Datos electrónicos: cuándo se vuelven fundamentales para una investigación

Por el Ing. Pablo Rodríguez Romeo (MP 49452 – MN 5117) – Perito Informático Forense, especialista en Seguridad – Socio del Estudio CySI de Informática Forense

En los tiempos que corren, la informática, las herramientas y softwares de investigación forense, y la actuación del perito informático, se han vuelto piezas claves de toda investigación que involucre algún dispositivo tecnológico. Y esto porque cuentan con miles de datosque pueden volverse concluyentes para resolver un delito/litigio.

Para esto, la tarea de los especialistas en rastrear huellas digitales es fundamental para poner a disposición de los profesionales de la justicia la información almacenada en algún medio electrónico o digital que tenga relación con la causa que se trate o el litigio que se quiera resolver.

La información que se encuentra digitalizada normalmente es difícil de visualizar. Por eso, más allá de los análisis que se lleven a cabo, es fundamental exponer la información para una fácil lectura y una rápida compresión.Y en este camino es muy importante saber bien lo que se busca.

Para llevar adelante este proceso, los peritos informáticos utilizan las bondades que ofrecen las herramientas y softwares de investigación forense, y ponen en juego su astucia analítica para identificar datos relevantes y realizar cruces de información. Es una tarea contra el tiempo tan importante como resguardar la pericia informática y el método utilizado, para evitar la nulidad de la prueba o evidencia digital.

En la era digital, estamos ante un enorme tesoro de datos electrónicos que requieren ser procesados y analizados con rapidez y precisión. Sin la tecnología y los expertos puestos al servicio de la investigación informática, todo esto no hubiera sido posible.

En principio, es importante saber qué dispositivo hay que peritar.Generalmente, las investigaciones toman en cuenta teléfonos celulares, computadoras (PCs, notebooks, etc.) o discos de almacenamiento (pendrives, CDs, DVDs, etc.).

Si nos encontramos ante un teléfono celular, lo primero que se realiza es la extracción del contenido del equipo. Para esto se utiliza alguna herramienta de extracción, como puede ser MobiEdit, Axiom, UFED, entre otras. La realidad es que debemos disponer de todas ya que algunas se utilizan con ciertos teléfonos y otras con otros, o bien algunas extraen ciertos datos que otras no. Ante las nuevas tecnologías lo ideal es tener a disposición varias herramientas para poder llevar adelante la tarea.

Si estamos ante un equipo, la extracción o imagen forense se puede realizar con la herramienta de hardware Ditto, Tableau, entre otros. Estas imágenes de disco pueden ser de forma física o lógica. En el primer caso, se realiza una copia exacta del disco incluyendo lo eliminado; en el segundo, la copia lógica de la unidad no realiza copia de lo eliminado.

Ahora bien, ante un medio de almacenamiento, la copia forense se realiza igual que con un equipo pero no vamos a tener comportamiento de un equipo. De todos modos, se puede buscar información variada.

Luego de la extracción viene el análisis. Generalmente, los profesionales de la justicia solicitan qué buscar o analizar dentro del equipo (una actividad, un mensaje, una llamada, fotos, redes wifi registradas, etc.). Como se puede obtener mucha información, lo más importante es saber qué es lo que se debe buscar. Se puede hacer una línea de tiempo de las actividades del equipo, últimos archivos modificados, última fecha de inicio búsqueda de imágenes, de correos, de navegación. En fin, se puede obtener toda la actividad del equipo y todos sus archivos.

Para realizar las búsquedas se pueden utilizar gran cantidad de herramientas forenses dependiendo de lo que se quiera mostrar. Una herramienta muy utilizada es NUIX, excelente para el análisis y búsqueda de información en un disco; también Axiom, con muy buenos resultados para obtener registros de navegación. Existe una múltiple oferta de herramientas de extracción, análisis y procesamiento de datos tanto gratuitas como pagas, con un sinnúmero de características en función de la tarea que se tenga por delante.

Mas allá de la herramienta que se use, es clave el conocimiento que tenga de ella el profesional forense así como de la información que debe relevar. Las herramientas no hacen más que facilitar el trabajo que se podría hacer manualmente.