Perito en Informática Forense y su ayuda en un juicio

La informática forense puede ayudar en un juicio proporcionando evidencias digitales de un hecho. En otras palabras, la informática forense trata de adquirir, analizar, preservar y presentar datos que han sido procesados electrónicamente en un medio computacional para proporcionar la evidencia digital necesaria en los procesos judiciales, ayudando de esta manera a la persecución y procesamiento judicial de los criminales, así como de la compensación por los daños cometidos.

Pudiendo ser estos, correos electrónicos, capturas de pantalla, documentos firmados digitalmente, SMS, mensajes enviados por WhatsApp, etc. Para lo que es crucial la ayuda de un Perito Informático.

Importancia informatica forense en juicio

Que es la informatica Forense

Qué es la INFORMÁTICA FORENSE

Ante todo, decir que la Informática Forense no es algo de otro planeta, como pueda parecer; es algo comprensible, pero que no todo informático domina. Podemos definir la informática forense o análisis forense digital como la aplicación de técnicas científicas y analíticas especializadas sobre la información procesada electrónicamente y guardada en un medio computacional, que con el apoyo de herramientas de hardware y software, permiten las siguientes 4 acciones:

  1. IDENTIFICAR: conocer los antecedentes a la investigación, la situación actual y determinar el proceso a seguir
  2. PRESERVAR: crear duplicidad obteniendo imágenes forenses mediante copia binaria y un resumen digital para mantener la integridad de la evidencia y la cadena de custodia
  3. ANALIZAR: aplicar a las imágenes forenses un proceso forense para localizar pruebas de conductas
  4. PRESENTAR: recopilar la información obtenida del análisis para generar el informe forense y su presentación a los abogados, jueces o instancias que lo soliciten

Aplicables sobre datos relevantes que puedan ayudar a sacar adelante una causa judicial.

 

La Utilidad de la Informática Forense

Vivimos en una época está caracterizada por la denominada Sociedad de la Información, en la que se está experimentado un proceso de la eliminación del papel y generando una dependencia casi total de los sistemas informáticos. Estamos sufriendo grandes cambios en las tecnologías, software, plataformas, medios de almacenamiento e incluso en la legislación y con ello nuevos delincuentes que emplean esta tecnología para cometer infracciones, por lo que cada vez es más necesario el uso de procesos, métodos, estándares y buenas prácticas, que brinden algún tipo de garantías en la recuperación de información almacenada digitalmente, pues tanto las empresas, los organismos como los particulares delegan cada vez más tareas o son realizadas a través de los sistemas informáticos, debiendo por tanto de esforzarse por controlar la información digitalizada y crear mecanismos de seguridad, copias de respaldo y auditorías que posteriormente puedan servir como pruebas en una actuación judicial.

En esta nueva Era del Conocimiento aparece la necesidad de contar con algún tipo de garantía científica en la que poder confiar para que un juez pueda ayudarse.

Dentro del proceso penal se confirma o desvirtúa una hipótesis en función de las pruebas y es en este punto donde la informática forense tiene mucho que aportar pudiendo esclarecer los hechos en base a las evidencias digitales.

El Tribunal Supremo reconoce que los archivos digitales son fácilmente manipulables, pudiendo ser modificados por aquellos que pretendan aprovechar esta circunstancia hacia sus intereses y presentarlos como pruebas, debiendo por tanto justificar estos archivos con otro tipo de evidencias que confirmen o refuercen la ocurrencia de los hechos, por tanto, los archivos por sí sólos muestran una duda razonable y que deben estar complementados de otros elementos para dar validez a las pruebas electrónicas.

El Tribunal Supremo reconoce, por otro lado, las evidencias electrónicas o evidencias digitales en informática forense, poseen la misma fuerza probatoria que las pruebas tradicionales.

Este aval sobre el que apoyarse debe ser suministrado por un peritaje forense informático correctamente realizado, el cual aporta:

  • Objetividad
  • Autenticidad
  • Integridad de los medios electrónicos y digitales
  • Idoneidad y precisión de las evidencias digitales
  • Legalidad de las actividades periciales
  • Inalterabilidad a través de una cadena de custodia, correctamente asegurada que demuestre que durante el trabajo pericial los medios no han sido modificados y por último una buena documentación del procedimiento pericial forense informático de todos los pasos realizados.

La Importancia de un Perito Forense Informático

Un Perito Forense Informático ayudar a obtener evidencias digitales a través de la informática forense. Para lo que aplica metodologías profesionales y específicas, donde se acompañará de la suficiente cantidad de registros complementarios que demuestran su:

  • Integridad
  • Autenticidad
  • Confiabilidad
  • Completitud

Todo ello aplicado sobre las pruebas, ayudados de herramientas de informática forense y de la cadena de custodia.

Con los procesos adecuados, el conjunto de registros y la documentación de los pasos y resultados es posible pasar de tener un archivo digital de dudosa validez en una evidencia digital usada como probatoria en un juicio, pudiendo entonces presentar correos electrónicos, pantallazos (capturas de pantalla), documentos firmados digitalmente, SMS, mensajes enviados por WhatsApp, etc. En 2013, el Tribunal Supremo declaró que podrán ser admitidos como prueba para demostrar algunos hechos los mensajes enviados a través del sistema de mensajería WhatsApp.

Evidencia digital informatica forense

La EVIDENCIA DIGITAL informática forense

Qué es la evidencia digital informática forense

Una evidencia digital informática forense es cualquier registro de la información almacenada o transmitida a través de un sistema informático y por lo tanto en formato digital que pueda usarse como probatorio ya sea en parte o en su totalidad ante el tribunal para de un proceso judicial o simplificando la definición, la evidencia digital informática forense es cualquier dato digital capaz de establecer una relación entre un crimen y su víctima o un crimen y su autor.

Durante el un peritaje forense informático podrán tratarse tanto evidencias electrónicas como evidencias digitales, las cuales son abordadas diseñando el procedimiento adecuado en función del tipo de evidencia y creando un paralelismo entre la escena física del crimen y la digital.

Los involucrados en un crimen suelen intentar eliminar o cambiar la evidencia digital alternado cualquier rastro pero estas acciones pueden no serles suficientes para salir airosos dado que:

  • Es posible obtener una copia exacta y fehaciente de la evidencia digital, evitando el riesgo de alterar la prueba original.
  • Las herramientas de la informática forense permiten comprar el original con la evidencia digital para determinar si ha sido alterada.
  • Aún borrando la información de los discos es posible recuperarlos.
    Suelen existir copias de la evidencia
  • Los propios movimientos dejan a su vez rastros

 

Cuándo es admisible una evidencia digital como prueba en Juicio

Con las legislaciones actuales en la mano podemos determinar que una evidencia digital es admisible si cumple los criterios de:

  • Autenticidad: Se cumplirá el criterio de autenticidad cuando la evidencia digital se pueda demostrar que 1) ha sido obtenida, generada y registrada en el lugar de los hechos y 2) que los medios originales no han sido alterados, dada la facilidad de manipulación, debiendo por tanto aplicar mecanismos que certifiquen la integridad de los archivos y el control de cambios.
  • Confiabilidad: Se dice que los registros de eventos de seguridad son confiables si provienen de fuentes que son “creíbles y verificable”. Para probar esto, se debe contar con una arquitectura de computación en correcto funcionamiento, la cual demuestre que los logs que genera tiene una forma confiable de ser identificados, recolectados, almacenados y verificados. Una prueba digital es confiable si el “sistema que lo produjo no ha sido violado y estaba en correcto funcionamiento al momento de recibir, almacenar o generar la prueba”. La arquitectura de computación del sistema logrará tener un funcionamiento correcto siempre que tenga algún mecanismo de sincronización del registro de las acciones de los usurarios del sistema y que a posea con un registro centralizado e íntegro de los mismos registros.
  • Completitud de las pruebas: Para que una prueba esté considerada dentro del criterio de la suficiencia debe estar completa con lo que es necesario hacer una correlación de los distintos registros.
  • Reglas del poder judicial: La evidencia digital debe cumplir con los códigos de procedimientos, disposiciones y normas legales vigentes en el sistema jurídico del ordenamiento del país.

 

Cómo salvaguardar la evidencia digital

  • Es importante tener presente los siguientes requisitos que se deben cumplir en cuanto a la manipulación de la evidencia digital.
  • Hacer copias empleando medios de almacenamiento nuevos y debidamente formateados.
  • Evitar que cualquier proceso pueda alterar la integridad del medio original.
  • La evidencia digital forense sólo será accesible por un profesional forense informático.
  • Etiquetar, controlar, preservar y documentar las copias de los datos recogidos del medio original y los resultados de la investigación.
  • La evidencia digital será responsabilidad de aquel forense informático que la tenga en posesión o persona autorizada para su custodia.

Clasificación de las evidencias forenses informáticas

Evidencias forenses informáticas según el tipo de ELEMENTO

  • Podemos clasificar la evidencia forense informática según sea una evidencia hardware o digital:
    A la evidencia electrónica se refiere al hardware como podría ser un decodificador de señal, el cual podrá ser ilegal cuando su posesión sea fruto de un delito o no esté autorizada por la ley, podrá ser la herramienta, como un sniffer para escuchar la red, utilizada para cometer el delito o simplemente un instrumento que puede constituir como prueba de haberse cometido el delito y que se usará como elemento de convicción o el hardware podrá ser un elemento físico que se aportará como evidencia por haberse utilizado para cometer un delito la impresora con la que se imprimió unos documentos de secreto industrial o imágenes de pornografía infantil.
  • A la evidencia digital se refiere a la información, programas y datos transmitidos con el sistema informático, considerándose ilegal cuando su posesión no está permitida por la ley, un instrumento cuando se utilice como herramienta para cometer una infracción penal y una evidencia cuando se trate de un rastro digital recuperado a partir de mucha información y que puedan revelar las actividades sospechosas.

Evidencias forenses informáticas según el tipo de SISTEMA

  • Sistemas de computación abiertos, que son aquellos ordenadores (servidores, ordenadores de sobremesa, portátiles…) y sus periféricos (monitores, teclado) de donde se puede obtener mucha información de sus discos duros siendo los elementos principales de donde se suele obtener la información.
  • Sistemas de telecomunicación, donde intervienen las redes cableadas, redes inalámbricas y todo el conjunto descentralizado de redes de comunicación interconectadas al que llamamos internet.
  • Sistemas de computación convergentes, que son aquellos elementos electrónicos que posea convergencia digital y que puede contener evidencia digital como los móviles, pdas, tarjetas inteligentes, etc.

Evidencias forenses informáticas según la FUENTE

  • Evidencias generadas por el ordenador, las cuales son creadas por el sistema de seguridad al producirse algún evento concreto generando logs del sistema y que servirán para demostrar ciertas acciones que se llevaron a cabo en el equipo.
  • Evidencias generados por una persona con el ordenador y almacenadas en él pudiendo demostrar la identidad del generador.
  • Evidencias que combinan los dos casos anteriores, disponiendo de los logs del ordenador y evidencias generadas por una persona.

Para qué se usan las evidencias digitales en informática forense

Los usos de la informática forense son diversos y dado que en la vida cotidiana estamos trabajando continuamente con los sistemas de información en los que vamos dejando rastro de nuestras acciones, puede ayudar a resolver situaciones en distintos entornos:

  • Corporativos: Resolviendo casos de espionaje industrial, mal uso de los recursos por parte de un trabajador, apropiación de información confidencial, acoso sexual, robo…
  • Criminales: Evasión de impuestos, fraude financiero, homicidios, pornografía infantil, tráfico de drogas…
  • Litigios: Divorcios, acosos, discriminación, fraude…
  • Seguros: Reclamaciones por accidentes y compensaciones reduciendo importantes costes para las compañías.
  • Mantenimiento de la ley: Concesión de órdenes judiciales para realizar búsquedas exhaustivas.

Herramientas Informatica Forense

Herramientas de Informática Forense

Las herramientas de la informática forense permiten localizar gran cantidad de información que de otra manera sería casi imposible de encontrar.

Por ejemplo, tras una primera inspección por parte del investigador en la que podrá comprobar en el disco los usuarios existentes en el sistema, los programas instalados y documentos asociados a cada usuario, etc. con las herramientas se podrán obtener un indexado completo del contenido del dispositivo de almacenamiento ordenado por ejemplo por una serie de palabras clave que delatan y evidencian un determinado hecho relevante para el proceso judicial.

La informática forense se relaciona con los delitos informáticos e Internet. Las herramientas de Informática Forense permiten realizar investigaciones de delitos mediante el uso de datos digitales para determinar quién fue el responsable de ciertas acciones.

 

Aplicaciones de Herramientas de Informática Forense

Ayudados de las herramientas de la informática forense es posible realizar acciones como:

  • Recuperar los archivos borrados o que queden ocultos en espacios no asignados del disco.
  • Recuperar información como el último usuario que inició sesión, o los dispositivos USB que fueron introducidos en el equipo, entre otros datos de sesión.
  • Acceder a correos almacenados, recuperar los que estuvieran eliminados, ver historiales de navegación, conversaciones de chat, información sobre las redes sociales y otra multitud de tareas relacionadas con las acciones sociales y las comunicaciones.
  • Analizar la infraestructura de las comunicaciones como protocolos y configuraciones para determinar un comportamiento particular en un momento específico tras seguir los rastros de los movimientos que en muchos casos son aleatorios y disjuntos debiendo ser capaces de unir las piezas para concluir con una determinada acción.
  • Análisis de imágenes y documentos para revelar su autenticidad.
  • Detección de vulnerabilidades en el sistema informático de las organizaciones tras un análisis de seguridad forense informática ayudando a prevenir posibles infracciones.
  • Rastreo del origen del filtrado de información secreta industrial o información privada en internet como es el caso de los datos personales de la víctima de “La Manada” de quien se publicaron sus datos personales y fotografías en varios foros de internet. Vulnerando el derecho fundamental a la privacidad y protección de datos.

 

Software forense informático

La ciencia de la computación crece día a día, y al mismo ritmo evolucionan los ciberdelincuentes. Asimismo, al mismo ritmo debe evolucionar la informática forense y sus herramientas.

Para identificar todos los detalles ocultos que quedan después o durante un supuesto delito informático, se usa un software forense informático específico, con el fin de buscar, preservar y analizar evidencias digitales. Unas de las herramientas profesionales más empleadas en el mundo, se encuentran:

PARA ORDENADOR

  • SANS SIFT
  • ProDiscover Forensic
  • Volatility Framework
  • The Sleuth Kit
  • CAINE
  • Xplico
  • X-Ways Forensics

PARA DISPOSITIVO MÓVIL

  • Android Data Extractor Lite: obtener un flujograma forense.
  • Andriller: obtener información de redes sociales, aplicaciones de mensajería, etc.
  • AFLogical OSE: App de móvil para extraer información de móvil.
  • FTK Imager Lite: trabajar con volcados de memoria.
  • Open Source Android Forensics: emulador para analizar dispositivo móvil.
  • WhatsApp Xtract – Skype Xtractor : Extraer mensajes, llamadas, etc. de Whatsapp y Skype.

 

Hardware de Informática forense

Existe una amplia variedad de herramientas, según la función de cada una. Estas herramientas forenses informáticas también se pueden clasificar en varias categorías, pudiendo permitir:

  • Herramientas de captura de datos y disco
  • Visores de archivos
  • Análisis de archivos
  • Análisis de registro
  • Análisis de Internet
  • Análisis de correo electrónico
  • Análisis de dispositivos móviles
  • Análisis de Mac OS
  • Herramientas forense de red
  • Herramientas forenses de bases de datos

El Laboratorio forense informático (o “Laboratorio Informático Forense”)

Las herramientas de informática forense se ubican en un centro especializado o laboratorio informático forense, donde se cuenta con hardware y software profesional para aplicar metodologías  de análisis forense informático.

Es importante contar con las más avanzadas herramientas para disponer de un informe pericial completo y contundente. En Perito Judicial GROUP disponemos de los instrumentales más modernos.

Fases de la informática forense

Para la realización de un informe pericial informático, se lleva a cabo el trabajo en 3 fases, en cuyo desarrollo se debe ser específicamente meticuloso:

Fase de Adquisición

Replicar fielmente todo contenido digital del sistema de información para:

  • Evitar una contaminación durante el tratamiento del contenido y mantener una cadena de custodia que garantice una copia que todo el procedimiento ha sido llevado a cabo sobre una contenido fehaciente que es copia exacta del original.
  • Evitar que el dispositivo original quede inutilizado para otras tareas ya que el proceso forense lleva su tiempo.
  • Mejorar la conectividad y velocidad llevando la información a un sistema más eficiente para su análisis.
  • Poder volver a ejecutar las tareas efectuadas por el perito informático sobre la información original y demostrar que llevan a los mismos resultados, evitando así que el original sea alterado y sea imposible replicar el procedimiento.
  • Disponer de copias por si hubiera alguna avería en el dispositivo original que impidiera su análisis.

Fase de Preparación

Se llevan a cabo todos los procedimientos necesarios para crear un entorno de pruebas meticulosamente diseñado para poder analizar el contenido y recuperar las evidencias digitales si las hubiera. Los procesos de esta fase son:

  • Una vez obtenida la réplica del original habrá que comprobar que es posible volver a obtener el original a partir de la copia, pues en algunos casos podrá estar comprimida, encriptada o dividida.
  • Validar la restauración de la copia con el original empleando un algoritmo de hash para obtener un resumen digital y comparando ambos resúmenes.
  • Levantar una máquina virtual en el caso de que el contenido a analizar sea de un sistema de archivos de un sistema operativo.
  • Identificar los sistemas operativos y otra información relevante que sirva para comenzar con el diseño de los procesos de la fase de análisis.

Fase de Análisis Forense Informático

Esta fase tiene el objetivo de localizar la evidencia digital que relacione un hecho relevante con la víctima de cara al proceso judicial.

La fase de análisis  de un proceso forense informático tratará de localizar, recoger y analizar todos los rastros digitales para componer la evidencia digital mediante técnicas y herramientas. Las etapas de trabajo que comprenden esta fase son:

  • Búsqueda y recuperación de los datos bit a bit sobre el dispositivo de almacenamiento sin considerar la estructura de sistema de archivos y por lo tanto obviando los metadatos.
  • Recuperación y reconstrucción de los datos originales que fueron eliminados en un sistema de ficheros.
  • Identificación y construcción de relaciones entre conjuntos de archivos, con el fin de obtener una conclusión.
  • Elaboración de la memoria, donde el perito informático recopila la información generada, documenta todo el proceso, analiza los resultados obtenidos tras la obtención de las pruebas del análisis y redacta el informe con los resultados y conclusiones extraídas que presentará en un proceso judicial.

Informática forense vs Seguridad informática (Ciberseguridad)

Tanto la seguridad informática o ciberseguridad y la informática forense se centran en la protección de los activos digitales, asegurando sus sistemas y tecnologías. Sin embargo, son se diferencias en elementos clave.

La seguridad informática y la informática forense son dos caras de la misma moneda.

Esencialmente, la ciberseguridad está estrechamente relacionada con la prevención, mientras que la informática forense se relaciona con la respuesta. En otras palabras: la ciberseguridad trabaja para implementar y mantener un sistema robusto de seguridad de la información, con la intención de defender a una organización de los ciberataques; si estos esfuerzos fallan y se produce un ataque, la informática forense trabaja para recuperar los datos relacionados.

Así, el objetivo de la informática forense es realizar una investigación estructurada mientras se mantiene una cadena de evidencia documentada para descubrir exactamente qué sucedió en un dispositivo informático y quién fue el responsable. Usando una variedad de técnicas y aplicaciones forenses específicas para obtener toda evidencia que pueda ayudar. Elaborando un “informe pericial informático” donde se incluyen todas las conclusiones obtenidas.

Perito en Informática Forense y su ayuda en un juicio
5 (100%) 8 votos

¿Te ha parecido interesante?¿Añadirías algo?

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *