CAPITULO 2

LA INVESTIGACIÓN FORENSE

2.1 ETAPAS DE UNA INVESTIGACIÓN FORENSE

Una vez intervenido todo el material y tomadas las medidas necesarias para
asegurar la cadena de custodia comienza el trabajo propiamente dicho del
informático forense.

Por lo general la investigación nunca ha de llevarse a cabo sobre los

soportes de datos originales. Si se trata de un disco duro o un soporte que
admita acceso en modo escritura, la razón para ello es obvia: cuando el
investigador monta en su estación de trabajo las particiones de un soporte
de datos sospechoso con el propósito de examinarlas, aquellas pueden
experimentar algunos cambios.

Esto proporcionaría al abogado de la parte contraria argumentos para

impugnar la evidencia alegando que no se ha mantenido la cadena de
custodia. Los modernos sistemas de archivos −NTFS (en entornos Windows),
ext3, ext4, ReiserFS (para Linux), o HFS+ (Apple OSX)− disponen de una
funcionalidad de journaling o verificación de transacciones para hacer
posible la autorreparación de las estructuras de datos en caso de fallo o
apagado irregular del sistema. Al ejecutar su tarea, el journaling modifica
determinados archivos de registro. Esto sucede no solo tras un apagado
irregular, sino cada vez que se monta la partición.

Por similares razones jamás debe encenderse un ordenador que haya sido
intervenido para someterlo a un análisis forense. Aun tratándose de un
sistema sin journaling, el solo hecho de arrancarlo puede modificar varios
centenares de archivos en la partición donde se encuentra instalado el
sistema operativo.
Toda precaución es poca cuando se trabaja con elementos de evidencia
digital. Aunque los archivos alterados no sean significativos y contengan
únicamente información relativa al funcionamiento del sistema, resultará
muy difícil defenderlo ante un tribunal en el que la otra parte expone la tesis
opuesta: que la evidencia está alterada, existen indicios de ruptura en la
cadena de custodia o hemos sido negligentes en el tratamiento de las
pruebas.

Trabajar con imágenes forenses en vez de con el medio original también es

una buena práctica en relación con aquellos soportes que por ser de solo
lectura excluyan de antemano cualquier modificación del contenido, como
por ejemplo CD, DVD o disquetes con la pestaña de seguridad activada.

La destrucción accidental de un soporte de datos aportado como medio

probatorio, aunque sea por causas que no tengan que ver con su
procesamiento informático (calor, caída involuntaria o atasco dentro de la
unidad de lectura) puede resultar desastrosa para el caso.

2.1.1 ADQUISICIÓN (IMAGING)

En Informática Forense se denomina adquisición al procedimiento que

permite obtener los medios digitales que han de ser sometidos
posteriormente a análisis. Ya hemos dicho que por norma no se trabaja con
el soporte original sino con una copia a bajo nivel del mismo. La copia puede
estar realizada en un soporte físico duplicado o consistir en un archivo de
ordenador.

Dicho archivo no consiste en un simple backup sino en una imagen

completa del medio de almacenamiento de datos, incluyendo el espacio
no asignado por los sistemas de archivos, los archivos borrados e incluso
datos que pudieran haber existido antes de que el soporte fuese
formateado.
La imagen completa de un soporte incluye todas las particiones, los
espacios de disco duro sin utilizar entre las mismas, la tabla de particiones,
el sector de arranque e incluso zonas reservadas como la HPA (Host
Protected Area, Área Protegida del Anfitrión) y la DCO (Data Configuration
Overlay, Superposición de configuración de datos), generalmente
inaccesibles al sistema y utilizadas por el fabricante para incluir información
especial o reducir la capacidad de almacenamiento de un dispositivo por
razones de diversa índole, generalmente tecnológicas o de marketing.

Para obtener una imagen a bajo nivel es necesario conectar el soporte de

datos a una estación de trabajo provista de herramientas que permitan el
acceso en modo de solo lectura. Mucho mejor sería forzar el modo de solo
lectura mediante dispositivos de hardware que impidan cualquier
operación de escritura (write blocker). Las herramientas de software
utilizadas para la adquisición forense (dd, EnCase, FTK, Air, etc.) deben ser
capaces de funcionar independientemente de las estructuras de datos del
sistema de archivo.

El procedimiento suele ser el mismo para todos los medios: discos duros
(internos, portátiles o de estado sólido), llaves USB, disquetes, tarjetas de
memoria, CD, etc. De cada uno de los soportes de datos deberá realizarse
una suma de verificación a través de funciones hash aplicando algoritmos
estándar (MD5 o SHA) admitidos por la generalidad de especialistas en la
materia. Las funciones hash se emplean en criptografía por sus propiedades
de cifrado asimétrico. Su característica más notable consiste en que a partir
de los datos digitales de entrada –correspondientes en este caso a la
imagen del medio adquirido− generan un código hexadecimal que varía
de modo perceptible cuando el archivo original experimenta cualquier
cambio, aunque sea un solo byte. Una vez realizado el hash y a partir del
código que aquel proporciona, resulta del todo imposible recuperar los
datos originales; tanto da si se trata de un archivo de ordenador, una
contraseña o el contenido de un disco duro. De este modo el hash, que
puede calcularse al vuelo mientras la imagen del soporte de datos está
siendo copiada, actúa como certificado digital para la validación de los
elementos de evidencia adquiridos por el investigador forense.

2.1.2 ANÁLISIS

El análisis consiste en la identificación, el estudio y la interpretación de los

elementos de evidencia existentes en el soporte de datos. En esta etapa el
investigador lleva a cabo un examen detallado de los sistemas de archivos,
intenta detectar archivos sospechosos y analiza el contenido de los mismos,
realiza operaciones de búsqueda de caracteres, elabora estadísticas y
ejecuta otras tareas de investigación. La última etapa del trabajo consiste
en interpretar los resultados y preparar el informe.

2.1.3 PRESENTACIÓN

Una vez que el investigador ha terminado su análisis deberá preparar sus

resultados para que los mismos puedan ser compartidos con las personas
que se van a encargar de utilizarlos con fines prácticos o hacerlos valer ante
los tribunales. En el informe definitivo deberá dejarse constancia documental
precisa de todas las operaciones realizadas, los elementos de evidencia
localizados y cualquier otro aspecto de interés. Adviértase que hasta el
momento no se ha hablado de evidencia, sino de elementos de evidencia.
La razón reside en el carácter acumulativo de la prueba.

En el transcurso de su actividad el investigador no deberá dejarse llevar en

ningún momento por la suposición de que su tarea consiste en descubrir la
pista definitiva que permita resolver el caso con un brillante golpe de efecto.
Por el contrario, su labor consiste en encontrar indicios y señales que se irán
agregando a un inventario de artefactos con el objeto de interpretarlos de
un modo profesional y circunspecto dentro del contexto técnico en el que
desempeña su labor.

La presentación, como pronto se verá, lejos de ser un trámite formal para

cumplir el expediente, posee una importancia decisiva de cara a las
posteriores actuaciones judiciales o administrativas. Posiblemente el informe
vaya destinado al jefe de seguridad de la empresa. Tal vez vaya a parar a
un despacho de abogados o al departamento de regulación de daños de
una compañía de seguros. Quizás el propio investigador forense se vea
obligado a comparecer ante un tribunal para rendir cuentas de su trabajo.

2.1.4 LA LÍNEA DE TIEMPO

La línea de tiempo, de la cual volveremos a hablar más adelante, es un

concepto que ayuda al investigador a comprender la evolución de los
hechos y las relaciones de causa y efecto existentes en los mismos. Ningún
análisis forense serio se puede permitir dejarla de lado. Idealmente consta
de una sucesión de momentos indicados por algún tipo de indicio (por
ejemplo, entradas en archivos de registro, creación de un archivo en fecha
y hora determinadas) en los que tuvieron lugar intentos de intrusión en el
sistema u operaciones no autorizadas de cualquier otro tipo: el sospechoso
inició sesión, ejecutó un comando para abrir la conexión con una máquina
remota, creó, borró o modificó un archivo, etc. La línea de tiempo se
construye a partir de todos aquellos elementos de evidencia que
contengan información temporal fiable: marcas de tiempo (MAC) de
archivos, fechas y horas halladas en metadatos de archivos y en logs del
sistema, historiales de Internet, etc.

La elaboración de una línea de tiempo es un proceso predominantemente

manual, aunque existen algunas herramientas que facilitan la labor
extrayendo datos temporales del sistema y poniéndolos a disposición del
investigador tabuladas o por medio de listas. Además de situar los hechos
en una perspectiva cronológica, la línea de tiempo añade información
contextual. Por ejemplo, las marcas de tiempo MAC de un archivo nos dicen
en qué momento fue creado o modificado, y también cuándo sucedieron
otros hechos que pueden estar relacionados a la misma operación o incluso
otros que no han sido corroborados aún, pero resultan necesarios en función
de las características técnicas del sistema. La línea de tiempo ayuda a
excluir la ambigüedad en las afirmaciones y aumenta la confianza del
investigador con respecto a su propio análisis de los datos disponibles.

2.2 REQUISITOS DE LA INVESTIGACIÓN FORENSE

De poco servirían las herramientas y los métodos utilizados por el investigador

si no pudieran acreditar una cierta solvencia y validez ante el tribunal. Para
ello es necesario que cumplan determinados requisitos. No olvide que los
resultados de su labor investigadora deberán ser puestos a disposición de
autoridades judiciales y otras instancias decisorias.

Una herramienta forense, tanto si está homologada como si no, debe

demostrar en su funcionamiento unos niveles de eficacia e integridad lo
suficientemente altos para ganarse el respeto tanto de la comunidad
profesional de investigadores como del personal que trabaja en la
administración de justicia.

Lo mismo cabe decir de los métodos de trabajo y la forma de exponer

resultados. Alexander Geschonneck, analista del departamento de
Informática Forense de la sociedad de auditores de contabilidad KPMG AG
WPG, Berlín, y autor de un libro clásico sobre la materia (Computerforensik,
dpunkt.verlag, Heidelberg, 2008), establece seis requerimientos esenciales
que toda investigación debe cumplir sin falta.
 • Aceptabilidad.
• Integridad.
• Credibilidad.
• Relación causa-efecto.
• Carácter repetible.
• Documentación.

2.2.1 ACEPTABILIDAD

Las herramientas y métodos del investigador deberán ser conocidos y

aceptados por los profesionales de su sector. La introducción de tecnologías
innovadoras puede resultar problemática, porque no siempre lo más
moderno es también lo mejor. Lo ideal sería que otros investigadores
hubieran trabajado previamente con esos procedimientos y existan informes
positivos sobre la eficacia de los mismos. Independientemente de la
cualificación siempre se planteará una cuestión de confianza: si el método
en cuestión es tan bueno y somos los únicos en servirnos de él, ¿por qué
nadie más lo aplica?

2.2.2 INTEGRIDAD

Las pruebas no deben sufrir alteraciones de ningún tipo. Generalmente el

medio −disco duro, pendrive o CD/DVD− se precinta después de haber
obtenido tres copias cuyos hashes han de coincidir. Con una de ellas llevará
a cabo su análisis el investigador. Otra se guardará como respaldo, y la
tercera será puesta a disposición de la parte contraria para que esta pueda
realizar sus propias averiguaciones, manifestar su posición al respecto o
elaborar un contrainforme.

2.2.3 CREDIBILIDAD

Todo lo que se haga debe ser demostrable. No basta con utilizar un software
del cual nada se sabe, salvo que si lo alimentamos con determinados datos
siempre brotan de él determinados resultados. El investigador debe
acreditar un conocimiento adecuado de sus herramientas para poder
explicar de manera plausible lo que consigue de ellas.

2.2.4 RELACIÓN CAUSA-EFECTO

Aunque no es cometido del investigador extraer conclusiones de ningún tipo

sobre culpabilidad o responsabilidades de las personas que intervienen en
los hechos, los métodos empleados por aquel deben hacer posible una
explicación de los acontecimientos en términos de causa y efecto.

2.2.5 CARÁCTER REPETIBLE

Este requisito se explica por sí mismo. Sean cuales fueren los métodos de
trabajo empleados o la persona que realiza la investigación, los mismos
datos de entrada deberán producir los mismos resultados.

2.2.6 DOCUMENTACIÓN

Cada paso dado por el investigador deberá disponer de una descripción

detallada y exacta, al objeto de que los informes no puedan ser
impugnados por culpa de ambigüedades o negligencias de ningún tipo.
Especial cuidado deberá tenerse a la hora de documentar la cadena de
custodia que es la parte más sensible de todo el proceso y la que con más
facilidad podrá atacar la parte contraria en caso de localizar la menor
irregularidad.

Para ello sería conveniente que el investigador elaborase sus propias hojas
de control de medios probatorios digitales, adjuntándolas debidamente al
informe del caso. Estas hojas deben cumplimentarse para cada uno de los
soportes de datos manipulados durante la investigación, y en ella habrán
de constar claramente la denominación del objeto (disco duro, agenda
digital, CD-ROM, listado de impresora, ordenador portátil, etc.), el número
de unidades, el propietario (si es conocido).
Además, la hoja debe facilitar una descripción precisa del soporte y, en
caso de que hubiera otras personas involucradas en el caso además del
propio investigador, dejar constancia

documental precisa de quién, cuándo y por qué motivo concreto accede

a los medios probatorios.

A modo de ejemplo se ofrece el siguiente modelo, que podrá ser

modificado y complementado por el investigador en función de sus propias
necesidades. Sea cual sea el sistema del cual se sirva, lo más importante a
tener en cuenta es que la cadena de custodia debe quedar documentada
de manera precisa, completa y sin huecos de ningún tipo.
2.3 VALORACIÓN JURÍDICA DE LA PRUEBA DIGITAL

2.3.1 INTERÉS LEGAL DE LA PRUEBA

Para el técnico informático la obtención de elementos de evidencia

electrónica no plantea mayor dificultad que la que pueda presentarse a la
hora de hacer un backup: conectar discos, encender el ordenador, un par
de clics con el ratón o teclear unas cuantas órdenes en línea de comando
y sentarse a esperar hasta que el sistema termina. Pero el ámbito jurídico, al
cual va destinada la evidencia, no se rige por la mentalidad lineal del
ingeniero, sino por las alambicadas categorías del derecho. El destino de
toda prueba digital es ser expuesta ante los tribunales, y su solvencia jurídica
dependerá de las circunstancias en que haya sido obtenida.

2.3.2 PRUEBA FÍSICA Y PRUEBA PERSONAL

Pruebas físicas –no en sentido literal, sino en el de la validez jurídica de las

mismas− pueden ser discos duros, archivos de registro, informes periciales o
huellas dactilares. Esta evidencia es llevada al proceso por personas que
tienen que explicarlas y hacer valer su carácter probatorio en relación con
los hechos juzgados. Por sí misma la prueba física, es decir, el objeto
evidencial hallado en el lugar de los hechos, no demuestra nada. Haber
encontrado huellas dactilares en el arma homicida no implica que quien las
dejó cometiera el crimen necesariamente. También cabe pensar que tuvo
el arma en sus manos en un momento anterior, para limpiarla o darle grasa.

Por el contrario, el verdadero agresor podría haber usado unos guantes para
disparar. Del mismo modo hallar archivos de pornografía infantil en un
ordenador no inculpa automáticamente a su propietario. Quizás sin saberlo
él una red de ciberdelincuentes ha estado utilizando parte de su disco duro
como almacén de materiales ilícitos a través de Internet.
La fuerza probatoria no se manifiesta hasta que intervienen las personas que
hallaron la evidencia o aquellas que han de explicarla en relación con los
hechos que se juzgan. Existe por lo tanto una estrecha relación entre la
prueba física (disco duro, archivo de registro, mensaje de correo
electrónico, volcado de memoria, fotografía digital) y la prueba personal
(intervención del investigador forense ante el juez). El carácter probatorio de
una evidencia, ya sea electrónica o de cualquier otro tipo, depende de la
cualificación profesional y la solvencia de la persona encargada de
explicarla en el proceso.

2.3.3 CUALIFICACIÓN DEL INVESTIGADOR FORENSE

La presentación de los elementos de evidencia y los métodos utilizados en

la consecución de aquellos van a ser comprobados por el tribunal
minuciosamente. Pierde credibilidad quien aporta pruebas de forma
inadecuada, realizando afirmaciones rebatibles o divagando
caprichosamente acerca de la evidencia y sus posibles significados. El juez
no tomará en serio al investigador que de manera imprudente y basándose
en su propio convencimiento realice afirmaciones audaces relativas a la
culpabilidad o inocencia del acusado. Decidirlo es competencia exclusiva
de la administración de Justicia. Si el investigador no realiza bien su trabajo
la prueba puede quedar invalidada en el proceso.

Solvencia y credibilidad de la persona constituyen elementos esenciales de

la prueba. La persona que presenta y explica la prueba es tan importante
como la prueba en sí. Un buen informe puede arruinarse por la defensa
impropia del mismo, por ejemplo, hablando de meras suposiciones como si
fueran hechos irrefutables. Por el contrario, una intervención austera y
profesional, acompañada de una documentación minuciosa y alegaciones
objetivas, resulta de gran ayuda a la hora de presentar pruebas electrónicas
ante un tribunal.
2.3.4 LA ADQUISICIÓN: FASE CRUCIAL

Es en la obtención de los elementos de evidencia donde las buenas

prácticas han de observarse con mayor rigor. El punto de partida de la
investigación forense lo constituye la imagen a bajo nivel mediante flujo de
bits obtenida a partir del soporte de datos. Conviene recordar que no
estamos recuperando una tesis doctoral perdida por un profesor universitario
a consecuencia de un fallo en el disco duro, ni las fotos de las vacaciones
que se nos borraron accidentalmente por culpa de un virus. Estamos a punto
de tomar parte en un proceso que puede tener graves consecuencias
cuando lo que se juzga son responsabilidades penales. La pericia técnica
no es suficiente. De lo que se trata es de preservar elementos de evidencia,
asegurar una cadena de custodia y realizar duplicados exactos resistentes
a las sumas de verificación y los alegatos de la parte contraria.