Cadena de custodia y análisis forense de ordenadores en procesos judiciales

En un análisis de ordenadores o investigación en ordenadores se debe realizar un análisis técnico-informático de los discos duros . Para ello, se deben inventariar los documentos electrónicos encontrados en los ordenadores objeto de la investigación, explicando su significado.

Claves y metodología de trabajo para realizar una investigación en ordenadores en un peritaje informático. 

Metodología de trabajo para realizar un análisis forense de ordenador en un peritaje informático para un procedimiento judicial.

La metodología que sigo para realizar un análisis de ordenador consta de 2 fases:

FASE 1: Identifico el disco duro del ordenador objeto del dictamen y realizo la “adquisición forense de los datos informáticos”.

Para la “adquisición forense de los datos informáticos”; actualmente utilizo la máquina de clonación de discos duros y creación de “imágenes de datos” marca “Tableau”, modelo “TD2u”. A lo largo de los años he utilizado diversas máquinas de clonación, así como bloqueadores de escritura.

investigación en ordenadores: máquina de clonación de discos duros

Máquinas de clonación de discos duros y creación de “imágenes de datos”.

Respecto a la FASE 1 “adquisición forense de los datos informáticos”:

La “adquisición forense de los datos informáticos” lleva asociado un proceso de validación, consistente en 3 pasos, para determinar si la “imagen de datos informáticos adquirida” es completamente idéntica a la original:

  • Primero, se aplica un algoritmo [1] a todo el contenido del disco duro original y se obtiene como resultado una primera clave denominada en informática “clave HASH (o huella digital). La “clave HASH” se genera en función de todos los datos contenidos en el disco duro original y es única para cada contenido de un disco duro. Haciendo un símil, se obtiene el ADN del contenido del disco duro.
  • Luego, se aplica idéntico algoritmo (aplicado al contenido del disco duro original) a toda la imagen o copia de datos realizada del disco duro original y se obtiene como resultado una segunda “clave HASH” (o huella digital).
  • Finalmente, se comparan las 2 “clave HASH” obtenidas; estas son: la del contenido del disco duro original y la de la imagen o copia realizada. Si ambos valores coinciden, la imagen o copia se ha realizado correctamente; si no coinciden, es necesario repetir todo el proceso de “adquisición forense de los datos informáticos”.
Análisis de ordenadores: algoritmos MD5 y SHA-1

[1] Se han usado los algoritmos denominados “MD5” y “SHA-1

FASE 2: Analizo los datos informáticos adquiridos.

En el análisis de ordenadores, siempre trabajo sobre la “imagen de datos” realizada y nunca sobre el disco duro de ordenador original. Los análisis los realizo con el programa informático especializado en informática forense de nombre comercial “X-ways forensics” , las aplicaciones denominadas “RegRipper” y “Autopsy”, así como cualquier otra específica para el caso concreto que se analice.

Respecto a la FASE 2 de análisis de los datos informáticos:

En una investigación de ordenadores garantizo la no manipulación de la prueba electrónica original realizando unaimagen de datos” forense de datos informáticos. En todo momento se trabajará sobre la “imagen de datos” forense obtenida. La prueba original queda en depósito de la empresa o fedatario público.

Posteriormente podrá ser recuperada para contrastar su contenido con los resultados del peritaje informático o bien para la realización de un análisis de ordenador por parte de perito judicial informático o propuesto por la parte, si las autoridades competentes lo consideran conveniente.

Cadena de custodia digital.

Acciones que garantizan que el material informático intervenido es el mismo que se perita y el mismo que se presenta el día del juicio. Que en absoluto han sido alterados desde su intervención hasta su presentación en juicio (pasando por su peritaje).

Como se ha indicado anteriormente, con la “clave HASH” (o huella digital) obtenida en la “adquisición forense de los datos informáticos” se garantiza la cadena de custodia electrónica. Se garantiza que, si la prueba original se modifica, quedaría constancia de ello.

banner perito informático

Requisitos para que una evidencia digital pueda incorporarse como prueba en un procedimiento judicial.

  • Licita: Respecto de los derechos fundamentales, pues “no surtirán efectos las pruebas obtenidas, directa o indirectamente, violentando los derechos o libertades fundamentales” (artículo 11 LOPJ). Los derechos fundamentales afectados con más frecuencia son:
    • el derecho a la intimidad del afectado en la obtención de la prueba digital,
    • el secreto de las comunicaciones,
    • la protección de datos personales y
    • la inviolabilidad del domicilio.
  • Autenticidad del autor: Garantía de quién es el autor de lo aportado como prueba.
  • Integridad del contenido: Garantía de que la evidencia digital no ha sido modificada, desde que se obtiene hasta que se presenta en juicio. La cadena de custodia es el procedimiento mediante el cual se garantiza la autenticidad de la prueba digital desde su obtención hasta que se aporta como hecho probatorio a un procedimiento judicial.
  • Pertinencia: La prueba digital debe aportar elementos que permitan acreditar el objeto de debate.
  • Utilidad: Que la prueba presentada sea necesaria para aclarar y resolver el conflicto.
  • Claridad: A fin de que la prueba sea comprendida por todos los intervinientes en el proceso, (jueces, fiscales, letrados…) por lo que debemos contar con el dictamen de un perito informático para que dicha prueba sea entendida y tenga seguridad.

El cumplimiento de estos requisitos es imprescindible para evitar la impugnación de la prueba digital presentada, ya sea por el Juez o por la parte contraria.

Se puede concluir que:

  • Si el método de análisis de ordenadores descarta acceder a contenidos personales del trabajador; no se infringe derecho fundamental y la investigación en ordenadores es lícita.
  • Si no se descarta el acceso a contenidos personales, puede violarse el derecho fundamental a la intimidad.

Procesos genéricos de recuperación y estudio de datos realizados en un análisis de ordenador.

Analizo la estructura del disco duro del ordenador mediante las herramientas mencionadas especializadas en informática forense.

Tras la identificación de la estructura del disco, inicio el proceso de recuperación y análisis de datos. Por ejemplo, utilizo los siguientes métodos de trabajo, entre muchos otros:

1.- Indexado de la información.

La indexación de toda la información disponible en el disco duro ofrece un mecanismo ágil de consulta a la hora de realizar búsquedas ciegas que permite identificar documentos electrónicos relevantes al asunto que se examina.

Efectúo un análisis de todos los sectores del disco para obtener un indexado de toda la información que contiene. Este indexado contempla las zonas del disco asignadas para almacenar información, así como las marcadas como “no asignadas”. Ello permite recuperar la información que ha sido borrada siempre y cuando el área del disco que la almacena no haya sido sobrescrita con información más reciente.

2.- Análisis de ordenador mediante búsquedas ciegas de palabras claves.

Debo puntualizar que en el análisis de ordenadores se utiliza un método que garantiza que sólo se accede a información relevante al asunto que se examina; esta es: la búsqueda ciega. Sobre la información indexada en el paso anterior, efectúo búsquedas ciegas de palabras claves. Palabras relacionadas con las inquietudes y necesidades trasladadas por la empresa.

Para localizar documentos electrónicos se realiza un filtro selectivo, que consiste en definir una serie de palabras clave (o expresiones relevantes) relativas al asunto que se investiga. Estas palabras claves específicas se buscan en el ordenador que se analiza. Los términos clave de búsquedas ciegas para realizar la investigación los suele facilitar la empresa. Ahora bien, el perito ingeniero en informática puede aconsejar a seleccionar palabras claves adecuadas.

Este sistema únicamente señala la línea dentro del documento electrónico que contiene dicho término o palabra clave. Una vez obtenidos los fragmentos de texto, debo determinar si es necesario o no consultar la totalidad del documento, dependiendo siempre del contexto que rodea el término o palabra.

En el análisis de ordenadores no realizo una inspección manual documento por documento. Con la búsqueda ciega garantizo que sólo accedo a información relacionada con el objeto de la investigación en ordenadores. En el análisis de ordenadores no hay posibilidad de acceder a contenidos reservados de la persona que usa el ordenador.

Los programas informáticos usados para realizar los análisis en ordenadores también permiten realizar filtros sobre ficheros según las necesidades de análisis; esto es, por ejemplo: filtrar sólo los documentos electrónicos con cierta palabra clave, o filtrar los documentos redactados que contengan cierta palabra clave, acotar búsquedas por fechas, etc.

3.- Análisis del registro de Windows.

El análisis del registro del sistema Windows proporciona información sobre los dispositivos externos de almacenamiento que se han conectado al ordenador, entre otra mucha más información.

En la investigación de ordenadores es recomendable realizar un análisis del registro del sistema Windows correspondiente al perfil del usuario del ordenador.

4.- Otros análisis a realizar en la investigación de ordenadores.

Realizo análisis específicos sobre los siguientes elementos:

  • Elementos de almacenamiento conectados al ordenador.
  • Documentos accedidos recientemente y el análisis de sus metadatos.
  • Recursos recientes.
  • Registros y eventos del sistema.
  • Líneas de tiempo.

Para una realizar una optima investigación en ordenadores se suele acotar un rango de fechas.

Rating: 5.0/5. De 2 votos.
Please wait...
2018-11-13T10:04:14+00:00