Cuarenta años atrás, las computadoras eran máquinas colosales que sólo eran utilizadas por corporaciones multinacionales y agencias gubernamentales en países poderosos. Estas máquinas eran tan grandes y tan complejas, que inclusive requerían sus propios ambientes con temperatura controlada, para que los equipos funcionaran apropiadamente. Desde ese tiempo, podemos decir que han sufrido una metamorfosis hasta convertirse en equipos domésticos comunes, tan comunes que forman parte de nuestra vida cotidiana, como un teléfono o como un televisor.
En vista de que la mayoría de nosotros usamos las computadoras para comunicarnos, aprender, trabajar e inclusive para entretenimiento, llegamos a percibir a nuestros computadores como una extensión de nosotros mismos. Por esta razón, nuestras computadoras, en la mayoría de los casos, contienen información muy importante que puede ser usada como prueba o evidencia en procesos legales, tanto en materia penal como en civil, inclusive en el caso en que la evidencia no sea directamente relacionada con las computadoras.
Esta prueba o evidencia contenida en las computadoras, puede ser vasta, desde e-mail, a fotografías o documentos confidenciales. Más importante aun, esta prueba o evidencia puede ser frecuentemente recuperada de una computadora sospechosa, inclusive si el dueño o usuario de esta máquina borró la información, desfragmentó el disco o inclusive si lo formateó.
Es aquí donde aparece un área nueva de la Ciencia Forense, como es la Informática Forense. La definición básica del área de que trata este artículo es: "La práctica especializada de investigar datos de computadora con el propósito de descubrir y analizar información disponible, borrada u oculta que pueda ser usada como evidencia en un proceso legal".
La Informática Forense puede ser usada para descubrir evidencia potencial en una variedad de casos, incluyendo:
Delitos contra la Propiedad Intelectual, en caso de Software Pirata o documentos con el debido registro de derechos de Autor. LEY No. 1322 DE 13 DE ABRIL DE 1992.
Robo de Propiedad Intelectual y Espionaje industrial (que aunque no se crea, sí existe en nuestro país).
Lavado de Dinero, vía transferencia de fondos por Internet.
Acoso Sexual (vía e-mail); Chantaje o amenazas (vía e-mail).
Acceso no autorizado a propiedad intelectual.
Corrupción.
Destrucción de Información Confidencial.
Fraude (en apuestas, compras, etc. Vía e-mail).
Pornografía en todas sus formas, inclusive en la más devastadora: Pornografía infantil.
La Informática Forense combina técnicas especializadas con el uso de software sofisticado para ver y analizar información a la que no puede acceder el usuario ordinario. Esta información pudo haber sido "borrada" por el usuario meses o años antes de la investigación o inclusive pudo no haber sido guardada, pero puede aún estar presente en todo o en parte, en el disco duro de la computadora.
Es siempre recomendable para precautelar el interés del abogado, del cliente y de otros aspectos legales que se está tratando, el encontrar a un especialista que nos asista en todas las etapas, en la preparación de un proceso judicial, incluyendo aspectos como:
Determinar si la computadora en cuestión tiene o no información relevante al proceso judicial.
Asistir en la preparación y respuesta a interrogatorios.
Recibir y examinar información que está sólo accesible a través del uso de métodos y programas forenses.
Planificar y proveer testimonio del perito.
Para determinar si la computadora contiene información que puede servir como prueba o evidencia, el profesional debe, primero, crear una copia del disco duro en cuestión, que la llamaremos "imagen exacta del disco duro". El experto sólo examinará esta copia, protegiendo así el disco original de alteraciones inadvertidas. Esta imagen debe ser real BIT a BIT o milímetro a milímetro del original, no una simple copia de la información del original, sino una copia completa. Adquirir estas copias exactas, requiere el uso de técnicas forenses especializadas.
Estas copias "imagen exacta" son muy importantes, ya que cada vez que alguien enciende una computadora, muchos cambios son automáticamente hechos en la mayoría de los archivos. Por ejemplo, en un sistema Windows convencional, más de 160 alteraciones son hechas a los archivos, cuando una computadora es encendida. Estos cambios no son visibles para el usuario, pero estos cambios, que sí ocurren, pueden alterar o inclusive borrar evidencia, por ejemplo: fechas importantes relacionadas con la actividad criminal.
Asegurar la cadena de la prueba (que se refiere básicamente al momento desde la sospecha del abogado o de la parte, de que alguna información que puede ser usada como evidencia, está en una computadora, el primer acercamiento y evaluación del experto hasta el informe final) es tan importante para el especialista que hace la primera evaluación del disco y la evaluación de la información por su valor como evidencia, así como lo es para un médico forense en su área. El especialista en Informática Forense usa los denominados HASH CODES o Códigos Aleatorios para asegurar la cadena de custodia. Estos son cifras numéricas realmente largas, específicas para cada archivo y para cada disco, que son calculadas matemáticamente. Si un archivo o disco es cambiado inclusive en su más mínima parte, este Código Aleatorio también cambiará.
El análisis de informática forense es siempre útil en aspectos que aparentemente parecen poco relacionados con las computadoras. En algunos casos, información personal en una computadora, por ejemplo, en un caso de divorcio, el esposo puede haber escondido fondos mancomunados en una cuenta de banco secreta. En otro caso, un empleado, para comenzar su propia empresa, puede haber renombrado un paquete de computación desarrollado por su actual empleador. A pesar de que todos los actores en los casos mencionados han borrado la información que tienen en sus computadoras, el especialista en Informática Forense puede recuperar esta información de los discos duros de las computadoras.
Pero, ¿cómo es posible recuperar información o evidencia borrada? El sistema operativo de una computadora utiliza un directorio que contiene el nombre y la ubicación de cada archivo en el disco duro. Cuando un archivo es borrado, varios eventos tienen lugar en una computadora. Un archivo marcador de status es revelado para indicar que un archivo ha sido borrado. Un marcador de estado del disco es revelado para indicar que el espacio es ahora disponible para uso. Así, el usuario no puede ver el archivo listado en ningún directorio, pero en realidad nada se ha hecho al archivo. Este nuevo espacio es denominado espacio libre o no usado, hasta que otro archivo reescriba sobre este espacio; el especialista en Informática Forense puede recuperar este archivo en su integridad. El sobreescribir sobre el archivo puede ser causado por una variedad de actividades del usuario, entre ellas añadir un nuevo programa o crear nuevos documentos que son archivados donde el archivo "borrado" está. Solo cuando la información es sobre escrita por nueva información, esa parte o todo el archivo no es más recuperable a través de técnicas de informática forense.
El espacio libre o disponible para uso en los discos duros de las computadoras es dividido en sectores de igual tamaño. Cuando el usuario necesita almacenar información, el sistema operativo de la computadora automáticamente determina cuál de esos sectores será utilizado para almacenar esta información. En muchos casos, la información a ser almacenada no utiliza todo el espacio disponible en el sector o sectores designados. Cuando esto sucede, la información que fue previamente almacenada en el disco duro, permanece en el sector no usado al que lo denominan "sector inactivo". Lo cual implica que si parte del disco ha sido sobre escrito con nueva información, hay todavía la posibilidad de que alguna evidencia incriminante todavía quede en ese sector inactivo. Información importante o crítica para algún caso puede ser también recuperable a través de las diferentes técnicas de informática forense.
Esta información oculta o no visible para el usuario, está llena de detalles sobre el uso de la computadora, como ser páginas web visitadas, e-mail enviado y recibido, información sobre transacciones bancarias realizadas a través de Internet, documentos, cartas y fotografías que fueron creadas, modificadas o visitadas en muchos de los casos, inclusive si esta información no fue guardada en el computador por el usuario.
¿Cómo sucede esto? Para hacer que la información sea visible en el monitor de la computadora, el sistema almacena información en un archivo temporal. Cuando la computadora es posteriormente apagada, la información continúa existiendo en ese archivo temporal, pese a no haber sido guardada por el usuario.
Cuando un usuario accede a Internet, el buscador mantiene registros de los lugares visitados mediante las "cookies" que son archivos que el buscador usa para rastrear la actividad del usuario en Internet. Ellos proveen claves de acceso y otra información relevante para la actividad en Internet del usuario.
Programas específicos, incluyendo Microsoft Word, retienen información sobre cada documento que es creado, modificado o accedido dentro de los mismos documentos. Esta información, conocida como "metadata" narra la historia del documento, incluyendo la información del usuario que modificó y guardó el archivo, también el directorio y el archivo en el que ha sido guardado y si el documento ha sido impreso y en qué impresora. El especialista en informática forense puede recuperar metadata y conocer toda la información acerca de la vida pasada de ese archivo.
En muchos casos, aun cuando el usuario ha desfragmentado o reformateado el disco, la evidencia puede ser aún recuperada. Muchos lugares de almacenamiento en el disco o receptáculos no son alterados por el proceso de desfragmentación, ya que, como se dijo arriba, muchos documentos contienen información interna que describe fechas, usuarios y otra información que puede ser de gran valor para el caso. Y si bien es cierto que el reformateado de un disco reconstruye todo el sistema de archivos, no remueve la información que existió previamente en ese disco. Un especialista en informática forense puede, con el software correcto y con la experiencia necesaria, recuperar la mayor parte de lo que estaba en el disco.
¿Qué debe hacer el abogado si sospecha que este tipo de evidencia puede estar en la computadora de su cliente?
Primero que nada, controlar y reprimir su curiosidad natural. Recuerde que el simple hecho de encender una computadora cambia muchos archivos; esos cambios pueden alterar fechas importantes y cualquier acceso al disco es arriesgarse a borrar información pertinente y destruir así la cadena de custodia que debe existir.
Tratar de hacer lo posible para asegurar que la computadora permanezca intacta hasta que un especialista pueda crear una copia certificada (imagen exacta) del disco duro. Esta imagen o copia milímetro a milímetro puede ser examinada sin arriesgar la investigación.
Supongamos ahora que se tiene la sospecha de que alguien ya trató de ver el disco duro de la computadora en cuestión. Lo mejor es dejar la máquina tal cual está, ya sea que ésta esté prendida o apagada. Explique la situación al experto, quien puede manejar este caso y esas circunstancias.
En muchas situaciones, la evidencia resultante de la investigación del Informático Forense puede ser la diferencia entre ganar y perder un caso. Usualmente, la única evidencia que existe además de evidencia circunstancial, es la evidencia que puede ser encontrada como resultado de la labor del experto. Los Archivos de Datos en papeles pueden ser destruidos o perdidos. Los testigos pueden olvidar los hechos tal cual ocurrieron, o sólo recordar lo que les conviene o le conviene a la parte que los propuso para el proceso, sea éste civil, penal, etc. La evidencia de informática forense no puede ser refutada, ya que es el resultado de un proceso científico y existe en forma obviamente tangible.
Finalmente, para los lectores de Brújula, es necesario hacer una aclaración. Este artículo sólo tiene la intención de proveer una descripción simple y elemental de los hechos que rodean la labor de la Informática Forense. No es posible citar todos los posibles escenarios en que el especialista podría verse, ya que las posibilidades son virtualmente ilimitadas. Sin embargo, los hechos presentados son verdaderos y es la forma usual de proceder.
A la vez, también es la intención de este artículo proveer sólo una imagen general del proceso que se da en la informática forense; sería poco práctico y excesivo describir más detalles o aspectos más técnicos del análisis del disco. Para mayor información sobre aspectos técnicos de la Investigación en Informática Forense, visítenos en el Instituto de Ciencia Forense e Investigación Criminal ICFIC-UNIVALLE o también la página web de la Asociación Internacional de Especialistas en Investigación de computadoras.
BIBLIOGRAFÍA
Anonymous. Maximum Security: A Hacker’s Guide to Protecting Your Internet Site and Network, Second Edition. Indianápolis, Indiana: Sams, 1998.
Casey, Eoghan. Digital Evidence and Computer Crime: Forensic Science, Computers and the Internet. San Diego: Academic Press, 2000.
National Institute of Justice.Crime Scene Investigation: A Guide for Law Enforcement. Washington, D.C.: U.S. Department of Justice, National Institute of Justice, 2000. NCJ 178280.
Links Recomendados