Si ha visto suficientes programas de crimen en televisión, es probable que haya visto a un actor o actriz que interpreta a un investigador forense. En programas como CSI: Miami, los investigadores forenses parecen ser capaces de escribir algunas llaves en una terminal y boom, tienen toda la información que necesitan.
En la vida real, sin embargo, la informática forense no es tan simple. De hecho, los investigadores forenses informáticos pueden tardar días en diseccionar toda la información necesaria para un caso.
En este artículo, discutiremos la informática forense y cómo se llevan a cabo este tipo de investigaciones.
¿Qué es la Informática Forense?
Para aquellos que no están familiarizados con la informática forense, es el arte y la ciencia de descubrir evidencia almacenada en computadoras y almacenamiento digital.
Los ingenieros forenses informáticos extraen pruebas de una manera legalmente sólida para garantizar su utilidad en procedimientos judiciales penales o civiles. Para garantizar que las pruebas no sean manipuladas y admisibles en el tribunal, los investigadores forenses informáticos utilizan una cadena de custodia documentada y herramientas como bloqueadores de escritura y sellos de manipulación.
Cuando se produce una actividad delictiva que involucra a una computadora, como un ataque de denegación de servicio (DOS) o piratería informática, el sistema utilizado contiene una gran cantidad de pruebas con respecto al delito. Incluso en casos penales que no están explícitamente relacionados con la ciberseguridad, como tráfico de drogas, fraude o incluso asesinato, es probable que los dispositivos del sospechoso contengan pruebas del delito en correos electrónicos, historial de Internet, documentos e imágenes.
Ejemplos de la vida Real de la Informática Forense en Acción
En 2010, un predicador bautista llamado Matt Baker fue condenado a 65 años de prisión por el asesinato de su esposa. En el informe inicial se afirmaba que la esposa se había suicidado tomando pastillas para dormir en sobredosis. Tras una investigación adicional, un analista forense descubrió que Baker había buscado «sobredosis de pastillas para dormir» y había visitado varios sitios web farmacéuticos antes de la muerte de su esposa. Sin esta información de la computadora de Baker, nunca habría sido llevado ante la justicia.
Las corporaciones comerciales también utilizan la informática forense por una gran variedad de razones. El robo de propiedad intelectual, el fraude, las falsificaciones y las disputas laborales pueden resultar en el uso de computadoras forenses para proporcionar evidencia para casos civiles. Imagine un escenario en el que un empleado afirma haber sufrido acoso o prejuicio sexual por parte de un empleador. Los dispositivos propiedad de la empresa probablemente serán uno de los lugares más útiles para encontrar pruebas.
Cuando un individuo trabaja para una organización, cualquier trabajo realizado en los dispositivos corporativos normalmente pertenece a esa organización, incluso si ese empleado estaba trabajando en un «proyecto personal» mientras usaba este dispositivo. Las empresas pueden optar por utilizar la informática forense para demostrar que el producto les pertenece, ya que se creó en un dispositivo de la empresa. Los análisis forenses informáticos se pueden utilizar para encontrar esta evidencia, incluso si el empleado cree que ha eliminado todos los archivos aplicables en esa computadora.
Pasos en una Investigación Forense Informática
Para las personas que trabajan en informática forense, hay cinco pasos esenciales para una investigación exitosa.
Desarrollo de políticas y procedimientos
Al igual que con cualquier función, mantener políticas y procedimientos correctamente definidos es crucial. En informática forense, estos procedimientos pueden describir cómo preparar adecuadamente los sistemas para la recuperación de pruebas y los pasos para garantizar la autenticidad de los datos.
Evaluación de pruebas
Las computadoras pueden almacenar mucha información, a veces terabytes de datos, que no todos se aplican a un caso específico para el que un investigador está recopilando pruebas. Los investigadores necesitan conocer el caso en cuestión y comprender qué pruebas se aplican al caso.
Adquisición de pruebas
No basta con localizar las pruebas. Las pruebas deben ser reunidas y adquiridas, siguiendo directrices estrictas para garantizar su admisibilidad en el tribunal. Las instrucciones típicas para preservar la evidencia incluyen la eliminación física de los dispositivos de almacenamiento, el uso de bloqueadores de escritura para evitar manipulaciones y documentación exhaustiva, como una cadena de custodia.
Examen de pruebas
Al evaluar y adquirir pruebas, el siguiente paso es examinar las pruebas potenciales. Los investigadores utilizan diversos métodos, técnicas y herramientas para revisar los datos digitales. Los archivos ocultos intencionalmente y cualquier dato etiquetado con una fecha y hora son particularmente útiles para los investigadores.
Documentar e informar
Documentar todos los pasos de la investigación es un aspecto crítico de las tareas de cualquier investigador forense informático. Dado que el objetivo de recopilar estos datos suele ser presentarlos en un tribunal, cualquier falta de documentación e informe precisos de las medidas adoptadas podría dar lugar a que las pruebas fueran inadmisibles.
Continúe con su Búsqueda Forense por Computadora
Si está interesado en obtener más información sobre la ciencia forense digital, visite nuestra página de servicios Forenses digitales aquí.