Para cerrar la serie de reportajes sobre seguridad informática que hemos estado publicando esta semana, ahora compartiremos uno de Jorge Chávez Morales, periodista venezolano del diario Últimas Noticias, donde profundiza en la informática forense. Si no sabes qué es eso, te invitamos a leer este interesante trabajo que te explica cómo las computadoras no dejan de hablar “ni muertas”…
En marzo de 2008, la certificación que la Policía Internacional (Interpol) hizo en Colombia de los archivos que contenían las computadoras que presuntamente le fueron decomisadas al asesinado líder de las Fuerzas Armadas Revolucionarias de Colombia (Farc), Raúl Reyes, puso sobre el tapete dos palabras que para muchos eran desconocidas: «Informática Forense«.
La incorporación de las tecnologías de información a la vida cotidiana, en las telecomunicaciones y también en los procesos administrativos, ha hecho que sea necesario incluir a los medios informáticos como elementos que tengan una carga probatoria en un proceso judicial.
Los nombres varían según los países en los que se lleve a cabo el trabajo. «Informática Forense», «Cómputo Forense» y «Forénsica Digital» remiten a lo mismo: lo más parecido al trabajo que realiza un médico forense durante una autopsia, pero esta se realiza por expertos a una máquina.
Rafael Núñez, especialista en cómputo forense y director de Intelicorp, una empresa de consultoría y seguridad informática y física, explicó que el cómputo forense no es más que la investigación técnica científica que, utilizando métodos científicos, practican especialistas donde hayan dispositivos de manejo de información como computadoras, teléfonos celulares, palms, pendrives, PDA, CD y DVD.
«Esta ciencia tiene por objeto el estudio de la evidencia digital, para entregar a los fiscales y jueces los elementos que deban tomar en cuenta cuando haya que decidir con base en pruebas de naturaleza digital», señaló Núñez.
Procedimiento. Una investigación forense aporta los mecanismos necesarios para la identificación, preservación, extracción y documentación de la evidencia digital de forma segura y precisa. Según este experto, es muy importante que los especialistas que intervengan en una investigación forense formen parte de una institución reconocida internacionalmente o de una organización policial a las cuales los ate acuerdos de legalidad y confidencialidad, de tal manera que no exista el riesgo de un mal uso de la evidencia.
«Lo primero que debe hacer todo investigador forense es la recolección de los datos y su preservación. Luego, viene el análisis y, finalmente, el informe y presentación de evidencias», añadió Núñez. Para los investigadores, lo más importante es lo que denominan la «cadena de custodia», que debe estar documentada en su totalidad en actas, pero la evidencia digital se documenta mediante herramientas informáticas y una cadena de custodia física del bien informático.
Existen varias de esas herramientas que son utilizadas en todo el mundo, como la denominada Encase, que utilizan generalmente los Gobiernos europeos y de Estados Unidos, en cuyo país se creó. También existe la denominada AccessData, que es la que, por ejemplo, utiliza el Gobierno de Colombia y otros países europeos, además de EEUU. Estas herramientas logran que se cumplan los principios, siempre y cuando cuenten con un personal especializado y certificado.

Encase Software
Pasos por seguir. Núñez indica que durante la investigación lo primero que se hace es sacar una copia exacta, una réplica del disco duro sin modificarlo, lo que también se conoce como imagen forense. Si la computadora está encendida, lo recomendable es no apagarla, «porque hay información en la memoria activa que puede perderse, además de que la información de la memoria RAM es definitivamente muy volátil.

La búsqueda y extracción de datos se hace en todos los elementos que den pistas sobre la información y los usos de las computadoras
Se hace todo esto para que los archivos originales se mantengan intactos. Después de conseguida la réplica, es que comienza la cadena de custodia». Seguidamente, según Núñez, los expertos hacen uso de una función matemática conocida como Hash, que permite identificar si el contenido del medio por analizar permanece idéntico. «Eso da un código que valida que el comienzo y el final de la investigación es el mismo. Eso demuestra que no se modificaron los datos; viene a ser como un sello de agua de seguridad. Si se demostrara que se cambió o modificó un solo bit, inmediatamente la evidencia podría dejar de tener valor legal y cualquier juez podría fácilmente desecharla», añadió.
Existen numerosos casos en los que el valor de «evidencia» se perdió por el solo hecho de haber encendido la computadora y haber revisado algunos archivos. «Si alguien hiciera eso, cualquier conclusión final deja de tener valor legal y debe ser desechada como evidencia», sostuvo Núñez.
Evidencia perdida. Los expertos en el tema sostienen que el simple acto de encender la computadora antes de sacar una réplica del disco duro altera la data, y en ese caso, a un juicio, significaría la pérdida de la evidencia y, como tal, del caso.
«La cadena de custodia se intercala con quien ha supervisado, adquirido, controlado o analizado la evidencia. Los investigadores forenses deben demostrar todo lo que ha pasado con la evidencia desde el momento mismo de la incautación hasta la presentación eventual en la corte. Hay sobrados ejemplos en los que la mala praxis de los técnicos hicieron perder juicios en las cortes», explicó Núñez.
Es decir, que el perito o práctico en materia civil y afines debe ser extremadamente cauteloso en el ejercicio de sus funciones, regidas por el principal dispositivo, por cuanto la extralimitación en el encargo pericial puede traducirse fácilmente en un delito electrónico.
Según el abogado Raymond Orta Martínez, perito en informática forense, los sistemas instalados en los ordenadores utilizan en su mayoría los denominados archivos temporales, denominados también memoria virtual, que contienen trazas de las operaciones realizadas en los mismos, así como otro tipo de datos, imágenes y archivos susceptibles de ser recuperados, aún cuando se haya intentado borrarlos.
Continúa Orta señalando que una de las garantías que debe ofrecer el perito a las partes y al juez es la verificación de la identidad o correspondencia entre los archivos originales y sus duplicados por medio de la obtención de valores matemáticos de comprobación conocidos como Hash, que son valores numéricos.
Criptografía. Muchas pruebas informáticas han sido encontradas cifradas, pero eso no ha sido obstáculo para que no puedan ser descifradas. Rafael Núñez sostiene que las criptografías son funciones matemáticas con cierto tipo de aplicación factorial o fórmulas que generan un algoritmo que esconde el mensaje, y contiene una llave privada y otra pública. «Uno de los software más famosos para cifrar información es el PGP comercial«.

encriptación en kernel de Linux
Reconstrucción. La reconstrucción de los hechos informáticos incluye conceptualmente el establecimiento de la secuencia de producción de actividad en una computadora o en redes. Para los peritos en cómputo forense, no hay códigos que no se puedan descifrar, así se encuentren cifradas. Igual que en la autopsia a un cadáver, el cómputo forense puede determinar con exactitud pruebas irrefutables, con cuya valoración un juez podría fácilmente enviar a un acusado a prisión, siempre y cuando estas pruebas no hayan sido manipuladas.
Jorge Chávez Morales
Vía: Ultimas Noticias