¿Qué es la informática forense?
La informática forense es una subdivisión particular de la ciencia forense que se ocupa de las pruebas informáticas y digitales relevantes para las investigaciones legales. En los últimos años, los ordenadores se han utilizado cada vez más en actividades delictivas, como robos, fraudes, piratería informática, falsificación de software, creación de virus informáticos y pornografía infantil. A menudo se recurre a especialistas en informática forense cuando se incautan los ordenadores de los sospechosos, sobre todo para recuperar archivos de datos.
La búsqueda de pruebas digitales en el ámbito de la informática forense es muy amplia, ya que las posibles fuentes que se investigan incluyen los sistemas informáticos del hogar y del trabajo, los discos duros externos y los lápices de memoria, los grupos de módem, los archivos borrados y existentes, las redes, las cookies, los archivos de cola de impresión, los archivos temporales, los archivos de intercambio, el espacio libre, las memorias caché, los archivos de registro y cualquier otro medio relacionado. Los datos que el investigador busca pueden presentarse en numerosas formas. Los datos activos son la información que es claramente visible, incluidos los archivos de datos, los programas y los archivos utilizados por el sistema operativo. Son bastante obvios y, en teoría, de fácil acceso. Los datos de archivo son datos de los que se ha hecho una copia de seguridad y se han almacenado, ya sea en cintas, CD u otros discos duros. Una vez localizado el soporte de almacenamiento, el acceso no suele plantear problemas. Sin embargo, algunos datos pueden haber sido borrados, parcialmente sobrescritos o incluso encriptados, y a menudo requerirán herramientas especializadas para acceder a ellos.
Sin embargo, antes de comenzar la búsqueda, el ordenador debe estar protegido de cualquier daño o alteración y se debe copiar todo su contenido antes de examinarlo. También debe documentarse el estado del ordenador en el que se ha encontrado, incluyendo todas las conexiones y cables conectados al ordenador y todos los archivos o programas abiertos. El análisis muerto consiste en examinar el contenido de un ordenador sin que éste esté encendido. Utilizando programas de duplicación de discos duros, como las herramientas de imagen DCFLdd e IXimager, se pueden duplicar los archivos originales sin alterarlos. Estas copias deben ser analizadas para garantizar su veracidad y exactitud. Se pueden utilizar herramientas de hashing para comparar el disco duro original con la copia realizada del mismo, asegurando que los archivos se han copiado correctamente.
Eliminación de archivos
Muchas personas creen erróneamente que cuando se borra un archivo no se puede recuperar. En realidad, un archivo simplemente se oculta cuando es borrado por el usuario, por lo que puede ser potencialmente recuperado hasta que se sobrescriba ese espacio. La información almacenada previamente en el disco duro permanece en un sector no utilizado, conocido como espacio libre, hasta que se sobrescribe. Sin embargo, incluso si el archivo ha sido sobrescrito, algunos fragmentos pueden seguir existiendo. Los ordenadores intercambian constantemente archivos entre la RAM y el disco duro, creando archivos de intercambio en el proceso. Estos archivos de intercambio, aunque cambian cada vez que se enciende el ordenador, pueden contener la información deseada. Es posible copiar el contenido de un ordenador sin encenderlo, aunque este proceso puede llevar horas.
Cifrado
Los archivos incriminatorios pueden haber sido encriptados previamente para evitar que personas no autorizadas vean su contenido, ya sea por el usuario o automáticamente por el ordenador. Sin embargo, utilizando la criptografía puede ser posible descifrar estos archivos. El cifrado simétrico utiliza una única clave para codificar el mensaje, lo que permite descifrarlo si se conoce esa clave. Sin embargo, el cifrado asimétrico utiliza una clave para cifrar el mensaje y otra para descifrarlo, lo que dificulta el descifrado.
Delitos relacionados con el correo electrónico
Los sistemas de correo electrónico, utilizados por millones de personas en todo el mundo cada día, son ideales para las actividades delictivas, especialmente el SPAM malicioso y los virus de correo electrónico. Afortunadamente, hay formas de rastrear el origen de estos delitos. Cada ordenador tiene una dirección IP (Protocolo de Internet) única que se registra cada vez que un ordenador se conecta a un servidor determinado. La dirección IP puede utilizarse para rastrear el ordenador responsable. Cada vez que se envía un correo electrónico, se guardan registros que almacenan información como el remitente, el destinatario, además de las fechas y horas. Estos datos también pueden resultar útiles en las investigaciones forenses. Sin embargo, es posible que las personas utilicen VPN y proxies para intentar enmascarar su dirección IP real y, por tanto, su ubicación.
Metadatos
Los metadatos son esencialmente datos sobre otros datos. Cuando se crea un archivo utilizando determinados programas, se produce información sobre el historial del archivo. Esto puede incluir la hora y la fecha de su creación, cuándo se accedió a él por última vez y cuándo se modificó por última vez. Este tipo de datos no sólo se refiere a los ordenadores, sino también a dispositivos como las cámaras, que adjuntarán metadatos a las fotografías y los vídeos.
Software forense y antiforense
Algunos delincuentes expertos en tecnología pueden emplear métodos más avanzados para ocultar pruebas incriminatorias. Las herramientas antiforenses pueden entorpecer aún más una investigación, ya que algunas de ellas pueden utilizarse para cambiar los metadatos adjuntos a un archivo, o encriptar datos de forma experta. Se pueden establecer ciertos programas que borrarán los datos si un usuario no autorizado intenta acceder al sistema, por lo que es imprescindible que sólo los expertos formados manejen las pruebas digitales. Afortunadamente, existen numerosas herramientas para el análisis forense de los sistemas informáticos, entre los aparatos más comunes se encuentran FTK de AccessData, EnCase de Guidance Software y Sleuth Kit de Brian Carrier.