La informática forense es la práctica de recopilar, analizar e informar sobre datos digitales de una manera que es legalmente admisible. Se puede usar en la detección y prevención de delitos y en cualquier disputa donde la evidencia se almacena digitalmente. La informática forense sigue un proceso similar al de otras disciplinas forenses y enfrenta problemas similares.
¿Cómo funciona la informática forense?
Como mencionamos, el objetivo de las técnicas forenses informáticas es buscar, preservar y analizar la información en los sistemas informáticos para encontrar pruebas potenciales de un ensayo. Muchas de las técnicas que usan los detectives en las investigaciones de la escena del crimen tienen contrapartes digitales, pero también hay algunos aspectos únicos en las investigaciones de la computadora.
Por ejemplo, al abrir un archivo de computadora se cambia el archivo; la computadora registra la hora y la fecha en que se accedió en el archivo. Si los detectives se apoderan de una computadora y luego comienzan a abrir archivos, no hay manera de asegurar que no hayan cambiado nada. Los abogados pueden impugnar la validez de las pruebas cuando el caso va a juicio.
Algunos individuos afirman que no es buena idea el hecho de usar información digital como evidencia. Si es fácil cambiar los datos de la computadora, ¿cómo puede usarse como evidencia confiable? Muchos países permiten la evidencia informática en los ensayos, pero eso podría cambiar si la evidencia digital no es confiable en casos futuros.
Las computadoras son cada vez más potentes, por lo que el campo de la informática forense debe evolucionar constantemente. En los primeros días de las computadoras, era posible que un único detective clasificara los archivos porque la capacidad de almacenamiento era muy baja. Hoy en día, con discos duros capaces de contener gigabytes e incluso terabytes de datos, es una tarea desalentadora. Los detectives deben descubrir nuevas formas de buscar evidencia sin dedicar demasiados recursos al proceso.
Conceptos básicos de la informática forense
El campo de la informática forense es relativamente joven. En los inicios de la informática, los tribunales consideraban que las pruebas de las computadoras no eran diferentes de cualquier otro tipo de evidencia. A medida que las computadoras se volvieron más avanzadas y sofisticadas, la opinión cambió: los tribunales se dieron cuenta de que la evidencia informática era fácil de corromper, destruir o cambiar.
Los investigadores se dieron cuenta de que era necesario desarrollar herramientas y procesos específicos para buscar evidencia en las computadoras sin afectar la información en sí. Los detectives se asociaron con científicos informáticos para analizar los procedimientos y herramientas adecuados que necesitarían utilizar para recuperar la evidencia de una computadora. Poco a poco, desarrollaron los procedimientos que ahora forman el campo de la informática forense.
Usualmente, los detectives deben asegurar una orden para buscar evidencia en la computadora de un sospechoso. La orden debe incluir dónde los detectives pueden buscar y qué tipo de evidencia pueden buscar. En otras palabras, un detective no puede simplemente cumplir una orden judicial y mirar donde le parezca sospechoso. Además, los términos de la orden no pueden ser demasiado generales. La mayoría de los jueces exigen que los detectives sean lo más específicos posible al solicitar una orden.
Por esta razón, es importante que los detectives investiguen al sospechoso tanto como sea posible antes de solicitar una orden. Considere este ejemplo: un detective obtiene una orden para buscar en la computadora portátil de un sospechoso. El detective llega a la casa del sospechoso y sirve la orden. Mientras está en el hogar del sospechoso, el detective ve una PC de escritorio. El detective no puede buscar legalmente la PC porque no estaba incluida en la orden original.
Factores que pueden afectar la duración de la investigación
Cada investigación informática es algo único. Algunas investigaciones solo pueden requerir una semana para completarse, pero otras pueden llevar meses. Estos son algunos factores que pueden afectar la duración de una investigación:
- La experiencia de los detectives
- La cantidad de computadoras que se buscan
- La cantidad de detectives de almacenamiento debe clasificarse (discos duros, CD, DVD y memorias USB)
- Si el sospechoso intentó ocultar o eliminar información
- La presencia de archivos cifrados o archivos que están protegidos por contraseñas
Algunos delincuentes cibernéticos han encontrado formas de dificultar aún más que los investigadores encuentren información sobre sus sistemas. Usan programas y aplicaciones conocidos como antiforense. Los detectives deben conocer estos programas y cómo deshabilitarlos si quieren acceder a la información en los sistemas informáticos.
¿Qué son los programas Antiforenses?
Los antiforenses puede ser la peor pesadilla de un investigador de computadoras. Los programadores diseñan herramientas de este tipo para dificultar o imposibilitar la recuperación de información durante una investigación. Esencialmente, antiforense se refiere a cualquier técnica, artilugio o software diseñado para dificultar la investigación de una computadora.
Hay docenas de formas en que las personas pueden ocultar información. Algunos programas pueden engañar a las computadoras al cambiar la información en los encabezados de los archivos. Un encabezado de archivo normalmente es invisible para los humanos, pero es extremadamente importante: le dice a la computadora a qué tipo de archivo está conectado el encabezado.
Si tuviera que renombrar un archivo mp3 para que tuviera una extensión .gif, la computadora aún sabría que el archivo era realmente un mp3 debido a la información en el encabezado. Algunos programas le permiten cambiar la información en el encabezado para que la computadora piense que es un tipo diferente de archivo. Los detectives que buscan un formato de archivo específico pueden omitir pruebas importantes porque parecía que no era relevante.
El cifrado es otra forma de ocultar datos. Cuando cifra datos, utiliza un conjunto complejo de reglas llamado algoritmo para hacer que los datos sean ilegibles. Por ejemplo, el algoritmo podría cambiar un archivo de texto en una colección aparentemente sin sentido de números y símbolos. Una persona que quiera leer los datos necesitaría la clave de encriptación, que revierte el proceso de encriptación para que los números y símbolos se conviertan en texto. Sin la llave, los detectives tienen que usar programas de computadora diseñados para descifrar el algoritmo de encriptación. Cuanto más sofisticado sea el algoritmo, más tiempo llevará descifrarlo sin una clave.
¿Por qué usan estos métodos antiforenses?
Algunas personas usan métodos antiforenses para demostrar cuán vulnerables y poco fiables pueden ser los datos informáticos. Si no puede estar seguro de cuándo se creó un archivo, cuándo se accedió por última vez o si alguna vez existió, ¿cómo puede justificar el uso de la evidencia de la computadora en un tribunal de justicia? Si bien esa puede ser una pregunta válida, muchos países aceptan evidencia informática en los tribunales, aunque los estándares de evidencia varían de un país a otro.