El Cómputo Forense – Importancia, Necesidades y Estrategias

Al hablar de un manual de procedimientos en delitos informáticos no solamente se hace referencia a definir cuáles serán los pasos que deberá seguir el investigador al llegar a la escena del crimen. Definir este procedimiento en términos de “el investigador debe abrir el explorador de Windows, ubicarse en la carpeta de Archivos de programa… buscar los archivos ejecutables que existan en la máquina…” sería caer en una situación que no sería casi imposible ya que todo sistema es completamente diferente.

En otras ocasiones, la investigación será proporcionada a un ejecutivo de la alta administración, sin embargo, es muy importante de que todo el proceso se realice con los procedimientos pertinentes para que en el caso de que se requiera, se pueda iniciar un procedimiento legal.

El procedimiento forense digital busca, precisamente, evitar esas modificaciones de los datos contenidos en el dispositivo de almacenamiento. También, como es lógico, pueden presentarse como resultante de la intervención directa del investigador, cuya tarea inicial es “congelar” la evidencia y asegurarla, para posteriormente presentarla para su análisis. El aseguramiento se hace, única y exclusivamente, mediante la utilización de herramientas de software y hardware que, a su vez, utilizan métodos matemáticos complejos para copiar cada medio magnético en forma idéntica; es decir, que les permiten obtener copias digitales idénticas (bit a bit) al original.

En algunas ocasiones, no es posible realizar las imágenes forenses sin alterar la prueba; pero para ello tendremos que validar y justificar exactamente para que sea válida.

Siendo así, definimos el cómputo forense como:

“Aplicación de técnicas científicas y analíticas especializadas a la infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal. Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.”

Para explicarlo más a detalle, cuando se presenta un delito informático o incidente, el investigador debe, inmediatamente, generar una imagen forense de todo el contenido del dispositivo, incluyendo el espacio libre. Ésto si se tiene acceso al medio a analizar como lo es una computadora completamente apagado. En otra ocasión hablaré de el análisis forense a dispositivos que no pueden ser apagados; conocido como el Análisis Forense en Vivo.

Lamentablemente, obtener una imagen forense legalmente aceptable no es tarea fácil. Sin embargo, la industria y la práctica legal en otros países han definido estándares que, entre otros, ayudan al mejoramiento de dicho proceso.

Hoy por hoy, cualquier persona con un nivel medio de conocimientos en sistemas puede modificar evidencia digital por desconocimiento.

En la siguiente entrega hablaremos de la imagen forense, qué es y cómo se genera.