Por el Ing. Pablo Rodríguez Romeo, Perito Informático Forense, especialista en Seguridad – Socio del Estudio CySI de Informática Forense – www.cysi.com.ar
Hoy en dia, es una realidad que la mayoría de nuestros intercambios se realizan digitalmente y esto puede tener relevancia como evidencia en investigaciones legales, de seguridad o privadas.
Correos electrónicos, mensajes de aplicaciones como WhatsApp, Telegram, entre otras, publicaciones en redes sociales como Facebook, X e Instagram, comentarios en foros y blogs, o incluso chats en juegos en línea y plataformas interactivas, se pueden utilizar como pruebas digitales en cualquier tipo de litigio o proceso judicial. Pero, para que estos elementos adquieran validez probatoria es fundamental la intervención de un perito informático forense para manejar y analizar los datos que contenga el dispositivo tecnológico en cuestión, a partir de la utilización de técnicas especializadas que permitan su admisión en procesos judiciales.
Para esto, asegurar la cadena de custodia que resguarde la integridad de la evidencia informática (contenida dentro de un dispositivo móvil) es crucial en su labor, al igual que tomar las mejores decisiones para la adecuada extracción y preservación de la prueba. Sin embargo, muchas veces un proceso que ya de por sí es complejo por la rigurosidad y expertise que requiere, puede serlo aún más cuando no se dispone del dispositivo original, pero sí de capturas de conversaciones o pantallas de navegaciones en internet.
La prueba informática o digital tiene características propias que la hacen sumamente frágil, esto significa que puede ser fácilmente eliminada o modificada sin dejar rastros. Pero también es reproducible, lo que permite realizar copias idénticas de la información original. Por eso, garantizar la integridad de la información recopilada es fundamental, y esto se logra estableciendo una cadena de custodia debidamente documentada (que incluya todos los procedimientos desde la extracción de la evidencia hasta su entrega, con detalles como hora y fecha del allanamiento, datos de quién extrajo la información, por qué motivo, a quién se le entregó y cualquier otra información que sea relevante).
Desde una perspectiva técnica, es imprescindible, para asegurar la validez de una prueba, contar con el dispositivo original ya que esto permite realizar un análisis completo del mismo, extrayendo la información directamente desde la fuente mediante técnicas forenses. A través de herramientas especializadas, se pueden generar informes exhaustivos que incluyen no solo los mensajes de texto, sino también metadatos (como fechas, horas y remitentes) y detalles adicionales que son difíciles de modificar. Por eso, no podria considerarse prueba digital una captura de pantalla o un correo electrónico impreso, desde el punto de vista técnico solo se trataría simplemente de papel.
¿Cuáles son los procedimientos que lleva adelante un perito informático para la extracción de información de un dispositivo?
El resguardo inicial del dispositivo es un paso crítico. Realizar la preservación evitando la conexión, extraer el chip, ponerlo en modo avión, colocarlo en una jaula de Faraday, son medidas que evitan el acceso remoto y cualquier intervención no autorizada. Esto protege la evidencia de posibles manipulaciones o eliminaciones remotas.
Ya sea en la escena del crimen o en el laboratorio forense, se debe realizar una copia forense o extracción de la información almacenada en el dispositivo. Nunca se debe trabajar con la evidencia original para evitar daños o alteraciones. La copia forense permite recuperar datos eliminados y reconstruir los pasos del usuario. Para ello, se utilizan software especializado en la extracción de datos de un dispositivo móvil y en investigación forense, para analizar y procesar grandes cantidades de información de manera rápida y eficiente, sin poner en riesgo la evidencia original.
En definitiva, la intervención oportuna y experta de un perito informático forense es esencial en todos estos procesos, garantizando que la evidencia digital se presente de manera íntegra y confiable para que el tribunal pueda tomar decisiones basadas en pruebas sólidas y verificables. Es imprescindible recordar además que solo se considera prueba digital lo que es digital, no lo impreso. Realizar un juicio de valor o emitir una opinión sobre una impresión no es la función de un perito informático.