Beruflich Dokumente
Kultur Dokumente
Despu�s de muerto, confes�. Alias Ra�l Reyes, cuyo nombre de pila era Luis �dgar
Devia Silva, cambi� los discursos a favor de la guerrilla de las Farc y de una
revoluci�n que nunca fue, por un lenguaje de unos y ceros para delatar a sus
colaboradores, revelar la compra ilegal de armas e informar la ubicaci�n de dineros
escondidos en el extranjero, que son el bot�n de una guerra que perdi� hace mucho
tiempo el sentido.
El caso de los computadores de Reyes es uno de los ejemplos con mayor resonancia
del poder que tienen las herramientas de la inform�tica forense para obtener
informaci�n almacenada en medios digitales. Gracias a esta ciencia, nada queda
oculto en los dispositivos modernos, como ya se hab�a demostrado antes en otros
episodios.
Le�n dijo que solo hasta la d�cada de los noventa se desarrollaron herramientas de
software como SafeBack y DIBS que permitieron recolectar los datos en discos, sin
alterar la informaci�n original.
Jorge Carbonell, de Panda Security, dijo que hoy en d�a la inform�tica forense
permite, b�sicamente, recuperar archivos, leer los que est�n protegidos con
contrase�a, analizar logs (archivos de texto peque�os que registran la actividad
del PC o del software) y seguir el rastro de intrusiones en sistemas, entre otras
aplicaciones.
�Muchas de estas actividades si no son realizadas por las autoridades con los
permisos necesarios, pueden ir en contra de la ley�, advirti� Carbonell.
As� mismo, para Dmitry Bestuzhev, analista de virus y consultor t�cnico para
Am�rica Latina de Kaspersky Lab, existen tres medios b�sicos que analiza esta
ciencia: la fuente del ataque (por ejemplo, un port�til usado por el criminal), el
medio de comunicaci�n (red que se emple� para llevarlo a cabo, ya sea local o
global) y el destino del ataque (su objetivo, como un servidor, por ejemplo).
Un trabajo complejo.
Dentro de las actividades forenses hay dos tareas que, seg�n los expertos,
requieren un mayor esfuerzo: la recuperaci�n f�sica de medios y la de datos que han
sido encriptados.
El primer caso, precis� Adri�n Rodr�guez, de Digiware, es cuando f�sicamente se ha
destruido o da�ado un disco; ah� es necesario emplear recursos tecnol�gicos muy
especializados y hasta probabil�sticos para recuperar los fragmentos de datos.
Por su parte, Igor Le�n, de Etek, afirm� que la tarea m�s compleja en el an�lisis
forense es correlacionar toda la informaci�n que se obtiene en la investigaci�n
para poder determinar realmente qu� ha ocurrido. �Es en este punto donde se pone a
prueba toda la capacidad y experiencia del examinador forense, para reconstruir
todas las actividades llevadas a cabo�.
El usuario solo puede acceder desde su sistema operativo a los archivos activos.
Sin embargo, mediante software especializado es posible encontrar aquellos marcados
como eliminados, e incluso recuperar parte de aquellos que fueron parcialmente
sobreescritos.
Valderrama subray� que existen algunas t�cnicas para desmagnetizar los medios
magn�ticos (para hacer irrecuperables los datos), pero hoy en d�a no son tan
efectivas. �Tambi�n es posible la reescritura de datos con ceros, que es m�s
eficaz, y en algunos casos hace imposible la recuperaci�n de datos�.
Nicol�s Sazunic, de Kroll, comparte esa opini�n. Dijo que en Colombia la mayor�a de
las compa��as con casos de fraude interno ha logrado identificar a los responsables
de los delitos y las modalidades que utilizan.
As� mismo, a�adi� el experto, se han determinado v�nculos con terceros (personas
externas a la empresa) que han facilitado el delito. �La inform�tica forense es
especialmente �til en estos casos, ya que la informaci�n almacenada en los
servidores de las corporaciones (computadores que manejan la red interna) es
propiedad de las mismas y puede ser revisada en su totalidad por los encargados de
las investigaciones�.
Las herramientas forenses tambi�n se emplean para descubrir usos indebidos del
correo electr�nico y de Internet en las compa��as.
Debilidades en Colombia
�Salvo los principios generales de derecho probatorio, ac� no hay (en el contexto
de los procesos penales) regulaciones que les digan a los fiscales y a los jueces
cu�les son los requisitos que debe cumplir la evidencia digital para que pueda ser
aceptada por ellos dentro de los procesos�, afirm� �lvarez.
El abogado cit� como ejemplo que los fiscales a veces no aceptan como prueba las
fotos tomadas con c�maras digitales, simplemente porque, seg�n ellos, no es posible
saber cu�ndo han sido alteradas o modificadas esas im�genes.
�lvarez resalt� que la capacitaci�n requerida para esta labor tiene que ser
constante (se calcula que el entrenamiento de un perito forense puede costar
alrededor de 50 millones de pesos). �As� que de nada sirve que el Estado le meta
plata a capacitar a personal que, tras dos a�os, va a ser cambiado de secci�n. Es
dinero tirado a la basura�.
7. Usuario final: cada vez es m�s com�n que las personas usen herramientas de
software para recuperar archivos borrados, encriptar documentos y rastrear el
origen de un correo electr�nico.
1. Agentes involucrados
En una operaci�n policial, los primeros que llegan a la escena del crimen son
individuos denominados first responder (primeros en responder). Su misi�n es
preservar intacto el lugar y asegurar la correcta adquisici�n de la evidencia. Esta
es una etapa fundamental porque de ella depende el an�lisis del disco duro y la
veracidad de la informaci�n que se obtenga de los equipos.
2. Im�genes espejo
El perito en c�mputo forense es la �nica persona que debe manipular los elementos
(PC, port�tiles, discos duros externos, DVD, CD, memorias USB, etc.). Por ejemplo,
si encuentra un PC encendido, lo primero que debe hacer es revisar qu� muestra en
la pantalla, cu�les son los programas abiertos y tomar fotograf�as.
Tambi�n debe identificar si el equipo est� conectado a una red local, realizar un
diagrama de la misma y determinar el sistema operativo de la m�quina. Luego, debe
efectuar dos im�genes espejo del disco duro (copias id�nticas de los archivos y de
la estructura del dispositivo) a trav�s de software especializado. Una de ellas se
adjuntar� al equipo original para ser almacenada como prueba, y sobre la imagen
restante se realizar� el an�lisis y el trabajo de investigaci�n.
Todas las acciones del perito deben ser grabadas o registradas en im�genes por el
experto en fotograf�a.
3. Separaci�n de componentes
El perito debe asegurarse de extraer el disco duro del equipo y la bater�a del
port�til antes de salir de la escena. El computador, por ninguna raz�n, se debe
trasladar con sus componentes conectados. Estas precauciones brindan mayor
seguridad a las pruebas y evitan que, en caso de p�rdida del equipo, se malogre
toda la informaci�n.
4. Extremo recelo
Se debe evitar que personas que no sean peritos en c�mputo forense usen los
dispositivos encontrados, manipulen los computadores o intenten ver informaci�n
almacenada en el disco duro. Esto puede destruir evidencia digital. El solo hecho
de apagar o desconectar dispositivos de una manera incorrecta puede hacer
desaparecer datos del equipo.
Hardware
Los equipos empleados en los laboratorios nacionales tienen una alta capacidad de
trabajo. Se calcula que pueden obtener y analizar la informaci�n de un disco duro
de 80 GB en un mes.
Adem�s, los computadores del laboratorio, que son PC y port�tiles, tiene una
infraestructura de trabajo distribuido, que les permite funcionar en red para
combinar el poder de c�mputo de tres o cuatro m�quinas en un solo objetivo.