Cadena de custodia y análisis forense de ordenadores en procesos judiciales

En un análisis forense de ordenadores o investigación en ordenadores debo realizar un análisis técnico-informático de los discos duros . Debo inventariar los documentos electrónicos encontrados en los ordenadores objeto de la investigación, explicando su significado.

En este artículo, abordo las claves y metodología de trabajo para realizar una investigación forense en ordenadores. 

Metodología de trabajo para realizar un análisis forense de ordenador en un peritaje informático para un procedimiento judicial

La metodología que sigo para realizar un análisis de ordenador consta de 2 fases; estas son:

FASE 1: Identifico el disco duro del ordenador objeto del dictamen y realizo la “adquisición forense de los datos informáticos

Para la “adquisición forense de los datos informáticos”; actualmente utilizo la máquina de clonación de discos duros y creación de “imágenes de datos” marca “Tableau”, modelo “TD2u”. A lo largo de los años he utilizado diversas máquinas de clonación, así como bloqueadores de escritura.

Máquinas de clonación de discos duros y creación de “imágenes de datos”.

Respecto a la FASE 1 “adquisición forense de los datos informáticos”:

La “adquisición forense de los datos informáticos” lleva asociado un proceso de validación, consistente en 3 pasos, para determinar si la “imagen de datos informáticos adquirida” es completamente idéntica a la original:

  • Primero, se aplica un algoritmo [1] a todo el contenido del disco duro original y se obtiene como resultado una primera clave denominada en informática “clave HASH (o huella digital). La “clave HASH” se genera en función de todos los datos contenidos en el disco duro original y es única para cada contenido de un disco duro. Haciendo un símil, se obtiene el ADN del contenido del disco duro.
  • Luego, se aplica idéntico algoritmo (aplicado al contenido del disco duro original) a toda la imagen o copia de datos realizada del disco duro original y se obtiene como resultado una segunda “clave HASH” (o huella digital).
  • Finalmente, se comparan las 2 “clave HASH” obtenidas; estas son: la del contenido del disco duro original y la de la imagen o copia realizada. Si ambos valores coinciden, la imagen o copia se ha realizado correctamente; si no coinciden, es necesario repetir todo el proceso de “adquisición forense de los datos informáticos”.
[1] Se han usado los algoritmos denominados “MD5” y “SHA-1

FASE 2: Analizo los datos informáticos adquiridos

En el análisis forense de ordenadores, siempre trabajo sobre la “imagen de datos” realizada. Nunca trabajo sobre el disco duro de ordenador original. Los análisis los realizo con  programas informáticos especializados en informática forense.

Respecto a la FASE 2 de análisis de los datos informáticos:

En una investigación de ordenadores garantizo la no manipulación de la prueba electrónica original realizando unaimagen de datos” forense de datos informáticos. En todo momento trabajaré sobre la “imagen de datos” forense obtenida. La prueba original queda en depósito de la empresa o fedatario público.

La prueba original puede ser recuperada para contrastar su contenido con los resultados del peritaje informático. O puede ser recuperada para realizar un análisis de ordenador por parte de perito informático por designación judicial o propuesto por la parte, si las autoridades competentes lo consideran conveniente.

Cadena de custodia digital

La cadena de custodia digital son las acciones que garantizan que el material informático intervenido es el mismo que perito y el mismo que presento el día del juicio. La cadena de custodia garantiza que el material informático en absoluto se altera desde su intervención hasta su presentación en juicio (pasando por su peritaje).

Como indiqué, con la “clave HASH” (o huella digital) obtenida en la “adquisición forense de los datos informáticos” garantizo la cadena de custodia electrónica. Garantizo que si la prueba original se modifica queda constancia de ello.

Requisitos para incorporar una evidencia digital como prueba en un procedimiento judicial

  • Licita: Respecto de los derechos fundamentales, pues “no surtirán efectos las pruebas obtenidas, directa o indirectamente, violentando los derechos o libertades fundamentales” (artículo 11 LOPJ). Los derechos fundamentales afectados con más frecuencia son:
    • el derecho a la intimidad del afectado en la obtención de la prueba digital,
    • el secreto de las comunicaciones,
    • la protección de datos personales y
    • la inviolabilidad del domicilio.
  • Autenticidad del autor: Garantía de quién es el autor de lo aportado como prueba.
  • Integridad del contenido: Garantía de que la evidencia digital en absoluto se modifica desde que se obtiene hasta que se presenta en juicio. La cadena de custodia es el procedimiento mediante el cual se garantiza la autenticidad de la prueba digital desde su obtención hasta que se aporta como hecho probatorio a un procedimiento judicial.
  • Pertinencia: La prueba digital debe aportar elementos que permitan acreditar el objeto de debate.
  • Utilidad: Que la prueba presentada sea necesaria para aclarar y resolver el conflicto.
  • Claridad: A fin de que la prueba sea comprendida por todos los intervinientes en el proceso, (jueces, fiscales, letrados…) por lo que debemos contar con el dictamen de un perito informático para que dicha prueba sea entendida y tenga seguridad.

El cumplimiento de estos requisitos es imprescindible para evitar la impugnación de la prueba digital presentada, ya sea por el Juez o por la parte contraria.

Se puede concluir que:

  • Si el método de análisis forense de ordenadores descarta acceder a contenidos personales del trabajador; no se infringe derecho fundamental y la investigación en ordenadores es lícita.
  • Si no se descarta el acceso a contenidos personales, puede violarse el derecho fundamental a la intimidad.

Procesos genéricos de recuperación y estudio de datos realizados en un análisis de ordenador

Analizo la estructura del disco duro del ordenador mediante las herramientas especializadas en informática forense.

Tras identificar la estructura del disco, inicio el proceso de recuperación y análisis de datos. Por ejemplo, utilizo los siguientes métodos de trabajo, entre muchos otros:

1.- Indexado de la información

Indexar toda la información disponible en el disco duro ofrece un mecanismo ágil de consulta a la hora de realizar búsquedas ciegas. Búsquedas que permiten identificar documentos electrónicos relevantes al asunto que se examina.

Analizo todos los sectores del disco para indexar toda la información. El indexado contempla las zonas del disco asignadas para almacenar información, así como las marcadas como “no asignadas”. Ello permite recuperar la información que ha sido borrada siempre y cuando el área del disco que la almacena no haya sido sobrescrita con información más reciente.

2.- Análisis forense del ordenador mediante búsquedas ciegas de palabras claves

Debo puntualizar que en el análisis del ordenador utilizo un método para garantizar que sólo accedo a información relevante al asunto que examino; esta es: la búsqueda ciega. Realizo búsquedas ciegas de palabras claves en la información indexada. Palabras relacionadas con las inquietudes y necesidades trasladadas por el cliente.

Para localizar documentos electrónicos realizo un filtro selectivo que consiste en definir una serie de palabras clave (o expresiones relevantes) relativas al asunto que se investiga. En el ordenador busco las palabras claves específicas. Los términos clave para realizar las búsquedas ciegas los suele facilitar el cliente. Ahora bien, el perito ingeniero en informática puede aconsejar a seleccionar palabras claves adecuadas.

Este sistema únicamente señala la línea dentro del documento electrónico que contiene dicho término o palabra clave. Una vez obtenidos los fragmentos de texto, debo determinar si es necesario o no consultar la totalidad del documento, dependiendo siempre del contexto que rodea el término o palabra.

En el análisis forense de ordenadores no realizo una inspección manual documento por documento. Con la búsqueda ciega garantizo que sólo accedo a información relacionada con el objeto de la investigación en ordenadores. En el análisis de ordenadores no hay posibilidad de acceder a contenidos reservados de la persona que usa el ordenador.

Los programas informáticos usados para realizar los análisis en ordenadores también permiten realizar filtros sobre ficheros según las necesidades de análisis; esto es, por ejemplo: filtrar sólo los documentos electrónicos con cierta palabra clave, o filtrar los documentos redactados que contengan cierta palabra clave, acotar búsquedas por fechas, etc.

3.- Análisis del registro de Windows.

El análisis del registro del sistema Windows proporciona información sobre los dispositivos externos de almacenamiento que se han conectado al ordenador, entre otra mucha más información.

En la investigación de ordenadores es recomendable realizar un análisis del registro del sistema Windows correspondiente al perfil del usuario del ordenador.

4.- Otros análisis a realizar en la investigación forense de ordenadores.

Realizo análisis específicos sobre los siguientes elementos:

  • Elementos de almacenamiento conectados al ordenador.
  • Documentos accedidos recientemente y el análisis de sus metadatos.
  • Recursos recientes.
  • Registros y eventos del sistema.
  • Líneas de tiempo.

Hay que acotar por un rango de fechas para realizar una optima investigación en los ordenadores.

Entradas Similares