Capitulo 2 Informatica Forense
Capitulo 2 Informatica Forense
Capitulo 2 Informatica Forense
LA INVESTIGACIÓN FORENSE
Una vez intervenido todo el material y tomadas las medidas necesarias para
asegurar la cadena de custodia comienza el trabajo propiamente dicho del
informático forense.
Por similares razones jamás debe encenderse un ordenador que haya sido
intervenido para someterlo a un análisis forense. Aun tratándose de un
sistema sin journaling, el solo hecho de arrancarlo puede modificar varios
centenares de archivos en la partición donde se encuentra instalado el
sistema operativo.
Toda precaución es poca cuando se trabaja con elementos de evidencia
digital. Aunque los archivos alterados no sean significativos y contengan
únicamente información relativa al funcionamiento del sistema, resultará
muy difícil defenderlo ante un tribunal en el que la otra parte expone la tesis
opuesta: que la evidencia está alterada, existen indicios de ruptura en la
cadena de custodia o hemos sido negligentes en el tratamiento de las
pruebas.
El procedimiento suele ser el mismo para todos los medios: discos duros
(internos, portátiles o de estado sólido), llaves USB, disquetes, tarjetas de
memoria, CD, etc. De cada uno de los soportes de datos deberá realizarse
una suma de verificación a través de funciones hash aplicando algoritmos
estándar (MD5 o SHA) admitidos por la generalidad de especialistas en la
materia. Las funciones hash se emplean en criptografía por sus propiedades
de cifrado asimétrico. Su característica más notable consiste en que a partir
de los datos digitales de entrada –correspondientes en este caso a la
imagen del medio adquirido− generan un código hexadecimal que varía
de modo perceptible cuando el archivo original experimenta cualquier
cambio, aunque sea un solo byte. Una vez realizado el hash y a partir del
código que aquel proporciona, resulta del todo imposible recuperar los
datos originales; tanto da si se trata de un archivo de ordenador, una
contraseña o el contenido de un disco duro. De este modo el hash, que
puede calcularse al vuelo mientras la imagen del soporte de datos está
siendo copiada, actúa como certificado digital para la validación de los
elementos de evidencia adquiridos por el investigador forense.
2.1.2 ANÁLISIS
2.1.3 PRESENTACIÓN
2.2.1 ACEPTABILIDAD
2.2.2 INTEGRIDAD
2.2.3 CREDIBILIDAD
Todo lo que se haga debe ser demostrable. No basta con utilizar un software
del cual nada se sabe, salvo que si lo alimentamos con determinados datos
siempre brotan de él determinados resultados. El investigador debe
acreditar un conocimiento adecuado de sus herramientas para poder
explicar de manera plausible lo que consigue de ellas.
Este requisito se explica por sí mismo. Sean cuales fueren los métodos de
trabajo empleados o la persona que realiza la investigación, los mismos
datos de entrada deberán producir los mismos resultados.
2.2.6 DOCUMENTACIÓN
Para ello sería conveniente que el investigador elaborase sus propias hojas
de control de medios probatorios digitales, adjuntándolas debidamente al
informe del caso. Estas hojas deben cumplimentarse para cada uno de los
soportes de datos manipulados durante la investigación, y en ella habrán
de constar claramente la denominación del objeto (disco duro, agenda
digital, CD-ROM, listado de impresora, ordenador portátil, etc.), el número
de unidades, el propietario (si es conocido).
Además, la hoja debe facilitar una descripción precisa del soporte y, en
caso de que hubiera otras personas involucradas en el caso además del
propio investigador, dejar constancia
Por el contrario, el verdadero agresor podría haber usado unos guantes para
disparar. Del mismo modo hallar archivos de pornografía infantil en un
ordenador no inculpa automáticamente a su propietario. Quizás sin saberlo
él una red de ciberdelincuentes ha estado utilizando parte de su disco duro
como almacén de materiales ilícitos a través de Internet.
La fuerza probatoria no se manifiesta hasta que intervienen las personas que
hallaron la evidencia o aquellas que han de explicarla en relación con los
hechos que se juzgan. Existe por lo tanto una estrecha relación entre la
prueba física (disco duro, archivo de registro, mensaje de correo
electrónico, volcado de memoria, fotografía digital) y la prueba personal
(intervención del investigador forense ante el juez). El carácter probatorio de
una evidencia, ya sea electrónica o de cualquier otro tipo, depende de la
cualificación profesional y la solvencia de la persona encargada de
explicarla en el proceso.