¿Cómo se resuelven casos policiales y judiciales haciendo uso de la informática forense?

Cuando hablamos de “informática forense” estamos haciendo referencia a la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados a través de dispositivos electrónicos y que son posteriormente guardados en soportes informáticos.

Se habla entonces de una practica que resulta cada vez más habitual gracias al uso tan extendido que, actualmente, todos realizamos de las nuevas tecnologías disponibles, y que nos permite hacer uso de dichos datos para resolver casos de tipo policial o judicial.

Los peritos informáticos forenses, al igual que las fuerzas y cuerpos de seguridad del Estado, utilizan herramientas y procedimientos muy específicos para la recolección de todo tipo de información de dispositivos electrónicos, que van desde nuestros ordenadores portátiles o teléfonos móviles, hasta los servidores de correo electrónico, por ejemplo.

Aún cuando un delito no sea de carácter informático, sí que existen siempre pruebas digitales, y aprovechando el hecho de que todas, o casi todas, las actividades que se realizan con un dispositivo (de forma manual o automática) dejan un registro o prueba, y es posible entonces que ese mismo registro sea analizado junto con el resto de pruebas de otro tipo correspondientes a un caso en cuestión.

Durante una investigación informática forense se analiza el envío de correos electrónicos, direcciones IP y localizaciones geográficas de los servidores y equipos utilizados, registro de accesos a sistemas por parte de los usuarios, historiales de navegación y búsqueda, chats, registro de eliminación de datos, y una amplísima cantidad de información para investigar delitos contra la propiedad intelectual, de espionaje industrial, la vulneración de la intimidad de las personas y el robo de datos, entre muchos otros.

Cuando en una organización se registra un suceso que resulta sospechoso, que implica un funcionamiento anómalo de los sistemas, el bloqueo de cuentas de usuarios, la desaparición de archivos que contienen información sensible o crítica, el salto de alarmas, suelen ser los responsables del área tecnológica los que la reportan a las autoridades y jerarquías competentes.

Aunque siempre vamos a depender del tipo de análisis de la información, así como del delito cometido y del tiempo del que se dispone para realizar la recolección de datos, es de vital importancia determinar cuáles son los dispositivos que están involucrados en el delito que se investiga; aunque igualmente pudiera ocurrir que, durante el proceso de investigación, aparezcan nuevas fuentes de datos o dispositivos que deban ser sujetos a este análisis.

Una vez que se tienen correctamente identificados los dispositivos sujetos a investigación, es imperativo recolectar aquellas pruebas y registros de manera ordenada, puesto que existe un tipo de información que puede ser más volátil que otra y puede desaparecer rápidamente, por ejemplo, al apagar un ordenador.

Una vez recogida la información que se considera más volátil, se realizan entonces duplicados de dicho contenido de los dispositivos correspondientes (discos duros) para así mantener la integridad de la evidencia y la cadena de custodia de los mismos.

Este punto es de vital importancia, ya que mantener esta llamada “cadena de custodia” y la integridad de la prueba garantiza que los mismos no se han alterado o manipulado los registros almacenados, puesto que, si no se puede garantizar dicha integridad, es más que probable que, durante el juicio, dicho análisis quede completamente invalidado.

Toda la información recopilada será entonces utilizada por los expertos forenses que estén gestionando el caso, para reconstruir los hechos sujetos a investigación en base a las pruebas y datos recogidas, así como la correlación de unos eventos con otros mediante la creación de una línea temporal, distribuyendo cada registro según el momento en que ha ocurrido.

La línea temporal, en cualquier investigación forense, es extraordinariamente importante, ya que al analizar los datos en orden cronológico se puede determinar la temporalidad de las acciones. Esta temporalidad debe ser tomada en cuenta sobre todo cuando es necesario analizar distintos dispositivos electrónicos o información que está en otro huso horario.

También es necesario tener en cuenta que estas marcas de tiempo en los archivos y carpetas de datos (creación, modificación y acceso) son susceptibles de ser cambiadas de manera irregular y mal intencionada por un atacante, con lo que se debe poner gran cuidado en el análisis de los datos, puesto que las hipótesis sobre las cuales se basa un caso podrían sostenerse sobre eventos cuyas fechas han sido modificadas de forma malintencionada para desviar la atención o crear confusión.

Es importante notar que los análisis siempre se realizan sobre las copias realizadas de los registros y datos mismos, no directamente en los dispositivos o los datos recogidos, puesto que se alterarían y previsiblemente no serían aceptados como pruebas durante un juicio.

De hecho, una vez realizada la copia de los datos, dichos dispositivos deberían de quedar inalterables y en desuso.

Una vez analizadas todas las pruebas, se procede a elaborar un informe completo en el que se explica la información encontrada, de una forma objetiva y clara, para así ayudar a entender los hechos que han ocurrido al personal con poca o ninguna formación técnica, como pueden ser jueces, abogados, fiscales, etc.