Hoy vamos a adentrarnos en una especialidad de peritaje hablando del perito en informática forense y de su completa y ardua labor.
¿Qué es la informática forense?
La informática forense es el uso de los procesos electrónicos para aplicar técnicas analíticas y científicas especializadas en la identificación, la preservación, el análisis y la presentación de casos en los que la administración de justicia es o será partícipe.
Esta, por tanto, es la utilizada para aportar pruebas de índole digital en un juicio consistentes en datos procesados de manera electrónica en medios computacionales.
Fases a respetar haciendo uso de la informática forense
Los informes periciales basados en la informática forense requieren de tres fases a desarrollar meticulosamente, todas ellas igual de importantes y válidas.
Fase de adquisición
Se trata de conseguir una réplica idéntica del material digital disponible. Con ello se pretende:
- Mantener una custodia del contenido original.
- Probar que todo lo analizado y tratado se ha hecho en base al contenido original.
- No contaminar las pruebas mientras se estén analizando y tratando.
- Evitar que el contenido original quede inutilizado tanto para la nuestra como para otra tarea.
- Tener libre de modificaciones las pruebas originales para replicar los trabajos del perito en informática forense sobre ellas y comprobarse que se arrojan los mismos resultados.
- Disponer de material por si algún problema surgiese en las máquinas e inutilizase el contenido sobre el que estamos trabajando.
- Poder trabajar la información en otros formatos (sin alterar el original) que sean más livianos y, con ello, más adecuados para los sistemas informáticos.
Fase de preparación
En este punto se debe diseñar y crear un entorno de pruebas en el que trabajar de manera segura y meticulosa sobre las evidencias. Para ello:
- A partir de la réplica realizada, restauraremos la original. Esto en ocasiones no es necesario; sólo lo será si se ha encriptado, comprimido, dividido, etc.
- Después se valida dicha restauración haciendo uso de un algoritmo de hash.
- Cuando el contenido forme parte de un sistema de archivos de un SO habrá que levantar una máquina virtual.
- Finalmente, pasamos a la identificación de los SO y demás informaciones de relevancia que nos permitan comenzar a montar la fase de análisis.
Fase de análisis
Es aquella en la que trabajamos con las pistas, desechándolas o trasformándolas en evidencias digitales. Ello se consigue recolectando y haciendo un análisis de todo rastro digital relevante. Esto, a su vez, requiere de un trabajo por etapas:
- Búsqueda y recuperación. Se hace un escrutinio de los diferentes dispositivos para buscar la información bit por bit. Los metadatos se obvian pues la estructura del sistema de archivos no se consideran.
- Recuperación y reconstrucción. Cualquier dato eliminado y extraído se reconstruye y recupera.
- Identificación. Se hace un trabajo de construcción relacionando los archivos obtenidos.
- Elaboración de memoria. Se recopila toda la información que se ha generado. El proceso se documenta. También se analizan los resultados que se han conseguido en las fases anteriores. Finalmente, se hace la redacción de un informe en el que se expresan tanto resultados como conclusiones objetivas que se han podido extraer en base a estos.
Evidencias digitales
El resultado del anterior proceso de informática forense en la evidencia digital forense. Esta no es más que un registro de información que un sistema informático a transmitido y/o almacenado y que sirve de enlace entre crimen o delito y víctima. De ello se desprende que puede utilizarse como prueba en formato digital.
Para que esto sea posible, evidentemente, se debe crear un paralelismo escena física-digital.
Admisión de una evidencia digital
Considerando la legislación vigente, una evidencia digital será admisible en juicio en función de los siguiente:
- Autenticidad. Se deben demostrar dos cosas para ello; que la prueba se obtuvo, generó y registró en el lugar de ocurrencia de los hechos; qué nos medios originales no se han alterado.
- Confiabilidad. Ello se da cuando las fuentes son verificables y creíbles. Esto se prueba de diversas maneras. Una de ellas es mostrando una arquitectura de computación (que habremos utilizado) que funcione perfectamente. Habrá que demostrar que esta es capaz de identificar, recolectar, almacenar y verificar logs. También habrá que comprobar que existe sincronía entre el registro de las acciones de los usuarios del sistema utilizado y que este esté centralizado y permanece íntegro.
- Completitud. Se considerará suficiente si esta es completa; la correlación de los registros es, por tanto, necesaria.
- Reglas. Por supuesto, toda evidencia debe cumplir con los códigos establecidos por la ley, en este caso, española, en cuanto a procedimientos, disposiciones y demás.
Clasificación de las evidencias
Estas se pueden clasificar de múltiples maneras.
Según la fuente, tenemos:
- Ordenador. Es el propio sistema quien genera información.
- Usuario. El usuario genera evidencias haciendo uso de un dispositivo; se puede demostrar quién fue el generador.
- Combinado. Se unen los dos casos que acabamos de comentar. El ordenador cuenta con logs y, además, una persona ha generado evidencias.
Según la prueba en sí misma:
- Electrónica. Son las que se refieren a cualquier tipo de hardware.
- Digital. Todo tipo de datos y softwares transmitidos o almacenados.
Según el tipo de sistema:
- Sistemas de computación abiertos. Ordenadores y periféricos básicamente. Se incluyen servidores, PCs, laptops, discos duros internos y externos, aparatos de MP3, MP4, teclados…
- Sistemas de telecomunicación. Las redes de comunicación, en su conjunto y de manera centralizada, intervienen.
- Sistemas de computación convergentes. Elementos electrónicos con convergencia digital. PDAs, teléfonos móviles, tarjetas smart…
Herramientas del perito en informática forense
Las herramientas del el perito en informática forense son aquellos recursos informáticos con los que cuenta este profesional para localizar datos, extraerlos, analizarlos y trabajarlos de diferentes maneras.
Objetivos y usos
Con estas conseguimos, principalmente:
- Una recuperación de datos borrados u ocultos.
- Conocer información de uso en los dispositivos: conexiones de dispositivos externos, usuarios logueados…
- Los correos electrónicos, conversaciones en chats, información en perfiles en la red… tanto almacenados como eliminados, y demás acciones que se relacionan con las comunicaciones online.
- Tener un conocimiento de las configuraciones y los protocolos de las infraestructuras. Ello permite conocer comportamientos particulares en momentos particulares.
- Analizar documentos de todo tipo.
- Detectar vulnerabilidades.
- Rastrear el filtrado de información privada o secreta.
Tipos
Los tipos de herramientas para realizar trabajos profesionales de informática forense se clasifican como:
- De captura de datos y de disco.
- Visor de archivos.
- Análisis de archivos, de registro, de internet, de correo electrónico y de dispositivos móviles.
- Herramientas forenses de red.
- Recursos forenses de bases de datos.
A día de hoy resulta prácticamente imposible presentar un informa de peritaje sin haber hecho uso de ellas puesto que, debido a la evolución del sector informático y tecnológico, suponen todo un adelanto, permitiendo mostrar evidencias que los espacios físicos no explican.
Estas herramientas se encuentran siempre en espacios especializados o incluso en laboratorios informáticos forenses en muchos casos. En cualquier caso, se debe contar tanto con hardware como con software de ámbito profesional capaz de aplicar metodologías de análisis específicas para la materia de informática forense.
¿Qué sería, por tanto, un perito en informática forense?
El perito forense es la persona formada en peritaje que se especializa en el uso de técnicas digitales y, además, en recursos forenses para trabajar, en nuestro caso, en la resolución de accidentes de tráfico relacionados con la administración de justicia.
Se trata, por ende, de la persona que hace uso de todos los recursos que hemos comentado durante el post para presentarlas como pruebas ante la concurrencia de un accidente y una culpabilidad que se debe determinar.
El perito forense hace uso de sus conocimientos en computación para conseguir evidencias digitales. Sus metodologías deben explicar, en cualquier caso, que la integridad y la autenticidad han formado parte de todo su proceso de trabajo, consiguiendo, con ello, una confiabilidad que se traduce en una veracidad para sus evidencias digitales presentadas.
Este es un profesional esencial cuando, en un accidente de tráfico se ha creado cualquier tipo de información digital o electrónica referente o relativa que puede arrojar información sobre la ocurrencia de cualquier acto.
¿Es necesario contratar los servicios de un perito en informática forense?
No. Ello dependerá del caso en particular. Aunque es cierto que en la actualidad prácticamente todos los casos cuentan con información electrónica o digital, en ocasiones el resto de pruebas son suficientes. También se puede dar el caso de que el acceso y el tratamiento de esas pruebas sea realizable por otro profesional, de manera que se vuelve innecesaria su contratación. Aun así, tenemos que decir, eso sí, que resulta muy recomendable cuanto hay un gran volumen de material digital y/o electrónico.
Deja una respuesta