BLOG PERITO INFORMÁTICO

Análisis forense de ordenadores en procesos judiciales y cadena de custodia

investigacion-en-ordenadores-peritaje-informatico-eugenio-picon-perito-informatico

En un análisis forense de ordenadores o investigación en ordenadores debo realizar un análisis técnico-informático de los discos duros . Debo inventariar los documentos electrónicos encontrados en los ordenadores objeto de la investigación, explicando su significado.

En este artículo, abordo las claves y metodología de trabajo para realizar una investigación forense en ordenadores.

Metodología de trabajo para realizar un análisis forense de ordenador en un peritaje informático para un procedimiento judicial

La metodología que sigo para realizar un análisis de ordenador consta de 2 fases; estas son:

FASE 1: Identifico el disco duro del ordenador objeto del dictamen y realizo la “adquisición forense de los datos informáticos”

Para la “adquisición forense de los datos informáticos”; actualmente utilizo la máquina de clonación de discos duros y creación de “imágenes de datos” marca “Tableau”, modelo “TD2u”. A lo largo de los años he utilizado diversas máquinas de clonación, así como bloqueadores de escritura.

investigación en ordenadores: máquina de clonación de discos duros — Máquinas de clonación de discos duros y creación de “imágenes de datos”.

Respecto a la FASE 1 “adquisición forense de los datos informáticos”:

La “adquisición forense de los datos informáticos” lleva asociado un proceso de validación, consistente en 3 pasos, para determinar si la “imagen de datos informáticos adquirida” es completamente idéntica a la original:

Primero, se aplica un algoritmo [1] a todo el contenido del disco duro original y se obtiene como resultado una primera clave denominada en informática “clave HASH” (o huella digital). La “clave HASH” se genera en función de todos los datos contenidos en el disco duro original y es única para cada contenido de un disco duro. Haciendo un símil, se obtiene el ADN del contenido del disco duro.
Luego, se aplica idéntico algoritmo (aplicado al contenido del disco duro original) a toda la imagen o copia de datos realizada del disco duro original y se obtiene como resultado una segunda “clave HASH” (o huella digital).
Finalmente, se comparan las 2 “clave HASH” obtenidas; estas son: la del contenido del disco duro original y la de la imagen o copia realizada. Si ambos valores coinciden, la imagen o copia se ha realizado correctamente; si no coinciden, es necesario repetir todo el proceso de “adquisición forense de los datos informáticos”.

Análisis de ordenadores: algoritmos MD5 y SHA-1 — [1] Se han usado los algoritmos denominados “*MD5*” y “*SHA-1*”

FASE 2: Analizo los datos informáticos adquiridos

En el análisis forense de ordenadores, siempre trabajo sobre la “imagen de datos” realizada. Nunca trabajo sobre el disco duro de ordenador original. Los análisis los realizo con programas informáticos especializados en informática forense.

Respecto a la FASE 2 de análisis de los datos informáticos:

En una investigación de ordenadores garantizo la no manipulación de la prueba electrónica original realizando una “imagen de datos” forense de datos informáticos. En todo momento trabajaré sobre la “imagen de datos” forense obtenida. La prueba original queda en depósito de la empresa o fedatario público.

La prueba original puede ser recuperada para contrastar su contenido con los resultados del peritaje informático. O puede ser recuperada para realizar un análisis de ordenador por parte de perito informático por designación judicial o propuesto por la parte, si las autoridades competentes lo consideran conveniente.

Cadena de custodia digital

La cadena de custodia digital son las acciones que garantizan que el
material informático objeto de pericial (o intervenido) es el mismo que el perito analiza y presenta el día del juicio.

La cadena de custodia garantiza que el material
informático en absoluto se altera desde su intervención hasta su
presentación en juicio (pasando por su peritaje).

Como indiqué, con la “clave HASH” (o huella digital) obtenida en la “adquisición forense de los datos informáticos” garantizo la cadena de custodia electrónica. Garantizo que si la prueba original se modifica queda constancia de ello.

Requisitos para incorporar una evidencia digital como prueba en un procedimiento judicial

Licita: Respecto de los derechos fundamentales, pues “no surtirán efectos las pruebas obtenidas, directa o indirectamente, violentando los derechos o libertades fundamentales” (artículo 11 LOPJ). Los derechos fundamentales afectados con más frecuencia son:
- el derecho a la intimidad del afectado en la obtención de la prueba digital,
- el secreto de las comunicaciones,
- la protección de datos personales y
- la inviolabilidad del domicilio.
Autenticidad del autor: Garantía de quién es el autor de lo aportado como prueba.
Integridad del contenido: Garantía de que la evidencia digital en absoluto se modifica desde que se obtiene hasta que se presenta en juicio. La cadena de custodia es el procedimiento mediante el cual se garantiza la autenticidad de la prueba digital desde su obtención hasta que se aporta como hecho probatorio a un procedimiento judicial.
Pertinencia: La prueba digital debe aportar elementos que permitan acreditar el objeto de debate.
Utilidad: Que la prueba presentada sea necesaria para aclarar y resolver el conflicto.
Claridad: A fin de que la prueba sea comprendida por todos los intervinientes en el proceso, (jueces, fiscales, letrados…) por lo que debemos contar con el dictamen de un perito informático para que dicha prueba sea entendida y tenga seguridad.

El cumplimiento de estos requisitos es imprescindible para evitar la impugnación de la prueba digital presentada, ya sea por el Juez o por la parte contraria.

Se puede concluir que:

Si el método de análisis forense de ordenadores descarta acceder a contenidos personales del trabajador; no se infringe derecho fundamental y la investigación en ordenadores es lícita.
Si no se descarta el acceso a contenidos personales, puede violarse el derecho fundamental a la intimidad.

Procesos genéricos de recuperación y estudio de datos realizados en un análisis de ordenador

Analizo la estructura del disco duro del ordenador mediante las herramientas especializadas en informática forense.

Tras identificar la estructura del disco, inicio el proceso de recuperación y análisis de datos. Por ejemplo, utilizo los siguientes métodos de trabajo, entre muchos otros:

1.- Indexado de la información

Indexar toda la información disponible en el disco duro ofrece un mecanismo ágil de consulta a la hora de realizar búsquedas ciegas. Búsquedas que permiten identificar documentos electrónicos relevantes al asunto que se examina.

Analizo todos los sectores del disco para indexar toda la información. El indexado contempla las zonas del disco asignadas para almacenar información, así como las marcadas como “no asignadas”. Ello permite recuperar la información que ha sido borrada siempre y cuando el área del disco que la almacena no haya sido sobrescrita con información más reciente.

2.- Análisis forense del ordenador mediante búsquedas ciegas de palabras claves

Debo puntualizar que en el análisis del ordenador utilizo un método para garantizar que sólo accedo a información relevante al asunto que examino; esta es: la búsqueda ciega. Realizo búsquedas ciegas de palabras claves en la información indexada. Palabras relacionadas con las inquietudes y necesidades trasladadas por el cliente.

Para localizar documentos electrónicos realizo un filtro selectivo que consiste en definir una serie de palabras clave (o expresiones relevantes) relativas al asunto que se investiga. En el ordenador busco las palabras claves específicas. Los términos clave para realizar las búsquedas ciegas los suele facilitar el cliente. Ahora bien, el perito ingeniero en informática puede aconsejar a seleccionar palabras claves adecuadas.

Este sistema únicamente señala la línea dentro del documento electrónico que contiene dicho término o palabra clave. Una vez obtenidos los fragmentos de texto, debo determinar si es necesario o no consultar la totalidad del documento, dependiendo siempre del contexto que rodea el término o palabra.

En el análisis forense de ordenadores no realizo una inspección manual documento por documento. Con la búsqueda ciega garantizo que sólo accedo a información relacionada con el objeto de la investigación en ordenadores. En el análisis de ordenadores no hay posibilidad de acceder a contenidos reservados de la persona que usa el ordenador.

Los programas informáticos usados para realizar los análisis en ordenadores también permiten realizar filtros sobre ficheros según las necesidades de análisis; esto es, por ejemplo: filtrar sólo los documentos electrónicos con cierta palabra clave, o filtrar los documentos redactados que contengan cierta palabra clave, acotar búsquedas por fechas, etc.

3.- Análisis del registro de Windows.

El análisis del registro del sistema Windows proporciona información sobre los dispositivos externos de almacenamiento que se han conectado al ordenador, entre otra mucha más información.

En la investigación de ordenadores es recomendable realizar un análisis del registro del sistema Windows correspondiente al perfil del usuario del ordenador.

4.- Otros análisis a realizar en la investigación forense de ordenadores.

Realizo análisis específicos sobre los siguientes elementos:

Elementos de almacenamiento conectados al ordenador.
Documentos accedidos recientemente y el análisis de sus metadatos.
Recursos recientes.
Registros y eventos del sistema.
Líneas de tiempo.

Hay que acotar por un rango de fechas para realizar una optima investigación en los ordenadores.

Ejemplo de periciales informáticas donde puede ser necesario realizar un análisis forense de ordenadores

Para recuperar datos en discos duros como prueba informática judicial.

Para analizar el ordenador que tenía asignado para trabajar un empleado dentro de la empresa. Puede ampliar información en el siguiente artículo:

Para comprobar y determinar la fiabilidad y la certeza de los hechos en los que se basa la acusación por acceso indebido a unos datos personales. Puede ampliar la información en el siguiente artículo:

Para demostrar la inocencia ante una acusación penal por un delito informático. Puede ampliar la información en los siguientes artículos:

Para realizar un contra-informe pericial informático. Puede ampliar la información en el siguiente artículo:

El contrainforme pericial informático.

Para comprobar la autenticidad de correos electrónicos. Puede ampliar la información en los siguientes artículos:

Para comprobar la cadena de custodia de la prueba digital.

Le asesoramos en peritaje informático

Peritaje informático | Análisis forense | Auditoría informática | Defensa legal por delito informático

Contacte sin compromiso

Entrada anterior

WhatsApp: Cómo crear grupos legalmente

Entrada siguiente

Análisis forense de la fotografía digital en procesos judiciales

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.