Los detectives de la era digital

Gracias a la inform�tica forense, se est�n desenterrando los secretos de los PC de

Ra�l Reyes. Le contamos c�mo trabajan los peritos inform�ticos.

Despu�s de muerto, confes�. Alias Ra�l Reyes, cuyo nombre de pila era Luis �dgar
Devia Silva, cambi� los discursos a favor de la guerrilla de las Farc y de una
revoluci�n que nunca fue, por un lenguaje de unos y ceros para delatar a sus
colaboradores, revelar la compra ilegal de armas e informar la ubicaci�n de dineros
escondidos en el extranjero, que son el bot�n de una guerra que perdi� hace mucho
tiempo el sentido.

Concluy� en �xito la fase de liberaci�n unilateral de prisioneros. Nos quitamos

varias cargas de encima y apuntalamos nuestra pol�tica frente al presidente Ch�vez.
El punto negro es el incremento de la presi�n por �ngrid, por cuenta de las
declaraciones de Luis Heladio (sic) P�rez, dando cuenta de su extrema gravedad y el
trato discriminatorio contra ella. Hasta donde conozco, esta se�ora es de
temperamento volc�nico, es grosera y provocadora con los guerrilleros encargados de
cuidarla. Adem�s como sabe de imagen y semiolog�a, las utiliza en impactar en
contra de las Farc. Previendo los reclamos del Emisario franc�s, pienso informarlo
de esta situaci�n.

El p�rrafo anterior es el fragmento de un correo electr�nico que envi� Reyes el 28

de febrero del 2008, un d�a antes de ser abatido, al Secretariado de las Farc. Un
mensaje que hoy en d�a hace parte de la �confesi�n? digital que cumple Reyes, el
primer miembro del Secretariado de las Farc dado de baja por el Ej�rcito en una
lucha que est� cerca de completar medio siglo de duraci�n.

Seg�n el Ministro de Defensa de Colombia, Juan Manuel Santos, los investigadores

hallaron m�s de 16.000 archivos en los tres computadores port�tiles encontrados en
el campamento donde muri� Reyes, inform� el diario The New York Times.
Los datos de estos port�tiles, sumados a los descubiertos en otros dos discos duros
tambi�n obtenidos en la operaci�n militar, est�n siendo validados por la Interpol,
afirm� Santos, quien espera que la verificaci�n concluya en abril.

Sorprendentemente, el disco duro del port�til de Reyes no estaba cifrado, le dijo a

ENTER 2.0 una persona cercana al proceso, quien pidi� la reserva de su nombre.
Declaraci�n que respaldaron fuentes de la Polic�a, quienes sostuvieron que buena
parte de los archivos encontrados no estaban cifrados y por eso se han obtenido
resultados en corto tiempo.

La clave: inform�tica forense

El caso de los computadores de Reyes es uno de los ejemplos con mayor resonancia
del poder que tienen las herramientas de la inform�tica forense para obtener
informaci�n almacenada en medios digitales. Gracias a esta ciencia, nada queda
oculto en los dispositivos modernos, como ya se hab�a demostrado antes en otros
episodios.

En el 2006, durante un mes, especialistas en inform�tica de la Fiscal�a, apoyados

por expertos de E.U., descifraron los secretos del computador del jefe paramilitar
�Jorge 40?, datos que iniciaron el esc�ndalo conocido como de la �parapol�tica�,
que tiene a un gran n�mero de congresistas colombianos detenidos.

Otro ejemplo reciente es el computador port�til de �Iv�n R�os�, miembro del

Secretariado de las Farc muerto por uno de sus subalternos. En su equipo las
autoridades hallaron datos que informan que, entre el 2005 y el 2007, R�os orden�
m�s de 200 asesinatos, entre ellos de personas que �l cre�a infiltradas del
Ej�rcito y de las Autodefensas.
A nivel internacional, la inform�tica forense tambi�n ha cobrado mayor notoriedad
en los �ltimos a�os. Seg�n Adri�n Rodr�guez, consultor de seguridad de la empresa
Digiware Colombia, esto se debe a los atentados del 11 de septiembre del 2001 en
Estados Unidos. Se hizo evidente la necesidad de fortalecer la seguridad de los
sistemas de informaci�n y espec�ficamente la recuperaci�n de datos despu�s de un
incidente.

Para Rodr�guez, la creciente demanda de especialistas en el tema es innegable, y su

campo de acci�n se ha ampliado a investigaciones en todo tipo de aparatos, como
celulares, memorias USB, computadores de mano e incluso reproductores port�tiles de
m�sica. B�sicamente a cualquier dispositivo con capacidad de almacenar diversos
tipos de informaci�n.

Nada se pierde realmente.

Carlos Valderrama, fundador y director de la empresa Kinetic Solutions

(ww.kineticsl.com), explica que gracias a fen�menos electromagn�ticos, la
informaci�n se puede almacenar, borrar, leer e incluso recuperar despu�s de borrada
o de alguna falla.

La inform�tica forense, dijo Valderrama, estudia los casos de delitos inform�ticos

para intentar averiguar c�mo fue realizado el crimen, cu�ndo, qu� t�cnicas se
emplearon, los recursos comprometidos, las personas implicadas, los da�os
ocasionados y finalmente los responsables.

Toda esta informaci�n se ordena, se clasifica, se analiza y se comprueba su

veracidad, para poder tomar medidas legales en contra del responsable, dijo el
especialista en c�mputo forense. En la actualidad, resalt�, en gran cantidad de
pa�ses los resultados digitales son totalmente v�lidos como pruebas de juicio y
determinan culpables e inocentes. �Es ah� donde esta ciencia exacta obtiene su
mayor importancia�, opin�.

Evoluci�n de las t�cnicas.

�La inform�tica forense naci� de la necesidad b�sica de recuperar informaci�n de

discos que se han da�ado f�sica o l�gicamente�, explic� Adri�n Rodr�guez, de
Digiware.

Pero en la actualidad, sostuvo Rodr�guez, se han agregado nuevas cualidades de

monitoreo que permiten recobrar m�s informaci�n y utilizando los protocolos
adecuados, presentar y preservar la evidencia hallada como una prueba v�lida en un
caso legal.

En los inicios de la inform�tica forense, seg�n Igor Le�n, especialista en

seguridad de Etek Internacional, era com�n que los investigadores usaran el equipo
comprometido para llevar a cabo la investigaci�n. El riesgo de esta t�cnica era que
el sistema operativo de la m�quina pod�a alterar la evidencia.

Le�n dijo que solo hasta la d�cada de los noventa se desarrollaron herramientas de
software como SafeBack y DIBS que permitieron recolectar los datos en discos, sin
alterar la informaci�n original.

Luego, creci� la necesidad de tener programas m�s avanzados que mantuvieran el

valor de la evidencia de los datos. Entonces, se desarrollaron herramientas
integradas como Encase y FTK. Estas realizaban una investigaci�n m�s eficiente
mediante la automatizaci�n de tareas rutinarias y el uso de una interfaz gr�fica
para la localizaci�n visual de detalles importantes, ilustr� el experto de Etek.
An�lisis, contrase�as y rastreo.

Jorge Carbonell, de Panda Security, dijo que hoy en d�a la inform�tica forense
permite, b�sicamente, recuperar archivos, leer los que est�n protegidos con
contrase�a, analizar logs (archivos de texto peque�os que registran la actividad
del PC o del software) y seguir el rastro de intrusiones en sistemas, entre otras
aplicaciones.

�Muchas de estas actividades si no son realizadas por las autoridades con los
permisos necesarios, pueden ir en contra de la ley�, advirti� Carbonell.

As� mismo, para Dmitry Bestuzhev, analista de virus y consultor t�cnico para
Am�rica Latina de Kaspersky Lab, existen tres medios b�sicos que analiza esta
ciencia: la fuente del ataque (por ejemplo, un port�til usado por el criminal), el
medio de comunicaci�n (red que se emple� para llevarlo a cabo, ya sea local o
global) y el destino del ataque (su objetivo, como un servidor, por ejemplo).

Un trabajo complejo.

Dentro de las actividades forenses hay dos tareas que, seg�n los expertos,
requieren un mayor esfuerzo: la recuperaci�n f�sica de medios y la de datos que han
sido encriptados.
El primer caso, precis� Adri�n Rodr�guez, de Digiware, es cuando f�sicamente se ha
destruido o da�ado un disco; ah� es necesario emplear recursos tecnol�gicos muy
especializados y hasta probabil�sticos para recuperar los fragmentos de datos.

El proceso que se efect�a es desbaratar muchos discos de caracter�sticas similares

para reensamblar un disco completo con pedazos del dispositivo da�ado, y de esta
forma recuperar trozos de datos que ser�n analizados despu�s. Podr�a decirse que es
la creaci�n de un nuevo disco al estilo Frankenstein.

En la segunda tarea, la metodolog�a t�pica para penetrar un archivo encriptado es

la llamada �fuerza bruta�, cuyo �xito depende de la longitud y complejidad de la
contrase�a de encriptaci�n, as� como de la velocidad de la tecnolog�a existente
para probar cientos de posibles contrase�as por segundo (cuanto m�s larga sea una
contrase�a, menos palabras reales use y m�s caracteres diferentes a letras y
n�meros tenga, m�s dif�cil es descifrarla).

Para Nicol�s Sazunic, director de Inform�tica Forense y Servicios de Tecnolog�a de

Kroll, otro factor que dificulta la labor del investigador es la misma informaci�n
con la que cuenta.
�Si lo que se requiere es recuperar un archivo, cuanto m�s tiempo haya pasado desde
que este fue eliminado, m�s complejo ser� obtener la informaci�n que contiene�,
opin� Sazunic. Esto es porque en algunos casos, el archivo puede haber sido
sobrescrito parcialmente en el disco, lo que complica bastante la tarea.

Por su parte, Igor Le�n, de Etek, afirm� que la tarea m�s compleja en el an�lisis
forense es correlacionar toda la informaci�n que se obtiene en la investigaci�n
para poder determinar realmente qu� ha ocurrido. �Es en este punto donde se pone a
prueba toda la capacidad y experiencia del examinador forense, para reconstruir
todas las actividades llevadas a cabo�.

Es aqu� donde el trabajo de m�quina, software y hombre convierten a la inform�tica

forense en el inspector digital del presente.

Por qu� es posible recuperar archivos o �resucitar discos�

Al borrar un archivo, lo que en realidad hace el sistema operativo de un PC es

marcar ese elemento como eliminado, pero no lo borra f�sicamente del disco
magn�tico. De esta manera, cuando el sistema operativo requiere espacio para grabar
nuevos archivos, ve la marca y sabe que puede reutilizar ese espacio.

�Los bits escritos en el material magn�tico no se borran; cualquier tratamiento de

borrado se realiza a nivel del sistema y no a nivel f�sico (se etiqueta dicha zona
del disco como reescribible, pero el contenido permanece). Es por esto que los
datos son, en su gran mayor�a, totalmente recuperables; solo en casos excepcionales
no es posible�, dijo Carlos Valderrama, de Kinetic Solutions.

Al examinar un disco duro se hallan archivos que se encuentran activos, otros

marcados como eliminados pero que a�n no han sido sobreescritos �y restos de
archivos que estuvieron previamente almacenados y que han sido sobreescritos, al
menos una parte de ellos, por un nuevo elemento�, explic� Nicol�s Sazunic, de
Kroll.

El usuario solo puede acceder desde su sistema operativo a los archivos activos.
Sin embargo, mediante software especializado es posible encontrar aquellos marcados
como eliminados, e incluso recuperar parte de aquellos que fueron parcialmente
sobreescritos.

Valderrama subray� que existen algunas t�cnicas para desmagnetizar los medios
magn�ticos (para hacer irrecuperables los datos), pero hoy en d�a no son tan
efectivas. �Tambi�n es posible la reescritura de datos con ceros, que es m�s
eficaz, y en algunos casos hace imposible la recuperaci�n de datos�.

Si se trata de discos duros da�ados, manifest� Sazunic, es necesario el acceso a la

informaci�n almacenada antes de empezar con el an�lisis de los datos. Para esto, un
experto debe poner el disco nuevamente en funcionamiento (reparando sus componentes
electr�nicos o mec�nicos) o recuperar los datos accediendo f�sicamente a los
sectores del disco con t�cnicas m�s avanzadas.

C�mo se identifica el origen de un correo

Los correos electr�nicos, ya sean enviados o recibidos, incluyen un encabezado que

contiene informaci�n oculta, la cual, seg�n Dmitry Bestuzhev, de Kaspersky Lab,
permite determinar el sistema operativo del remitente, la aplicaci�n de correo
electr�nico que se us� y la direcci�n IP externa de la red desde la cual se envi�
el mensaje.

�A veces tambi�n incluye el direccionamiento IP interno de la red, la IP privada

del PC desde el cual se envi� y el n�mero de identificaci�n personal del mensaje al
momento de ser enviado�, indic� Bestuzhev.

De esta manera, �por lo general, y si no se emplean t�cnicas de anonimato, se

encontrar� la direcci�n IP de origen desde la cual se inici� el correo�, dijo
Adri�n Rodr�guez, de Digiware.

C�mo se abre un archivo protegido por contrase�as

Igor Le�n, de la empresa de seguridad inform�tica Etek, explica que existen

diversas t�cnicas para romper la contrase�a de un archivo; la m�s usada es el
�ataque de diccionario�, que prueba a gran velocidad todas la palabras contenidas
en un diccionario y es eficiente si la contrase�a es una palabra simple.

Otro m�todo es el �ataque de fuerza bruta�, en el cual se prueban todas las

combinaciones posibles de ciertos caracteres; este sistema es eficiente cuando la
contrase�a es corta (de cuatro letras, por ejemplo) o cuando esta consta solo de
caracteres b�sicos (como letras y n�meros).
Inform�tica forense, aliado corporativo

En Am�rica Latina, seg�n Dmitry Bestuzhev, de Kaspersky Lab, la inform�tica forense

se usa activamente y con �xito, sobre todo en instituciones privadas donde la
informaci�n tiene valor econ�mico.

Nicol�s Sazunic, de Kroll, comparte esa opini�n. Dijo que en Colombia la mayor�a de
las compa��as con casos de fraude interno ha logrado identificar a los responsables
de los delitos y las modalidades que utilizan.

As� mismo, a�adi� el experto, se han determinado v�nculos con terceros (personas
externas a la empresa) que han facilitado el delito. �La inform�tica forense es
especialmente �til en estos casos, ya que la informaci�n almacenada en los
servidores de las corporaciones (computadores que manejan la red interna) es
propiedad de las mismas y puede ser revisada en su totalidad por los encargados de
las investigaciones�.

Las herramientas forenses tambi�n se emplean para descubrir usos indebidos del
correo electr�nico y de Internet en las compa��as.

Debilidades en Colombia

Para Carlos �lvarez, abogado en derecho inform�tico y propiedad intelectual, el

pa�s tiene dos grandes debilidades en el tema de la inform�tica forense: la
ausencia de regulaci�n judicial y la falta de especializaci�n de los peritos en
c�mputo forense.

�Salvo los principios generales de derecho probatorio, ac� no hay (en el contexto
de los procesos penales) regulaciones que les digan a los fiscales y a los jueces
cu�les son los requisitos que debe cumplir la evidencia digital para que pueda ser
aceptada por ellos dentro de los procesos�, afirm� �lvarez.

El abogado cit� como ejemplo que los fiscales a veces no aceptan como prueba las
fotos tomadas con c�maras digitales, simplemente porque, seg�n ellos, no es posible
saber cu�ndo han sido alteradas o modificadas esas im�genes.

El otro punto d�bil es la formaci�n y especializaci�n de los peritos. �Las

entidades de polic�a judicial en nuestro pa�s, si bien tienen personal capacitado
en este tema y con buena tecnolog�a, en realidad est�n conformadas por polic�as y
no por ingenieros de sistemas�.

�lvarez resalt� que la capacitaci�n requerida para esta labor tiene que ser
constante (se calcula que el entrenamiento de un perito forense puede costar
alrededor de 50 millones de pesos). �As� que de nada sirve que el Estado le meta
plata a capacitar a personal que, tras dos a�os, va a ser cambiado de secci�n. Es
dinero tirado a la basura�.

De acuerdo con el experto en derecho inform�tico, se requiere una especializaci�n

policial que les permita a los investigadores hacer una verdadera carrera en
t�cnicas forenses y hacking.

D�nde se usa la inform�tica forense

1. Prosecuci�n criminal: busca evidencia incriminatoria que se pueda usar para

procesos por diversos cr�menes, como homicidios, fraude financiero, tr�fico y venta
de drogas, evasi�n de impuestos y pornograf�a infantil.

2. Militar y defensa nacional: las herramientas de inform�tica forense son

utilizadas por organismos oficiales de seguridad y entidades estatales para, por
ejemplo, proteger la confidencialidad de su informaci�n y rastrear los ataques a
los que est�n expuestos.

3. Litigaci�n civil: se emplea para la investigaci�n de casos que implican fraude,

discriminaci�n, acoso y divorcio, entre otros.

4. Investigaci�n de seguros: la evidencia encontrada en computadores ayuda a las

compa��as aseguradoras a disminuir los costos de los reclamos por accidentes y
compensaciones.

5. Asuntos corporativos: ayuda a recolectar informaci�n en situaciones relacionadas

con acoso sexual, robo, mal uso o apropiaci�n de informaci�n confidencial y
espionaje industrial.

6. Investigaci�n cient�fica: academias y universidades aprovechan las bondades de

la inform�tica forense para realizar estudios de seguridad, vigilar la evoluci�n de
las amenazas e identificar las tendencias de los ataques inform�ticos, entre otros.

7. Usuario final: cada vez es m�s com�n que las personas usen herramientas de
software para recuperar archivos borrados, encriptar documentos y rastrear el
origen de un correo electr�nico.

As� trabaja un perito en c�mputo forense

1. Agentes involucrados
En una operaci�n policial, los primeros que llegan a la escena del crimen son
individuos denominados first responder (primeros en responder). Su misi�n es
preservar intacto el lugar y asegurar la correcta adquisici�n de la evidencia. Esta
es una etapa fundamental porque de ella depende el an�lisis del disco duro y la
veracidad de la informaci�n que se obtenga de los equipos.

En la recolecci�n de los datos participan expertos en tres campos: fotograf�a,

dactiloscopia y c�mputo forense. El primero debe fotografiar (o grabar en video)
todos los elementos (PC, celulares, CD, memorias USB, etc.) antes de moverlos o
desconectarlos; adem�s, si est�n encendidos los PC, debe tomar im�genes de las
pantallas.

La labor del experto en dactiloscopia es obtener huellas dactilares para despu�s,

en el proceso judicial, poder comprobar que los equipos encontrados fueron
manipulados por los implicados. El tercer investigador es un perito en c�mputo
forense, que ser� quien interact�e con los equipos y dispositivos digitales
encontrados.

2. Im�genes espejo
El perito en c�mputo forense es la �nica persona que debe manipular los elementos
(PC, port�tiles, discos duros externos, DVD, CD, memorias USB, etc.). Por ejemplo,
si encuentra un PC encendido, lo primero que debe hacer es revisar qu� muestra en
la pantalla, cu�les son los programas abiertos y tomar fotograf�as.

Tambi�n debe identificar si el equipo est� conectado a una red local, realizar un
diagrama de la misma y determinar el sistema operativo de la m�quina. Luego, debe
efectuar dos im�genes espejo del disco duro (copias id�nticas de los archivos y de
la estructura del dispositivo) a trav�s de software especializado. Una de ellas se
adjuntar� al equipo original para ser almacenada como prueba, y sobre la imagen
restante se realizar� el an�lisis y el trabajo de investigaci�n.

Todas las acciones del perito deben ser grabadas o registradas en im�genes por el
experto en fotograf�a.
3. Separaci�n de componentes
El perito debe asegurarse de extraer el disco duro del equipo y la bater�a del
port�til antes de salir de la escena. El computador, por ninguna raz�n, se debe
trasladar con sus componentes conectados. Estas precauciones brindan mayor
seguridad a las pruebas y evitan que, en caso de p�rdida del equipo, se malogre
toda la informaci�n.

4. Extremo recelo
Se debe evitar que personas que no sean
dispositivos encontrados, manipulen los
almacenada en el disco duro. Esto puede
de apagar o desconectar dispositivos de
desaparecer datos del equipo.
peritos en c�mputo forense usen los
computadores o intenten ver informaci�n
destruir evidencia digital. El solo hecho
una manera incorrecta puede hacer

El PC de un laboratorio de c�mputo forense

Esta es la configuraci�n de los computadores que utilizan las autoridades

nacionales.

Hardware

* Procesador de cuatro n�cleos.

* Entre 4 y 8 GB de memoria RAM.
* Capacidad de almacenamiento en el disco duro de al menos 1 terabyte (TB), es
decir, 1.000 GB.
* Sistemas operativos que trabajan a 32 y 64 bits.
* Varias unidades �pticas, algunas con �quemador� de CD y DVD, y otras solo para
lectura de discos.
* Valor aproximado: 10.000 d�lares.

Software, la herramienta clave

Estos son los principales programas usados por los peritos oficiales en los
laboratorios del Estado.

EnCase Forensic Edition: programa usado en la mayor�a de agencias de seguridad en

el mundo. Puede crear las im�genes espejo de los discos duros, desencriptar
archivos de correo y recuperar informaci�n que haya sido borrada.
Stego Suite: paquete de aplicaciones especializadas en encontrar informaci�n
escondida en im�genes y archivos de audio (estas pr�cticas se conocen como
esteganograf�a).
Access Data Suite: paquete de aplicaciones para la realizaci�n de las im�genes
espejo de discos duros, an�lisis de informaci�n borrada y activa. Incluye PRTK
(Password Recovery Toolkit), una herramienta para la recuperaci�n de contrase�as.
ILook: programa del Departamento del Tesoro de Estados Unidos que permite el acceso
y an�lisis de datos digitales.
Valor aproximado: 50.000 d�lares.

Los laboratorios nacionales

Varios organismos oficiales de Colombia (la Fiscal�a, el DAS, la DIAN y el
Ej�rcito, por ejemplo) tienen laboratorios especializados en inform�tica forense.
Estos centros de investigaci�n est�n en Barranquilla, Medell�n, Bucaramanga,
Bogot�, Cundinamarca, Pereira y Cali.

Seg�n �scar Ruiz, consultor de Internet Solutions, una firma especializada en la

materia, hay cerca de 80 peritos en c�mputo forense en el pa�s que reciben
capacitaci�n permanente.

�En la regi�n, Colombia es uno de los l�deres, junto a Brasil, en inform�tica

forense�, dijo Ruiz. Como prueba de esto, el pa�s est� montando la primera divisi�n
de inform�tica forense en M�xico y ha capacitado a varios expertos de Honduras,
Costa Rica, Chile y Argentina.

Los equipos empleados en los laboratorios nacionales tienen una alta capacidad de
trabajo. Se calcula que pueden obtener y analizar la informaci�n de un disco duro
de 80 GB en un mes.

Adem�s, los computadores del laboratorio, que son PC y port�tiles, tiene una
infraestructura de trabajo distribuido, que les permite funcionar en red para
combinar el poder de c�mputo de tres o cuatro m�quinas en un solo objetivo.