En una investigación en ordenadores o análisis de ordenadores se debe realizar un análisis técnico-informático de los discos duros . Para ello, se deben inventariar los documentos electrónicos encontrados en los ordenadores objeto de la investigación, explicando su significado.

Claves y metodología de trabajo para realizar una investigación en ordenadores en un peritaje informático. 

Metodología de trabajo para realizar la investigación en ordenadores en un peritaje informático

La metodología que sigo para realizar un análisis de ordenador consta de 2 fases:

FASE 1: Identifico el disco duro del ordenador objeto del dictamen y realizo la “adquisición forense de los datos informáticos” contenidos en el disco.

Para la “adquisición forense de los datos informáticos”; actualmente utilizo la máquina de clonación de discos duros y creación de “imágenes de datos” marca “Tableau”, modelo “TD2u”. A lo largo de los años he utilizado diversas máquinas de clonación, así como bloqueadores de escritura.

investigación en ordenadores: máquina de clonación de discos duros

Máquinas de clonación de discos duros y creación de “imágenes de datos”.

Respecto a la FASE 1 “adquisición forense de los datos informáticos”:

La “adquisición forense de los datos informáticos” lleva asociado un proceso de validación, consistente en 3 pasos, para determinar si la “imagen de datos informáticos adquirida” es completamente idéntica a la original:

  • Primero, se aplica un algoritmo [1] a todo el contenido del disco duro original y se obtiene como resultado una primera clave denominada en informática “clave HASH (o huella digital). La “clave HASH” se genera en función de todos los datos contenidos en el disco duro original y es única para cada contenido de un disco duro. Haciendo un símil, se obtiene el ADN del contenido del disco duro.
  • Luego, se aplica idéntico algoritmo (aplicado al contenido del disco duro original) a toda la imagen o copia de datos realizada del disco duro original y se obtiene como resultado una segunda “clave HASH” (o huella digital).
  • Finalmente, se comparan las 2 “clave HASH” obtenidas; estas son: la del contenido del disco duro original y la de la imagen o copia realizada. Si ambos valores coinciden, la imagen o copia se ha realizado correctamente; si no coinciden, es necesario repetir todo el proceso de “adquisición forense de los datos informáticos”.
Análisis de ordenadores: algoritmos MD5 y SHA-1

[1] Se han usado los algoritmos denominados “MD5” y “SHA-1

FASE 2: Analizo los datos informáticos adquiridos.

Siempre trabajo sobre la “imagen de datos” realizada y nunca sobre el disco duro de ordenador original. Los análisis los realizo con el programa informático especializado en informática forense de nombre comercial “X-ways forensics” , así como, las aplicaciones denominadas “RegRipper” y “Autopsy”.

Respecto a la FASE 2 de análisis de los datos informáticos:

Garantizo la no manipulación de la prueba electrónica original realizando unaimagen de datos” forense de datos informáticos. En todo momento se trabajará sobre la “imagen de datos” forense obtenida. La prueba original queda en depósito de la empresa o fedatario público.

Posteriormente podrá ser recuperada para contrastar su contenido con los resultados del peritaje informático o bien para la realización de un análisis de ordenador por parte de perito judicial informárico o propuesto por la parte, si las autoridades competentes lo consideran conveniente.

Búsqueda ciega en el análisis de ordenadores

Debo puntualizar que en el análisis de datos informáticos (o análisis de ordenadores) se utiliza un método que garantiza que sólo se accede a información relevante al asunto que se examina; esta es: la búsqueda ciega. Para localizar documentos electrónicos se realiza un filtro selectivo, que consiste en definir una serie de palabras clave (o expresiones relevantes) relativas al asunto que se investiga. Estas palabras claves específicas se buscan en el ordenador que se analiza.

Este sistema únicamente señala la línea dentro del documento electrónico que contiene dicho término o palabra clave. Una vez obtenidos los fragmentos de texto, debo determinar si es necesario o no consultar la totalidad del documento, dependiendo siempre del contexto que rodea el término o palabra.

En un análisis de ordenadores no realizo una inspección manual documento por documento. Con la búsqueda ciega garantizo que sólo accedo a información relacionada con el objeto de la investigación en ordenadores. En el análisis de ordenadores no hay posibilidad de acceder a contenidos reservados de la persona que usa el ordenador.

Los programas informáticos usados para realizar los análisis en ordenadores también permiten realizar filtros sobre ficheros según las necesidades de análisis; esto es, por ejemplo: filtrar sólo los documentos electrónicos con cierta palabra clave, o filtrar los documentos redactados que contengan cierta palabra clave, acotar búsquedas por fechas, etc.

Se puede concluir que:

  • Si el método de análisis de ordenadores descarta acceder a contenidos personales del trabajador; no se infringe derecho fundamental y la investigación en ordenadores es lícita.
  • Si no se descarta el acceso a contenidos personales, puede violarse el derecho fundamental a la intimidad.

Cadena de custodia digital

Acciones que garantizan que el material informático intervenido es el mismo que se perita y el mismo que se presenta el día del juicio. Que en absoluto han sido alterados desde su intervención hasta su presentación en juicio (pasando por su peritaje).

Como se ha indicado anteriormente, con la “clave HASH” (o huella digital) obtenida en la “adquisición forense de los datos informáticos” se garantiza la cadena de custodia electrónica. Se garantiza que, si la prueba original se modifica, quedaría constancia de ello.

banner perito informático

 

Procesos genéricos de recuperación y estudio de datos realizados en un análisis de ordenadores

Analizo la estructura del disco duro del ordenador mediante las herramientas mencionadas especializadas en informática forense.

Tras la identificación de la estructura del disco, inicio el proceso de recuperación y análisis de datos. Por ejemplo, utilizo los siguientes métodos de trabajo, entre muchos otros:

1.- Indexado de la información

La indexación de toda la información disponible en el disco duro ofrece un mecanismo ágil de consulta a la hora de realizar búsquedas ciegas que permite identificar documentos electrónicos relevantes al asunto que se examina.

Efectúo un análisis de todos los sectores del disco para obtener un indexado de toda la información que contiene. Este indexado contempla las zonas del disco asignadas para almacenar información, así como las marcadas como “no asignadas”. Ello permite recuperar la información que ha sido borrada siempre y cuando el área del disco que la almacena no haya sido sobrescrita con información más reciente.

2.- Análisis del ordenador mediante el método de búsquedas ciegas

Sobre la información indexada en el paso anterior, efectúo búsquedas ciegas de palabras claves relacionadas con las inquietudes y necesidades trasladadas por la empresa. Los términos clave de búsquedas ciegas para realizar la investigación los suele facilitar la empresa. Ahora bien, el perito ingeniero en informática puede aconsejar a seleccionar palabras claves adecuadas.

3.- Análisis del registro de Windows

El análisis del registro del sistema Windows proporciona información sobre los dispositivos externos de almacenamiento que se han conectado al ordenador, entre otra mucha información.

Realizo un análisis del registro del sistema Windows correspondiente al perfil del usuario del ordenador.

4.- Otros análisis a realizar

Realizo análisis específicos sobre los siguientes elementos:

  • Elementos de almacenamiento conectados al ordenador.
  • Documentos accedidos recientemente y el análisis de sus metadatos.
  • Recursos recientes.
  • Registros y eventos del sistema.

Para una realizar una optima investigación en ordenadores se suele acotar un rango de fechas.

 

 

 

2017-12-09T23:34:57+00:00