Los especialistas en criminología examinan la escena de un crimen en búsqueda de pistas tangibles. Ahora bien, cuando los delitos incluyen escenarios digitales, se torna imprescindible efectuar lo que se conoce como pericias informáticas.
Se trata de una estrategia que tiene como objetivo buscar en interfaces y dispositivos tecnológicos evidencia digital que pueda ser utilizada en casos penales, comerciales y civiles, investigaciones de ciberdelitos y otros asuntos particulares, corporativos y de seguridad nacional.
Los responsables de la realización de pericias informáticas deben ser expertos no solo en la búsqueda de evidencia, sino también en su recopilación, manejo y procesamiento, a fin de garantizar su fidelidad y admisibilidad ante los organismos jurídicos.
En este artículo, indagamos sobre la importancia de las pesquisas forenses IT, exploramos sus diferentes ramas y explicamos cuáles son los pasos necesarios para realizarlas.
¿Qué son las pericias informáticas y cuál es su importancia?
Cuando hablamos de pericias informáticas, nos referimos a las técnicas de investigación y análisis para recopilar y preservar evidencia de un dispositivo informático específico, de modo tal que sea adecuada para su presentación ante un tribunal en un proceso legal.
El objetivo de las investigaciones digitales forenses es realizar una investigación estructurada y mantener una cadena de evidencia documentada para determinar con exactitud qué sucedió en un dispositivo informático y quién fue el responsable de lo acontecido.
Todos los dispositivos IT generan cantidades masivas de datos. Muchos registran todas las acciones de sus usuarios, así como las actividades que realizan, como las conexiones de red y las transferencias de datos.
Dado que los dispositivos informáticos se utilizan en todos los aspectos de la vida, las pericias informáticas se tornan cruciales para resolver diversos delitos y asuntos legales, tanto en el mundo digital como en el físico.
La evidencia electrónica —que se obtiene de diversas fuentes, como computadoras, dispositivos móviles, sistemas informáticos, dispositivos de almacenamiento y con tecnología IoT, entre otros—puede utilizarse en investigaciones y procedimientos legales para:
- Comprender cómo se produjo un robo o filtración de datos y quiénes lo llevaron a cabo
- Entender el impacto de estas filtraciones o robos en las organizaciones
- Capturar evidencia digital de teléfonos móviles u otros dispositivos cercanos a lugares donde haya ocurrido un siniestro
- Identificar y procesar delitos como fraude corporativo, malversación de fondos y extorsión
En el ámbito corporativo, las pericias informáticas también se usan para identificar e investigar incidentes de ciberseguridad.
Normalmente, la evidencia digital se utiliza como parte del proceso de respuesta a incidentes para detectar una brecha de seguridad, identificar la causa raíz y los actores de la amenaza y mitigar su impacto negativo.
¿Cuáles son las diferentes ramas de la investigación forense digital?
Dentro de la computación forense existen diferentes ramas, cada una con sus objetos de estudio y particularidades.
Informática forense aplicada a computadoras
Esta rama se encarga de la investigación de computadoras y dispositivos de almacenamiento digital para identificar, preservar, recuperar, analizar y presentar datos como evidencia.
Aunque comparte principios con la recuperación de datos, este tipo de análisis añade protocolos estrictos que aseguran una cadena de custodia clara y un rastro de auditoría válido legalmente.
Informática aplicada a dispositivos móviles
Esta especialidad se enfoca en la recuperación de evidencia digital de dispositivos con memoria interna y capacidad de comunicación.
Además de teléfonos móviles, incluye tablets y dispositivos GPS.
Informática forense aplicada a redes
Esta área se dedica a monitorear, registrar y analizar la actividad en las redes.
La información que viaja por las redes es muy dinámica y volátil, ya que los datos desaparecen una vez transmitidos. Por eso, esta rama de la investigación forense es un proceso proactivo que requiere una supervisión constante.
Análisis forense de datos
Se centra en la examinación de datos estructurados que se encuentran en bases de datos y sistemas de aplicaciones, generalmente en el contexto de delitos financieros.
Su objetivo principal es detectar y analizar patrones que sugieran actividades fraudulentas.
Informática forense aplicada a bases de datos
Esta rama investiga el acceso a las bases de datos y reporta los cambios realizados en los datos.
Puede utilizarse para diversos fines, como identificar transacciones fraudulentas o verificar la validez de los datos y las acciones de un usuario específico, tomando como referencia las marcas de tiempo de las actualizaciones.
Paso a paso para realizar una pericia informática
El proceso forense digital puede variar según cada requerimiento específico, pero generalmente consta de cuatro pasos principales: recopilación, preservación, análisis y presentación de informes.
Identificación de los dispositivos a auditar y recopilación de datos
Todo comienza con la identificación de aquellos dispositivos o medios de almacenamiento que contienen los datos y elementos relevantes para la investigación.
A continuación, llega el momento de recopilar los datos, obteniendo la evidencia digital que se necesita. Los peritos informáticos buscan archivos eliminados, cifrados o dañados dentro de los dispositivos, estén visibles o no.
Preservación de datos
Dado que es fundamental preservar la integridad de los datos, al realizar una pericia informática es fundamental crear copias digitales de los dispositivos y guardarlas en un lugar seguro.
Los expertos forenses crean una imagen, o copia bit a bit, de los datos que se van a preservar. Luego, almacenan de forma segura tanto la imagen como el original para protegerlos de alteraciones o destrucción.
Se recopilan dos tipos de datos: datos persistentes y datos volátiles. Mientras que los primeros están almacenados en el disco duro local de un dispositivo, los segundos se ubican en la memoria o en tránsito (por ejemplo, registros, caché y memoria RAM).
Análisis forense de datos
El tercer paso es la realización de la pericia informática. En esta fase, los investigadores analizan la copia creada a fin de identificar evidencia digital relevante.
Los elementos analizados incluyen archivos borrados intencional o involuntariamente, historial de navegación y correos electrónicos, entre otros. El objetivo es determinar quiénes fueron los responsables de la creación y de la edición de los datos y cuándo se realizaron estas actividades, así como cualquier información que se necesite conocer.
Para descubrir datos o metadatos «ocultos», se utilizan técnicas especializadas, como el análisis en vivo, que evalúa sistemas aún en funcionamiento para detectar datos volátiles.
También se aplica esteganografía inversa, una estrategia que expone datos ocultos mediante esteganografía, una técnica para ocultar información confidencial en mensajes que a simple vista parecen no contener nada fuera de lo común.
Presentación de informes
La fase de informes implica sintetizar los datos y el análisis en un formato comprensible para el público general.
Para lograr este propósito, los investigadores forenses elaboran un informe que resume su análisis y comparten los hallazgos de la investigación, así como las conclusiones o recomendaciones.
Estos relevamientos se utilizan por las partes interesadas para presentar pruebas digitales ante un tribunal de justicia.
En RC Sistemas & Gestión, contamos con amplia experiencia en la preparación de requerimientos periciales y en el servicio de peritos de parte. Si buscás una empresa que realice pericias informáticas de manera profesional y eficiente, no dudes en contactarnos.
Contáctanos