Esta guía habla de la informática forense desde una perspectiva neutral. No está vinculada a una legislación concreta ni pretende promocionar una empresa o un producto en particular, y no está sesgada hacia la aplicación de la ley o la informática forense comercial.
Su objetivo es ofrecer al lector no técnico una visión de alto nivel de la informática forense. Utilizamos el término «ordenador», pero los conceptos se aplican a cualquier dispositivo capaz de almacenar información digital. Los métodos que se mencionan son sólo ejemplos, no recomendaciones ni consejos.
¿Cuándo y cómo se utiliza la informática forense?
Hay pocos ámbitos de la delincuencia o de los conflictos en los que no se pueda aplicarla el análisis forense informático. Los organismos encargados de la aplicación de la ley fueron de los primeros y más intensos usuarios de la informática forense, por lo que a menudo han estado a la vanguardia de los avances en este campo.
Los ordenadores pueden considerarse el «escenario de un delito», por ejemplo en el caso de los ataques de piratería informática o de denegación de servicio. Pueden contener pruebas de delitos ocurridos en otros lugares, en forma de correos electrónicos, historial de Internet, documentos u otros archivos relacionados con delitos como el asesinato, el secuestro, el fraude o el tráfico de drogas.
Un examen informático forense puede revelar más de lo esperado
Los investigadores no sólo están interesados en el contenido de los correos electrónicos, documentos y otros archivos, sino también en los metadatos asociados a esos archivos. Los registros de las acciones de un usuario también pueden almacenarse en los archivos de registro y en otras aplicaciones de un ordenador, como los navegadores de Internet.
Así, un examen informático forense puede revelar cuándo apareció por primera vez un documento en un ordenador, cuándo se editó por última vez, cuándo se guardó o imprimió por última vez y qué usuario llevó a cabo estas acciones.
Las organizaciones comerciales han utilizado la informática forense para ayudar en todo tipo de casos, entre ellos
- Robo de propiedad intelectual
- Conflictos laborales
- Fraude de facturas, a menudo facilitado por correos electrónicos de suplantación de identidad
- Falsificaciones
- Uso inadecuado del correo electrónico y de Internet en el lugar de trabajo
- Cumplimiento de la normativa
Directrices para el éxito de la informática forense
Para que las pruebas encontradas durante una investigación informática forense sean admisibles, deben ser fiables y «no perjudiciales». Esto significa que el examinador debe tener presente la admisibilidad en cada fase de la investigación.
- Ninguna acción debe modificar los datos conservados en un ordenador o soporte de almacenamiento que puedan ser posteriormente invocados ante un tribunal.
- En caso de que una persona considere necesario acceder a los datos originales conservados en un ordenador o soporte de almacenamiento, dicha persona debe ser competente para hacerlo y estar en condiciones de aportar pruebas que expliquen la relevancia y las implicaciones de sus acciones.
- Debe crearse y conservarse una pista de auditoría u otro registro de todos los procesos aplicados a las pruebas electrónicas basadas en ordenador. Un tercero independiente debería poder examinar esos procesos y obtener el mismo resultado.
- El responsable de la investigación tiene la responsabilidad general de garantizar el cumplimiento de la ley y de estos principios.
Obtención de datos de un ordenador encendido
Tradicionalmente, los examinadores copian los datos de un dispositivo que está apagado. Utilizan un bloqueador de escritura para hacer una copia exacta bit a bit del medio de almacenamiento original, y crean un hash de adquisición del medio original. Luego trabajan a partir de esta copia, dejando el original obviamente sin cambios.
Sin embargo, a veces no es posible (o deseable) desconectar un ordenador. Tal vez hacerlo supondría considerables pérdidas económicas o de otro tipo para el propietario, o provocaría la pérdida permanente de pruebas valiosas. En estos casos, el examinador forense informático puede necesitar llevar a cabo una «adquisición en vivo». Esto implica la ejecución de una sencilla aplicación en el ordenador sospechoso para copiar (adquirir) los datos en el depósito de datos del examinador.
Al ejecutar dicha aplicación (y conectar un dispositivo como una unidad USB al ordenador sospechoso), el examinador realiza cambios y/o adiciones al ordenador que no estaban presentes antes. Pero si el examinador registra estas acciones, puede demostrar por qué eran necesarias y explicar sus consecuencias a un tribunal, las pruebas producidas suelen ser admisibles.