¿Sabes cómo se investiga la ciberdelincuencia? Descubre el trabajo de un perito informático, el CSI del delito digital

Fecha: Vie, 06/05/2016 - 12:19 Fuente: Por Aldama Informática Legal

Identificar el delito, investigar la ‘escena’ del crimen, hacer una correcta custodia de las pruebas y analizarlas, entre las labores que realiza el perito informático
¿Sabes cómo se investiga la ciberdelincuencia? Descubre el trabajo de un perito informático, el CSI del delito digital Imagen cortesía de Aldama Informática Legal

En el momento en el que se produce un robo o un homicidio, a todos nos viene a la cabeza la policía y sus grupos especializados como los encargados de seguir las pistas. Pero ¿qué ocurre cuando el delito es digital? En estos casos, son los peritos informáticos los que se convierten en CSI del delito digital y están encargados de realizar las investigaciones pertinentes para descubrir al delincuente.
Para que esto sea posible, los peritos informáticos se apoyan en el principio de Intercambio de Locard, el cual afirma que todo contacto digital, deja rastro. De acuerdo con Carlos Aldama, perito informático y director de Aldama Informática Legal, “toda manipulación, una conversación de WhatsApp, un correo electrónico o un hackeo empresarial, deja un rastro que un perito puede seguir y analizar para identificar el objeto del ataque, el atacante, los medios usados y lo que ha afectado al usuario”.
Pero este proceso, no siempre es sencillo. Como añade Aldama, “muchas veces estas pistas son falsas o simplemente incompletas y obligan a continuar la investigación o, incluso, a ‘permitir’ que el atacante continúe haciéndolo para recoger más datos. En este caso, se establecen lo que se llaman honeypots (botes de miel) con los que el atacante se ‘distrae’ pensando que está asaltando el objetivo y nos permite recabar sus datos.”

¿Y todo esto cómo se hace? Para conocer en detalle cómo es el proceso para investigar los delitos digitales, te mostramos a continuación los principales pasos a seguir:
- Identificar el delito: el primer paso es la identificación del delito digital cometido. Al igual que está claro que no es lo mismo un hurto que un atentado, no es lo mismo una manipulación de WhatsApp para inventarse una conversación, que piratear un servidor para realizar un robo o espionaje industrial.

- Acotar la escena: éste es un paso fundamental, ya que si la escena es muy amplia, supondrá una investigación menos efectiva y a salirse del objetivo, mientras que si es muy estrecho, es muy probable dejar por fuera evidencias importantes que pueden ser fundamentales para dar con el responsable del delito.

- Recopilar las evidencias: lo próximo en el ‘lugar del crimen’ es recoger la información necesaria, bien sea el dispositivo en el que se ha cometido el delito o, en el que se vean sus consecuencias. Así, se aplican diferentes técnicas de recolección según el medio y la situación: las clonadoras forenses para recolectar y clonar discos duros; los bloqueadores de escritura, para no modificar los discos analizados; los dispositivos de análisis forense de móviles; las jaulas Faraday, para evitar el acceso remoto y eliminar datos, y un largo listado de tecnologías que distinguen la profesionalidad y conocimientos del perito informático a la hora de hacer una investigación y posterior defensa.

- Preservar las pruebas: para que la investigación sea válida, se debe garantizar la no manipulación de los datos. Para conseguirlo, con las máquinas especializadas se realiza una adquisición y custodia efectiva, bien sea ante Notario o con medios suficientes para asegurar que la prueba no se ha manipulado, tales como actas con testigos en los que se calcula el Hash de las evidencias. Asimismo, es necesaria la meticulosidad del registro y acción completa de todo el proceso, incluido el etiquetado y su traslado a lugar seguro. Estas pruebas se deben mantener en su formato digital y proporcionárselas a la otra parte para que puedan comprobar su veracidad y contrastarlas.

La importancia de este paso es fundamental, ya que como afirma Aldama, “si no se hace correctamente, nos pueden pasar muchas cosas: por ejemplo, que un móvil que estemos examinando tenga un software de control remoto y nos borren la prueba o que los datos caigan en manos de un tercero que pueda manipularlos. Siempre que sea posible, se debe certificar la recogida de evidencia de manera técnica, indicando el sellado de tiempo que permita tener garantías de todas las actuaciones”.

- Analizar las evidencias: se debe efectuar una reconstrucción del delito, analizando los datos que tenemos para dar respuesta a las preguntas de la investigación. En este caso, siempre se trabaja sobre máquinas clonadas para hacer las pruebas forenses que se requieran, investigando todos los datos eliminados y haciendo un examen exhaustivo de cada evidencia en función del objeto de nuestra pericia informática.

Por ejemplo, en caso de robo, la práctica habitual es comprobar lo eliminado para posteriormente acotar la escena y verificar si ha existido extracción de datos a través de dispositivos externos, por red o internet. Seguido, se analiza la autoría de la fuga de datos, identificando siempre que sea posible el responsable final del destino. Se comprobará también la navegación realizada y todo el trabajo realizado, pero todo ello con búsquedas ‘ciegas’ que, a raíz de términos positivos (objetivos de búsqueda) y negativos (palabras que pueden atentar contra las comunicaciones, intimidad…), puedan llevarnos directamente al foco de nuestra investigación.

- Documentación y resultados: al hacer el análisis se suelen encontrar problemas, sobre todo cuando las pruebas han sido manipuladas. En estos casos, siempre hay que documentarlo en el informe: un trabajo correcto pero mal documentado, no sirve de nada. Es importante que los informes sean claros en estructura y redacción, entendibles para no expertos, pero sin obviar los tecnicismos necesarios para la descripción correcta de la prueba. Además, deben recoger todo el proceso realizado y que nos ha llevado a las conclusiones, de tal manera que la parte contraria pueda realizar las mismas pruebas para comprobar si llegan a los mismos resultados.

- Ratificación en juzgado y defensa del informe: el último paso es acudir al juzgado para explicar la investigación y sus resultados, paso muy complejo que requiere de experiencia y conocimiento del funcionamiento legal de los juzgados. Se debe también garantizar una exposición entendible para neófitos en la materia.

En definitiva, las investigaciones de delitos informáticos deben basarse en grandes dosis de prudencia, saber hacer y saber contarlo para que tenga plena validez y eficacia en un proceso judicial. Ante esto, puede surgir la duda de ¿es necesario el perito ingeniero informático? Lo cierto es que es totalmente recomendable ya que es el mejor aliado que un abogado o un juez se encontrarán al de defender la validez de evidencias digitales.

 

 

valorar este articulo:
Su voto: Nada

Enviar un comentario nuevo

Datos Comentario
El contenido de este campo se mantiene como privado y no se muestra públicamente.
Datos Comentario
Datos Comentario
Enviar