El análisis de la evidencia digital trata de la recopilación, procesamiento e interpretación de pruebas digitales, tales como documentos electrónicos, listas de números telefónicos y registros de llamadas, los registros de la ubicación de un dispositivo en un momento dado, correos electrónicos, fotografÃas y mucho más.
Â
Además de las tradicionales máquinas de escritorio y ordenadores portátiles, los dispositivos digitales que almacenan datos de valor posible en las investigaciones penales incluyen teléfonos móviles, dispositivos GPS, cámaras digitales, asistentes digitales personales (PDA), grandes servidores y dispositivos de almacenamiento, consolas de videojuegos (por ejemplo, PlayStation y Xbox), y reproductores de medios portátiles (por ejemplo, los iPods). Los medios de almacenamiento asociados a estos dispositivos en la actualidad, se dividen en tres grandes categorÃas. La primera, memoria magnética, incluye discos duros, disquetes y cintas. La segunda memoria óptica, incluye discos compactos (CD) y discos versátiles digitales (DVD). La tercera, almacenamiento eléctrico, incluye unidades flash USB, algunas tarjetas de memoria, y algunos microchips. Estos elementos son los más comunes en materia penal y de contrainteligencia, pero a los laboratorios se les ha pedido estudiar elementos tales como relojes de buceo en las investigaciones de muerte y las cajas negras en accidentes de aviones.
La proliferación de ordenadores y dispositivos relacionados en los últimos 30 años, ha dado lugar a cambios significativos en la expansión de los tipos de actividades delictivas que generan las pruebas digitales. Inicialmente, las computadoras eran el arma o el objeto del delito. En los primeros dÃas, la mayorÃa de los delitos informáticos implicaban la manipulación de los programas informáticos de grandes negocios, con el fin de robar dinero u otros recursos. A medida que las computadoras se volvieron más populares, se convirtieron en contenedores de almacenamiento para las evidencias. Los traficantes de drogas, y delincuentes de cuello blanco comenzaron a llevar las hojas de cálculo computarizado que detallaba sus transacciones. Las cámaras digitales e Internet han hecho cada vez más accesible la pornografÃa infantil, y los ordenadores actúan como un gabinete de archivos digitales para contener este material de contrabando. Por último, los medios digitales se han convertido en testigos de las actividades diarias. Muchas personas tienen dos teléfonos celulares con mensajes de texto y/o la capacidad de correo electrónico, varias computadoras, un sistema de alarma en el hogar, un GPS en el coche, y más; aún los niños, a menudo poseen, algún subconjunto de estos artÃculos. Los lugares de trabajo utilizan lectores de tarjetas magnéticas para permitir el acceso a los edificios. La mayorÃa de la comunicación implica algún tipo de ordenador, y al final de cada dÃa, cientos de megabytes de datos pueden haber sido generados acerca de donde han estado, la rapidez con que llegaron, a quienes le hablaron, e incluso lo que se dijo. Los depredadores sexuales acechan a sus vÃctimas en lÃnea a través del correo electrónico, chat y mensajerÃa instantánea. Incluso los coches para descansar, ya están equipados con dispositivos GPS. Por último, los sistemas informáticos se han convertido (con una frecuencia cada vez mayor) en las vÃctimas de control no autorizado o intrusiones. Estas intrusiones suelen dar lugar a la manipulación de archivos y la filtración de información confidencial. Además, las computadoras en los automóviles que controlan la velocidad en la pista, son valiosas para la reconstrucción de accidentes. Como resultado, casi todos los delitos podrÃan tener evidencia digital asociada a ella.
Información de muestras y recolección:
Las mejores prácticas para la obtención de pruebas digitales, muy a menudo exige a la persona en el lugar para desconectar el cable de alimentación para el ordenador y equipos periféricos relacionados (por ejemplo, monitor, impresora) y aprovechar estos elementos, asà como cualquier medio de almacenamiento suelto, como memorias USB y discos compactos. Este método funciona bien en la mayorÃa de los casos. Sin embargo, algunos datos (como contraseñas escritas recientemente, programas maliciosos y programas activos de comunicación), son volátiles y están almacenados en los chips electrónicos del sistema. En estas circunstancias, esta información se pierde cuando el dispositivo está apagado. En las investigaciones de intrusión o en los casos en que se utiliza el software de encriptación, esta información volátil podrÃa ser la clave para un análisis exitoso y el enjuiciamiento.
Los teléfonos celulares y la capacidad de Internet inalámbrica presentan otro desafÃo: si estos dispositivos están encendidos mientras están en custodia de la policÃa, podrÃan ser accedidos en forma remota y alterados por un sospechoso.
Los análisis
El enfoque tÃpico de examinar un equipo consta de dos fases principales. La primera es la fase de formación de imágenes. Durante este proceso, el dispositivo de almacenamiento (por lo general un disco duro) está equipado con un aparato que impide que cualquier nueva información pueda ser escrita. Entonces, todos los datos se copian en un nuevo disco duro en blanco. La copia se compara con el original, más a menudo mediante el uso de un algoritmo matemático llamado extracto de mensaje-5, también conocido como hash MD5. El valor hash MD5 da una serie única de números y letras para cada archivo.
Estos archivos, llamados lógicos, son imágenes, documentos, hojas de cálculo y archivos de correo electrónico que han sido guardados por el usuario en varias carpetas o directorios. A continuación, la copia forense se examina para ver los archivos que hayan sido previamente eliminados. Los ficheros informáticos se llaman a veces fÃsicos, porque los datos están fÃsicamente presentes en el disco duro pero no están lógicamente disponibles para el sistema operativo del ordenador. Estos archivos constituyen una prueba latente.
Por último, se examinan los archivos del sistema que se crean y guardan mediante el sistema operativo. Estos archivos son análogos a una cinta de vigilancia que muestra los programas que se ejecutan en el equipo y los archivos que se cambiaron. El objetivo de la mayorÃa de estos exámenes es encontrar archivos con información de valor probatorio y descubrir información acerca de cuándo y cómo estos archivos llegaron a estar en el equipo.
La evidencia digital ha experimentado un proceso de maduración rápida. Esta disciplina no se inició en los laboratorios forenses. En su lugar, las computadoras tomadas como evidencia fueron estudiadas por agentes de policÃa e investigadores que tenÃan algún interés o experiencia en computadoras. En los últimos 10 años, este proceso se ha vuelto más sistemático y con sujeción a los rigores y las expectativas de otros campos de la ciencia forense. Tres retos permanecen: (1) la comunidad de la evidencia digital no tiene un programa de certificación o lista de tÃtulos para los examinadores forenses digitales, (2) algunos organismos todavÃa tratan el examen de la evidencia digital como una investigación en lugar de una actividad forense, y (3) existe una gran variabilidad e incertidumbre acerca de la educación, la experiencia y el entrenamiento de los practicantes de esta disciplina.
Por último, el análisis de evidencia digital se diferencia de otras disciplinas de las ciencias forenses, porque el examen no sólo genera un informe forense, sino también trae a la luz documentos, hojas de cálculo e imágenes que pueden tener valor probatorio. Distintos organismos han manejado estos archivos generados en diferentes maneras: algunos los tratan como expuestos, mientras que otros las tratan como la prueba indirecta que requiere una cadena de custodia y protección especial.
Un creciente número de colegios y universidades ofrecen cursos de seguridad informática y computación forense. Sin embargo, la mayorÃa de las fuerzas del orden carecen de personal suficiente de expertos en seguridad informática.
Â
Â
Lic. Carlos Alberto Guzmán
Â
RSS Comentarios
