La investigación informática forense

codigos pc opt

La búsqueda, obtención y análisis de las evidencias digitales que permitan fundamentar una pretensión ante los tribunales, es una de las cuestiones de mayor dificultad técnica y jurídica de la actualidad. Una reciente jornada sobre informática forense,  ha analizado sus principales aspectos.

La investigación informática forense

D. Carlos B Fernández menciona que, la búsqueda, obtención y análisis de las evidencias digitales que permitan fundamentar una pretensión ante los tribunales, es una de las cuestiones de mayor dificultad técnica y jurídica de la actualidad. La investigación informática forense es esencial.

El Foro sobre innovación tecnológica forense y práctica jurídico (FITF´17), recientemente organizado por OnRetrieval y Cellebrite, ha permitido conocer más de cerca los problemas que plantea esta actividad.

La obtención de la prueba digital

La obtención de la prueba digital y análisis de las evidencias digitales se realiza por las unidades especializadas de las fuerzas y cuerpos de seguridad. Para la obtención de la prueba digital, intervienen las unidades de investigación tecnológica de la Guardia Civil (que cuenta con el Grupo de Delitos Telemáticos – GDT y los Equipos de Investigación Tecnológica – EDITE).

Estas unidades están encuadradas en las Unidades Orgánicas de Policía Judicial de la Guardia Civil desplegadas a nivel provincial..

El director adjunto operativo de este cuerpo, teniente general D. Pablo Martín Alonso, destacó que esta actividad se realiza bajo los principios de integridad de los datos, apoyo especializado y legalidad.

La preservación de la cadena

En esta tarea es fundamental la preservación de la cadena de custodia, que asegure la integridad y autenticidad de la prueba hasta el momento de la celebración del juicio oral.

Y para ello, dada la volatilidad de este tipo de materiales, es esencial, por un lado, contar con los recursos técnicos adecuados. Y, por otro, que la manipulación del material intervenido se realice por personal experto en la materia, que sepa tanto lo que se puede hacer. Así como muy especialmente, lo que no se puede hacer con el mismo.

Se necesita una formación especializada y continua que asegure la implantación de una cultura tecnológica, así como una estrecha colaboración entre los cuerpos de seguridad, la universidad y la empresa privada que asegure la adaptación a un entorno en continuo cambio.

Además, dada la pluralidad de unidades que intervienen en este tipo de investigaciones, y el carácter transnacional de muchas de ellas (consustancial a internet), resulta igualmente importante la coordinación de actuaciones. No solo entre las diferentes unidades implicadas, sino también entre los distintos países y sus respectivos cuerpos. Así como entre los diferentes órganos judiciales, a fin de que las actuaciones realizadas en un país se puedan usar y ser válidas en otro.

TAMBIÉN TE PUEDE INTERESAR:  Oxygen Forensic Detective 13.4 ya disponible

La importancia del tiempo en la investigación forense

En la actualidad, el dispositivo más valioso para la obtención de datos son los teléfonos móviles. Su “apertura” y la extracción y análisis de la información contenida en los mismos se enfrenta al reto principal de la rapidez.

La importancia del tiempo en la investigación forense es esencial.  Según destacó el experto en investigación informática D. Asher Rubel, si en las primeras 48 horas no se logra disponer de una prueba sólida, las posibilidades de éxito de la investigación se reducen a la mitad.

Esto es particularmente preocupante si se tiene en cuenta además que muchos laboratorios forenses se encuentran saturados de trabajo. Así se tiene que,  dados el volumen, la velocidad de transmisión la diversidad de los datos digitales manejaos, sus tiempos de respuesta son lentos.

De ahí la importancia de contar con herramientas que permitan un primer análisis in situ, además de la colaboración entre los investigadores intervinientes.

Trabajo Forense

Como señaló D. César García Jaramillo, CEO de OnRetrieval, el perito informática realiza su trabajo por medio de unas herramientas, que pueden ser de hardware o de software, además de con sus técnicas de investigación.

El objeto final de esta investigación es recopilar evidencias; facilitar el interrogatorio del sospechoso; refutar su coartada; facilitar la colaboración cruzada con los demás investigadores e identificar la red de contactos del sospechoso.

Para ello, el flujo de trabajo forense sigue las siguientes fases: 1. Desbloqueo del dispositivo; 2. Extracción de la información; 3. Decodificación y análisis de la información y 4. Aceleración del proceso de investigación.

El desbloqueo del dispositivo:

Se puede realizar automáticamente por algunas herramientas, que permiten el acceso a unos 4.000 tipos diferentes de dispositivos, si bien los de última generación resultan más complicados de acceder. En estos, a menudo la encriptación se encuentra en el propio dispositivo, por lo que no basta con extraer su contenido sino que hace falta disponer del propio elemento físico.

La extracción de la información:

Mediante la informática forense, se realiza a tres niveles: una extracción lógica básica, que permite acceder al registro de llamadas, mensajes, fotos, textos e información similar contenida en el dispositivo; en segundo lugar, la de los archivos del sistema y, en tercer lugar, una extracción física del contenido del terminal (los 1 y 0 que componen su contenido básico y que puede alcanzar incluso sectores no reconocidos de su memoria).

La decodificación y análisis:

Se orienta acceder a los datos del dispositivo, incluso los hexadecimales, convirtiéndolos en formatos de información legibles que el perito puede utilizar en su análisis.

TAMBIÉN TE PUEDE INTERESAR:  Peritaje informático

En esta fase ya se están aplicando herramientas que permiten una revisión automatizada de los datos extraídos, facilitando una visión centralizada de los mismos. Igualmente se aplica herramientas basadas en la inteligencia artificial, como:

  • Las de reconocimiento facial de alta calidad;
  • La identificación de objetos como armas, drogas o pornografía;
  • La identificación de fotos de lugares (todas ellas con el correspondiente identificador único Hash);
  • Las nubes de relaciones de relaciones entre datos o la búsqueda de textos y ubicaciones.

Gracias a esta información se pueden reconstruir aspectos como la actividad realizada, la ubicación del dispositivo, el historial de navegación, los perfiles personales del usuario y su actividad social.

Las dificultades procesales de la pericial informática

Según destacó Dña. Pilar Rodríguez, fiscal adscrita en materia de criminalidad informática, la informática forense es absolutamente necesaria para el desempeño de su labor para la investigación de hechos que puedan ser constitutivos de delito. Pero para ser eficaz necesita disponer de medios y recursos para realizar eficazmente su trabajo.

La reciente crisis económica ha limitado notablemente la capacidad de actuación de los cuerpos de seguridad. Los departamentos de policía científica están saturados y tardan una media de 2 a 3 años en emitir sus informes, cuando una prueba es impugnada por la defensa. Por ello la fiscalía no suele acudir a su peritaje salvo que le resulte indispensable.

La necesidad de recursos adecuados

La necesidad de recursos adecuados fue algo en lo que también se mostraron de acuerdo D. Francisco Javier González, inspector jefe del servicio de criminalística de la Guardia Civil y D. Juan Antonio Morán, Jefe del Servicio Técnico de logística de la Dirección General de Policía. Destacaron la rapidez con la que evoluciona la tecnología y la necesidad de permanente actualización de los cuerpos policiales, pues el reto de superar los obstáculos a la investigación que interponen los delincuentes es cada vez mayor.

Además, los mandos policiales hicieron referencia a las dificultades que en ocasiones la propia legislación procesal impone a su trabajo, por ejemplo por la exigencia de participación de los letrados de la Administración de Justicia en las diligencias de registro de dispositivos.

En relación con estas dificultades de actuación, el magistrado D. Juan Antonio Toro indicó que los cuerpos policiales deben cumplir con los requisitos legales mínimos en la realización de su trabajo y posteriormente encajar los resultados en el marco del Convenio de Budapest sobre ciberdelincuencia.

Fuente: Diario La Ley

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

Deja un comentario

Call Now Button