Beruflich Dokumente
Kultur Dokumente
Algunas personas creen que usar información digital como una evidencia, es un mala
idea. Si es tan fácil cambiar datos en un ordenador, ¿Cómo puede usarse como una
prueba fiable? Muchos países permites pruebas informáticas en juicio y procesos, pero
esto podría cambiar si se demuestra en futuros casos que no son de confianza. Los
ordenadores cada vez son más potentes, por lo que los campos dentro de la
informática forense tienen que evolucionar constantemente.
Normalmente, los detectives informáticos usan una orden para hacer búsquedas en
ordenadores de gente sospechosa. Esta orden debe incluir donde pueden buscar los
detectives, y que clase de pruebas están buscando. En otras palabras, no pueden
simplemente dar pedir una orden y buscar todo lo que quieran para cualquier cosa.
Esta orden no puede ser demasiado general. Muchos jueces requieren que se sea lo
más específico posible cuando se pide una de estas garantías.
Por esta razón, es importante para los detectives informáticos saber todo lo posible
sobre el sospechoso antes de pedir una orden. Considera este ejemplo: Un
investigador informático pide una orden par investigar un ordenador portátil de un
sospechoso. Llega a la casa del sospechoso y le entrega la orden. Mientras está en la
casa, se da cuenta que hay un ordenador de sobremesa. El investigador no puede
legalmente hacer una búsqueda en ese PC porque no estaba en la orden original.
Todos estos pasos son importantes, pero el primero es crítico. Si los investigadores no
pueden probar que han asegurado su sistema informático, las evidencias encontradas
podrían no valer de nada. Es un trabajo complejo. En los primeros años en la historia
del ordenador, el sistema podía incluir solo un PC y unos cuantos disquetes. Hoy en
día, puede incluir varios ordenadores, discos, dispositivos externos de
almacenamiento, periféricos, y servidores Web.
Los que comenten delitos informáticos, han encontrado maneras de hacer más difícil el
seguimiento de los investigadores para que puedan encontrar información. Usan
programas y aplicaciones conocidas como anti-forenses. Los investigadores deben
conocer estas herramientas de software, y saber como deshabilitarlas sin quieren tener
éxito accediendo a la información. En la siguiente sección de este curso rápido sobre
informática forense, veremos en qué consisten estos programas anti-forenses.
Hay docenas de maneras para que la gente oculte la información. Algunos programas
pueden engañar a los ordenadores cambiando la información en las cabeceras de los
archivos. Una cabecera de archivo es normalmente invisible a las personas, pero es
extremadamente importante - le dice al ordenador a qué tipo de fichero está asociado
el archivo. Para poner un ejemplo, si renombras un archivo avi con una extensión de
fichero .JPG, el ordenador todavía sabrá que el archivo es realmente un avi por la
información en la cabecera. Como se ha dicho, algunos programas permites cambiar
datos en la cabecera para que el ordenador crea que es otro tipo de fichero. Los
investigadores buscando algún tipo de archivo en particular, pueden saltarse
evidencias importantes porque parecía que no era relevante.
Es también posible esconder un archivo en otro. Los ficheros ejecutables – que son
ficheros que el ordenador reconoce como programas – son particularmente
problemáticos. Programas llamados empaquetadores pueden insertar estos ejecutables
en otros tipos de archivos, mientras que hay otras aplicaciones que pueden fundir
múltiples ejecutables en uno solo.
La encriptación es otro modo de ocultar los datos. Cuando encriptas datos, se usa un
completo conjunto de reglas llamado algoritmo para hacer los datos incomprensibles.
Por ejemplo, un algoritmo de este tipo puede hacer que un fichero de texto se
convierta en un cúmulo de números y símbolos sin sentido. Una persona que quiera
leer los datos, necesitará una “llave” o clave para volver a convertir esos números y
símbolos en texto leíble de nuevo. Sin las claves de desencriptación, los investigadores
necesitarán programas especiales designados para romper el algoritmo de encriptación
del archivo. Cuanto más sofisticado sea el algoritmo, mas tiempo se tardará en hacer
la desencriptación.
Otras herramientas anti forensics pueden cambiar las etiquetas anexionadas a los
archivos. Estas etiquetas o metadata, incluyen información como por ejemplo, cuando
se creo un fichero o fue alterado. Normalmente no puedes cambiar esta información,
pero cierto software si permite alterar estas etiquetas. Imagina que se descubre un
fichero y descubrir que no va a existir hasta los próximos dos años, y que fue accedido
por última vez en el siglo pasado. Si estas etiquetas se ven comprometidas, hace más
difícil que se pueden utilizar como pruebas.
Hay gente que usa este tipo de herramientas para demostrar lo vulnerable y poco
fiable que los datos de un ordenador pueden ser. Si no puedes estar seguro de cuando
se creo un archivo, cuando se accedió a el por última vez, o incluso si a llegado a
existir, ¿como se puede justificar en un juicio que es una evidencia o prueba? Mientras
que esta pregunta es complicada, muchos países aceptan evidencias informáticas en
juicios, aunque los estándares cambian de un país a otro.
Estas herramientas son útiles siempre y cuando los investigadores sigan los
procedimientos correctos. De otra manera, un abogado podría sugerir que cualquier
evidencia encontrada en un equipo informático no es fiable. Por supuesto, hay gente
que dice que ninguna de estas pruebas son fiables al cien por cien.