MADRID, 24 Nov. (Plácida Fernández/Áudea Seguridad de la información) -
La informática forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en soportes informáticos. Se trata de una practica cada vez más habitual debido al uso que actualmente todos realizamos de las nuevas tecnologías, y que permite resolver casos policiales o judiciales.
Tanto las fuerzas y cuerpos de seguridad del Estado como los peritos informáticos forenses utilizan herramientas y procedimientos específicos para la recolección de información de dispositivos que van desde ordenadores o teléfonos móviles hasta servidores de correo electrónico, por ejemplo.
Aunque un delito no sea informático, sí que hay pruebas digitales, y puesto que todas las actividades que se realizan con un dispositivo (de forma manual o automática) dejan una prueba, es posible que la misma sea analizada junto con el resto de pruebas de un caso.
Envíos de correos electrónicos, direcciones IP, localizaciones geográficas, accesos a sistemas, historiales de navegación, chats, borrado de datos y un sinfín de información es analizada para investigar delitos contra la propiedad intelectual, espionaje industrial, vulneración de la intimidad o robo de datos, entre otros.
En el caso de que se produzca un problema susceptible de análisis en una compañía es el personal especializado en tecnología el que suele ser el que avisa de que ha detectado un funcionamiento anómalo, como pueden ser cuentas bloqueadas, desaparición de ficheros con información críticas, alarmas de sistemas de seguridad, por mencionar algunos ejemplos.
Aunque depende mucho del tipo de análisis de la información, del delito y del tiempo del que se dispone para recolectar datos, es muy importante determinar cuáles son los dispositivos que pueden estar relacionados con el caso que se examina; aunque puede ocurrir que durante el proceso aparezcan nuevos datos o dispositivos que tengan que ser analizados.
Una vez que se tienen identificados los dispositivos, es primordial recolectar aquellas pruebas en orden, puesto que existe información más volátil que otra y puede desaparecer, por ejemplo, al apagar un ordenador.
Una vez recogida la información más volátil se realizan duplicados del contenido de los dispositivos (discos duros) para así mantener la integridad de la evidencia y la cadena de custodia de los mismos.
Este hecho es de vital importancia, ya que mantener la cadena de custodia y la integridad de la prueba asegura que no se han alterado o manipulado los datos almacenados, puesto que si no se puede garantizar esto, es muy probable que durante el juicio el análisis quede invalidado.
Después de realizar las copias necesarias, se utilizarán distintas técnicas de análisis forense dependiendo de la naturaleza del caso para recuperar ficheros, analizar el uso de un dispositivo por parte de un usuario, conexiones con otros dispositivos, tiempos de uso, etc. Además, es importante identificar la información accedida y extraída de los dispositivos, ya que puede ser un aspecto crucial a la hora de una investigación.
Toda la información obtenida será utilizada por el experto forense que gestione el caso para reconstruir los hechos en base a las pruebas recogidas y la correlación de los eventos mediante una línea temporal.
La línea temporal, en cualquier investigación forense, es muy importante, ya que analizar los datos en orden cronológico es crucial para saber la temporalidad de las acciones, y hay que tenerla en cuenta sobre todo cuando es necesario analizar distintos dispositivos o información que está en otro uso horario.
Además, es necesario tener en cuenta que las marcas de tiempo de los ficheros (creación, modificación y acceso) son susceptibles de ser cambiadas de forma intencionada por un atacante o usuario malintencionado, con lo que se debe poner especialmente cuidado en el análisis de los datos, puesto que su hipótesis podría sostenerse sobre eventos modificados de forma malintencionada para desviar la atención.
Los análisis siempre se realizan a las copias realizadas y no directamente en los dispositivos o los datos recogidos, puesto que se alterarían y previsiblemente no serían aceptados como prueba en un juicio. De hecho, una vez realizada la copia, esos dispositivos deberían de quedar inalterables y en desuso.
Una vez analizadas todas las pruebas, se elabora un informe en el que se explica la información encontrada de una forma objetiva y clara para así ayudar a entender qué ha pasado al personal no técnico, como pueden ser jueces, abogados, fiscales, etc.