cabo deben ser documentadas de
forma total y comprensible, de manera que las acciones que se están
registrando puedan ser reproducidas si fuera necesario. Es vital
mantener la cadena de custodia.
• Cada persona es responsable de todas las acciones tomadas con
respecto a la prueba digital mientras dicha prueba esté a su cargo.
Dicha responsabilidad es personal y no corporativa.
• Cualquier institución o grupo, que sea responsable de la recogida,
acceso, almacenamiento, o transferencia de una prueba digital, es
responsable de cumplir y hacer cumplir estos principios.
Las
instituciones con atribuciones en la recogida y manipulación de
pruebas digitales, velarán para que estos principios se lleven a cabo,
siendo un marco de referencia y trasladándose éstos a los
procedimientos de actuación que se desarrollen en dichas
instituciones.
Todas las técnicas utilizadas para la recogida y análisis de evidencias
digitales, deben estar respaldadas por una buena metodología científica y
documentadas en un protocolo de actuación, que recoja tanto los aspectos
técnicos de la informática como los aspectos legales que se derivan de su
peculiaridad forense.
Para asegurar que las pruebas digitales son recogidas, preservadas,
examinadas o transferidas de manera que se salvaguarde su integridad,
fiabilidad, y precisión, todas las instituciones forenses, cuya función esté
relacionada con dichas pruebas digitales, deberán establecer y mantener un
sistema de calidad efectivo, sin olvidar tampoco la formación del personal.
Metodología
Diversas metodologías han surgido publicadas por diversas instituciones y
organizaciones, así como por expertos en la materia, encajando algunos
modelos mejor que otros, según el tipo de investigación que se esté
llevando a cabo. Podríamos hablar pues de dos metodologías principales
atendiendo al hecho, su repercusión, y la actuación de unos especialistas u
otros.
Desde el punto de vista de la comisión de un hecho delictivo, y de la
actuación de los Cuerpos y Fuerzas de Seguridad, se puede establecer una
metodología aplicable a la informática forense que, en términos generales,
debe seguir estos puntos:
•Identificación: Consiste en el conocimiento y la comprobación del
hecho delictivo. Por regla general la actuación será iniciada a
requerimiento de un grupo investigador o bien a requerimiento de la
autoridad judicial.
•Preparación: La preparación y planificación de las herramientas, las
técnicas a utilizar y la obtención de los permisos necesarios para
efectuar las acciones pertinentes. Los equipos de laboratorio deben
estar revisados, actualizados, en buen estado, y no contaminados.
Los manuales de operación y los manuales de instrucción deben estar preparados, y las aplicaciones de creación de copias y de análisis han
de estar comprobados y validados. La formación de los especialistas
debe ser la adecuada y debe ser continua.
•Planificación estratégica: Desarrollar una estrategia tendente a
maximizar la recolección de pruebas y minimizar el impacto sobre la
víctima. Cuando un registro vaya a ser llevado a cabo, en donde
estén o no envueltos equipos o dispositivos electrónicos, una
preparación preliminar es conveniente.
En lo que se refiere a pruebas digitales, es necesario obtener la
máxima información posible sobre el tipo, lugar, y conexiones de
cualquier sistema de ordenadores. Si se sospecha la existencia de
redes de ordenadores medias o grandes, se debería contar con el
asesoramiento de especialistas, mientras que si, como en la mayoría
de los casos, se trata de ordenadores personales, cualquier persona,
con una formación básica, es suficiente para llevar a cabo la tarea.
Hay que recordar, que no sólo en los ordenadores se puede encontrar
información que puede resultar imprescindible para el
esclarecimiento de un hecho.
De cualquier forma no siempre es posible una información tan
detallada, por lo que queda a decisión del investigador la mejor
opción a la hora de recoger las pruebas, teniendo en cuenta el motivo
por el que se realiza el registro. No se debe perder de vista el riesgo
que conlleva una mala actuación sobre una prueba digital.
•Aseguramiento de la escena, tanto física como digital: En todo
escenario de un hecho delictivo, y al igual que se toman las debidas
medidas y precauciones para no contaminar la escena de aquellos
vestigios que sean susceptibles de ser enviados a los laboratorios
para su examen (huellas digitales, ADN, elementos balísticos, etc.),
así se deben tomar las debidas precauciones para no contaminar la
escena digital, ya sea por medios físicos o electrónicos.
La contaminación física puede alterar una evidencia digital:
una manipulación incorrecta puede conllevar una modificación e
incluso una pérdida total de la evidencia. Sirva como ejemplo que la
electricidad estática que podemos portar, al tocar un circuito, puede
inutilizar éste completamente; un imán cerca de un dispositivo altera
los datos almacenados en el mismo; los golpes no se llevan bien con
las partes mecánicas de un disco duro; etcétera.
La contaminación electrónica proviene de un mal aislamiento
del dispositivo frente a su entorno, sobre todo en su embalaje.
Dispositivos que acepten datos de forma inalámbrica (routers,
teléfonos móviles, agendas electrónicas, tablets, etc.) deben ser aislados adecuadamente para que la congelación de la escena sea
efectiva, especialmente aquellos que no deben ser apagados.
•Recogida de pruebas: Registrar la escena del delito, recoger y
empaquetar adecuadamente las evidencias digitales, garantizando su
integridad, y prestando atención a la cadena de custodia son,
posiblemente, las acciones en que más cuidado hay que tener debido
a la gran cantidad de situaciones y evidencias que se pueden hallar.
Como en todo registro, la búsqueda y recogida de dispositivos
ha de hacerse siguiendo los procedimientos generales en casos de
una entrada y registro y los específicos sobre los dispositivos
digitales. Allí donde sea posible, los elementos deben ser examinados
en un laboratorio en vez de ser examinados in situ.
En caso de que no
sea posible de este modo, éstos han de ser examinados de forma que
no sean alterados o bien lo sean en la menor medida posible,
registrando todos y cada uno de los pasos que se están tomando. Es
importante realizar la copia o el clonado de la evidencia digital y
realizar su firma digital.
Mención especial deben tener los dispositivos de telefonía
móvil, ya que su correcta manipulación puede evitar desagradables
sorpresas en fases posteriores.
•Examen: Tanto esta fase como la siguiente, requieren una mayor
especialización técnica. No se ha de olvidar el cumplimiento exacto
de la cadena de custodia, y se debe estar en posesión de la
autorización necesaria para proceder al examen y análisis de las
evidencias. Se realiza un estudio preliminar de los dispositivos
recogidos en cuanto a características físicas y técnicas, estructura,
formato, etc.
•Análisis e interpretación: Analizar metódicamente las pruebas.
Interpretar los datos que se obtengan e interrelacionarlos
adecuadamente para tratar de explicar los hechos y su distribución
temporal. Es la fase más larga de todo el proceso, y está íntimamente
relacionada con el hecho que se está investigando.
•Documentación: El objetivo final de un análisis forense, es plasmar
por escrito de una forma exacta, comprensible, clara, y completa, los
pasos realizados en el análisis, los hallazgos, su interpretación y la
conclusión que de ellos se derivan. No hay que perder de vista el
carácter forense que tiene el análisis, por lo que, a lo largo de la
redacción del informe, hay que tener presente a quien va dirigido y
en muchos casos el destinatario final no tiene los conocimientos
técnicos suficientes sobre la materia, por lo que la terminología
usada y la manifestación de los hechos debe adecuarse a esta situación.
El sentido común, la aplicación de una buena metodología, el
desarrollo de Procedimientos Básicos de Actuación, y la formación general
y especializada, primordialmente, son, entre otras, características esenciales
y requisitos imprescindibles para garantizar el buen hacer ante cualquier
reto de análisis y su puesta a disposición de la autoridad judicial.
Todas las disciplinas forenses evolucionan a medida que aparecen
nuevos hallazgos, mejoran las técnicas y se desarrollan nuevas
metodologías científicas, por lo que no es de extrañar que surjan más
técnicas que favorezcan el trabajo de investigación y análisis que los
especialistas forenses realizan día a día, y tampoco es descabellado pensar
que aparecerán más disciplinas que puedan ser aplicadas tanto para la
resolución de hechos, cómo para el apoyo a la autoridad judicial.
Lo que sí es seguro es que en el ámbito de la informática forense los
especialistas no pueden bajar la guardia, ya que la evolución en este campo
no puede medirse ni en años ni en meses, sino en días.
Autor: Francisca Rodríguez y Alfredo Doménech Rosado
Un perito informatico se usa en aquellos casos en los que se sospecha o se tiene la certeza de que se ha producido en uso inadecuado de la tecnología, se ha producido una brecha de seguridad en un sistema informático, o de que los soportes informáticos han sido el vehículo para la constitución de un delito.
ResponderBorrarLa profesión de perito informatico vigo tiene, más allá de sus dificultades técnicas o vicisitudes propias de la profesión (muchas veces su trabajo debe hacerse ante notario), algunos momentos que pueden clasificarse como memorables.
ResponderBorrarEn el tribunal se enfrentaban dos periodistas árabes a su jefe, al que acusaban de haberlas despedido por no querer realizar una serie de favores, aportando una serie de Whatsapp y correos electrónicos como prueba. “Tuve que certificar que esos mensajes eran fidedignos”, nos cuenta.
Los peritos informáticos son profesionales altamente capacitados en el análisis de sistemas y dispositivos informáticos. Estos expertos pueden realizar análisis forenses de discos duros, bases de datos y otros dispositivos electrónicos para determinar la causa de un problema o para presentar pruebas en casos legales. El perito informático también puede brindar asesoramiento en casos de seguridad informática y protección de datos.
ResponderBorrarLa labor del perito informático es esencial en el contexto actual, donde la tecnología y la información digital dominan nuestras vidas. Estos expertos en informática y seguridad informática son responsables de investigar delitos cibernéticos, analizar sistemas informáticos y recolectar pruebas digitales para casos legales. Su conocimiento en análisis forense digital y técnicas de seguridad los convierte en defensores de la integridad digital. Además, los peritos informáticos desempeñan un papel importante en la prevención de ataques informáticos, identificando vulnerabilidades y recomendando medidas de protección. Su labor contribuye a mantener seguros nuestros sistemas y garantizar la confianza en el entorno digital.
ResponderBorrar