El propósito de las técnicas informáticas forenses, es buscar, preservar y analizar información en sistemas de ordenadores para buscar evidencias potenciales de un delito. Muchos de las técnicas usadas por detectives en escenarios de crimen, tiene su contrapartida digital en la informática forense, aunque hay algunos aspectos únicos en la investigación basada en ordenadores.
Por ejemplo, simplemente abrir un archivo, cambia ese archivo – el ordenador recuerda la hora y fecha en el que fue accedido. Si un detective coge un ordenador y comienza a abrir archivos y ficheros, no habrá manera de poder decir si cambiaron algo. Si un caso de piratería informática llegara a juicio, no tendría validez como prueba al haber alterado y modificado el estado del sistema informático.
Algunas personas creen que usar información digital como una evidencia, es un mala idea. Si es tan fácil cambiar datos en un ordenador, ¿Cómo puede usarse como una prueba fiable? Muchos países permites pruebas informáticas en juicio y procesos, pero esto podría cambiar si se demuestra en futuros casos que no son de confianza. Los ordenadores cada vez son más potentes, por lo que los campos dentro de la informática forense tienen que evolucionar constantemente.
En lo tempranos días de la informática, era posible para un solo detective, navegar a través de los ficheros de un equipo ya que la capacidad de almacenamiento era mucho más baja. Hoy en día, los discos duros de un ordenador pueden contener gigabytes o incluso terabytes de información, por lo que la tarea de investigación puede ser compleja. Los expertos en informática forense deben encontrar nuevas maneras de buscar evidencias, sin tener que dedicar demasiados recursos en el proceso.
Conceptos básicos de la informática forense
El campo de la informática forense es relativamente joven. Hace muchos años, las cortes consideraban las evidencias encontradas en los ordenadores, no muy diferentes a las evidencias convencionales. Según los ordenadores fueron avanzando, mejorando y siendo más sofisticados, se dieron cuenta que estas evidencias podían ser fáciles de corromper, destruir o cambiar.
Los investigadores pensaron que había una necesidad de desarrollar herramientas específicas y procesos para buscar evidencias de delito en un ordenador, sin afectar a la propia información que hubiera almacenada. Los expertos en esta tecnología, se aliaron con científicos especializados en computadoras para discutir los procedimientos y herramientas apropiadas que se podrían utilizar para esta tarea. Poco a poco, se fueron asentando las bases para crear la nueva informática forense.
Normalmente, los detectives informáticos usan una orden para hacer búsquedas en ordenadores de gente sospechosa. Esta orden debe incluir donde pueden buscar los detectives, y que clase de pruebas están buscando. En otras palabras, no pueden simplemente dar pedir una orden y buscar todo lo que quieran para cualquier cosa. Esta orden no puede ser demasiado general. Muchos jueces requieren que se sea lo más específico posible cuando se pide una de estas garantías.
Por esta razón, es importante para los detectives informáticos saber todo lo posible sobre el sospechoso antes de pedir una orden. Considera este ejemplo: Un investigador informático pide una orden par investigar un ordenador portátil de un sospechoso. Llega a la casa del sospechoso y le entrega la orden. Mientras está en la casa, se da cuenta que hay un ordenador de sobremesa. El investigador no puede legalmente hacer una búsqueda en ese PC porque no estaba en la orden original.
Cada línea de investigación en un ordenador es de algún modo única. Algunas puede llevar solo una semana, pero otras puede llevar meses. Aquí hay algunos factores que pueden impactar lo extenso de la investigación:
- La experiencia de los investigares informáticos.
- El número de ordenadores que se están investigando.
- La cantidad de información que se debe clasificar a través de los discos duros, DVDs, CDs, u otros métodos de almacenamiento.
- Si los sospechosos han intentado o no ocultar o borrar la información.
- La presencia de archivos encriptados o ficheros protegidos por contraseñas.
Fases en una investigación de informática forense
El científico en computadoras y experto reconocido en informática forense, Judd Robbins, nos da una lista de los pasos que deberían seguir los investigadores para recuperar evidencias en un ordenador sospechoso de tener pruebas delictivas. Por supuesto, cada grupo de investigadores, dependiendo del cuerpo y el país, tendrán variaciones sobre los métodos a utilizar, pero el método de Robbins está mundialmente reconocido:
- Asegurar el sistema informático para mantener el equipo y los datos a salvo. Esto significa que los investigadores deben asegurarse de que individuos no autorizados puedan acceder al ordenador, o a los dispositivos de almacenamiento dentro de la investigación. Si el sistema informático se conecta a Internet, dicha conexión debe ser cancelada.
- Se debe encontrar todos los ficheros y archivos del sistema, incluyendo aquellos que están encriptados, protegidos con contraseña, escondidos o borrados, pero que no estén todavía sobrescritos. Los investigadores deben hacer una copia de todos los archivos del sistema. Con esto queremos decir, tanto del disco duro como todos los demás dispositivos que puedan almacenar información. Al poder alterar un archivo cuando accedemos a el, es importante para los investigadores trabajar solamente con copias mientras se busca evidencias. El sistema original debe permanecer intacto.Hay que recuperar toda la información borrada que se pueda, usando aplicaciones que pueden detectar dicha información y hacerla disponible de nuevo para su visionado.
- Se debe revelar el contenido de ficheros y archivos ocultos, con programas espacialmente diseñados para esta función.
- Desencriptar y acceder a información protegida.
- Analizar áreas especiales de los discos del ordenador, incluyendo las partes que normalmente no están accesibles. En términos de informática, el espacio no usado en los discos de un ordenador, se llama espacio no localizado. Dicho espacio podría contener archivos o partes de ficheros que son relevantes al caso.
- Hay que documentar cada paso del procedimiento. Es importante para los investigadores mostrar pruebas de que sus investigaciones han preservado toda la información del sistema informático sin cambiar o dañar nada. Puede pasar años entre una investigación y el juicio, y sin la documentación apropiada, puede que las pruebas no sean admisibles. Robbins dice que la documentación no solo debería incluir los archivos y los datos recuperados del sistema, sino también un informe de la condición física del sistema, y si algún dato estaba encriptado u oculto.
Todos estos pasos son importantes, pero el primero es crítico. Si los investigadores no pueden probar que han asegurado su sistema informático, las evidencias encontradas podrían no valer de nada. Es un trabajo complejo. En los primeros años en la historia del ordenador, el sistema podía incluir solo un PC y unos cuantos disquetes. Hoy en día, puede incluir varios ordenadores, discos, dispositivos externos de almacenamiento, periféricos, y servidores Web.
Los que comenten delitos informáticos, han encontrado maneras de hacer más difícil el seguimiento de los investigadores para que puedan encontrar información. Usan programas y aplicaciones conocidas como anti-forenses. Los investigadores deben conocer estas herramientas de software, y saber como deshabilitarlas sin quieren tener éxito accediendo a la información.
En la siguiente sección de este curso rápido sobre informática forense, veremos en qué consisten estos programas anti-forenses. Haz clic en el botón para verlo: