Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Dialnet ElRastroDigitalDelCrimen 3740775 PDF
Dialnet ElRastroDigitalDelCrimen 3740775 PDF
LA INFORMÁTICA FORESE:
EL RASTRO DIGITAL DEL CRIMEN
la INFORMÁTICA
FORENSE: EL RASTRO
DIGITAL DEL CRIMEN
FORENSIC COMPUTING:
THE DIGITAL TRAIL OF CRIME
FRANCISCA RODRÍGUEZ
ALFREDO DOMÉNECH
PALABRAS CLAVE / KEYWORDS
Pruebas digitales e informáticas |
Principios básicos | Metodología científica
RESUMEN / ABSTRACT
Este artículo te acerca al proceso técnico y
científico para recopilar y analizar pruebas
evidencias digitales de dispositivos informáticos
o electrónicos con el objetivo de presentarlas
ante un tribunal.
This article will approach the technical and
scientific process to collect and analyze digital
evidence from computer or electronic devices in
order to present them at Court.
E
“Las pruebas l cadáver se halla a un lado de la cama. no hay discos compactos grabados, no hay
genéticas fueron Un armario, una mesa y una silla com- papel, sólo un ordenador y algunos perifé-
utilizadas por pletan el mobiliario de tan adusta ricos, máquinas cortadoras, impresoras, cá-
primera vez en un dependencia. Mientras los investigadores maras fotográficas, impresoras de tarjetas,
tribunal a finales indagan sobre la tormentosa vida conyu- tarjetas blancas con banda magnética, y
del siglo XX, en el gal de la víctima, los especialistas de policía otro tipo de material. Parece ser que no hay
año 1996.” científica continúan con su labor, exami- pruebas claras de la comisión de un ilícito
nando la escena, tomando fotografías y penal. Pero... ¿qué hacer con el ordenador?
realizando un reportaje videográfico. Un ¿La impresora? ¿La cámara?...
arma de fuego corta asoma tras el cuerpo
Estas situaciones reales, que suceden
de la víctima, y al otro lado de la habitación,
a nuestro alrededor –con más o menos
sobre una puerta, se adivina la oquedad de-
frecuencia– ponen de manifiesto que,
jada por un proyectil, el cual, no ha sido en-
si bien es cierto que las técnicas forense
contrado... todavía. ¿Suicidio? ¿Asesinato?
tradicionales no pueden ser en absoluto
Encima de la mesa hay un ordenador por-
descartadas, no es menos cierto que es
tátil y un teléfono móvil. Todas las eviden-
necesario la aplicación de nuevas discipli-
cias lofoscópicas, biológicas y balísticas se
nas que apoyen las hipótesis formuladas
recogen aplicando las técnicas adecuadas,
para el esclarecimiento de ciertos hechos.
pero... ¿qué hacer con el ordenador?... ¿Qué
hacer con el teléfono móvil?... Las huellas digitales, con valor identifi-
cativo, no fueron usadas hasta finales del
Oculto tras el anonimato, en su oscuro
siglo XIX. Las pruebas genéticas fueron
despacho, solamente iluminado por la tenue
utilizadas por primera vez en un tribunal
luz del atardecer, consulta sus mensajes elec-
a finales del siglo XX, en el año 1996.
trónicos privados y profesionales, y... ¿por
qué no?... los de algunos de sus compañeros A lo largo de todos estos años, la ciencia
de trabajo también. ¿Qué clientes tienen? forense, sin perder su espíritu, ha ido evolu-
¿Alguna relación amorosa inconfesable? cionando hacia un campo muy bien docu-
¿Algún problema económico? ¿Algún escán- mentado y disciplinado, con gran variedad
dalo político? En fin, algún dato que pueda de niveles de calidad, los cuales son cada
ser tenido en cuenta... profesionalmente o vez más exigentes, ya que ha medida que
como chismorreo. Sobresaltado por la apari- el conocimiento técnico y científico se ex-
ción en la puerta del director y una comitiva, pande, así también lo hace la ciencia foren-
trata de cerrar las ventanas que estaba con- se. Aún así, ésta siempre irá por detrás de
sultando... demasiado tarde... le han pillado. los avances de la ciencia en algún aspecto;
Pero... ¿qué hacer con el ordenador?... ¿cuá- sirva como ejemplo que en los años 80 la
les son los pasos a seguir?... prueba genética ya fue utilizada en Nueva
Zelanda, pero no aparece como prueba vá-
En la calle no hay ni un alma. Hace de-
lida hasta años después, en los tribunales
masiado calor. Es el momento ideal. Tres
de los Estados Unidos de América.
individuos suben una fotocopiadora... pero
los agentes, vigilantes y sigilosos, aprove- Considerando pues los aspectos de
chan el momento para subir tras ellos e ini- que la ciencia forense como disciplina
ciar un registro en el local. En ese momento se está desarrollando desde hace más de
16
LA INFORMÁTICA FORESE:
EL RASTRO DIGITAL DEL CRIMEN
800 años, y que lleva menos de un siglo de los datos digitales que se pueden ex- “(...) el FBI
presentándose normalmente ante los traer de un sistema o conjunto de dispositi- observó que
tribunales, el campo de la informática fo- vos informáticos o electrónicos, y todo ello las evidencias
rense está en su más tierna infancia. con el propósito de ser presentados ante digitales tenían
un tribunal. El fin último y principal objeti- el potencial de
Breve historia de vo que se deduce de la palabra forense, es convertirse en
la informática forense su uso en un procedimiento judicial. un elemento
Muchas son las definiciones que de in- de prueba tan
A comienzo de los años 90, el FBI (Fe-
formática forense podemos encontrar poderoso (...)
deral Bureau of Investigation) observó que
en gran número de publicaciones, pero como lo era el de
las pruebas o evidencias digitales tenían
todas ellas –de una manera u otra– hacen la identificación
el potencial de convertirse en un elemen-
hincapié en unos puntos esenciales; así, por ADN.”
to de prueba tan poderoso para la lucha
de una forma simple, podríamos definir contra la delincuencia, como lo era el de
la informática forense como un proceso la identificación por ADN. Para ello, man-
metodológico para la recogida y análisis de tuvo reuniones en su ámbito, y a finales
los datos digitales de un sistema de disposi- de los años 90 se creó la IOCE (Internatio-
tivos de forma que pueda ser presentado y nal Organization of Computer Evidence)
admitido ante los tribunales. con la intención de compartir informa-
ción sobre las prácticas de informática
De la definición vemos que se trata de
forense en todo el mundo.
un proceso, técnico y científico, que debe
estar sujeto a una metodología, tendente En marzo del año 1998, el G8 –a través
primero a la recogida y después al análisis del subgrupo de trabajo denominado The
LA INFORMÁTICA FORESE:
EL RASTRO DIGITAL DEL CRIMEN
17
High Tech Crime, conocido como el Grupo Siempre que sea posible, no se realiza-
de Lyón– encargó a la IOCE el desarrollo rá ninguna acción, durante la búsque-
de una serie de principios aplicables a los da, recolección, o manipulación de las
procedimientos para actuaciones sobre pruebas digitales, que conlleve una
pruebas digitales, así como la armoniza- alteración de la misma. En caso de que
ción de métodos y procedimientos entre se tenga que actuar de tal forma que se
las naciones que garantizasen la fiabili- altere la prueba, las acciones deberán
dad en el uso de las pruebas digitales re- ser completamente documentadas.
cogidas por un estado para ser utilizadas
· Cuando sea necesario que una perso-
en tribunales de justicia de otro estado.
na tenga acceso a una prueba digital
La IOCE, trabajó en el desarrollo de estos
original, dicha persona debe estar
principios a lo largo de dos años. formada para ese propósito. Aunque
La Scientific Working Group on Digital es ampliamente aceptado que la mejor
Evidence (SWGDE), principal portavoz de práctica es realizar una imagen digital de
la IOCE en Estados Unidos, y la Association la prueba a analizar, y actuar sobre la co-
of Chief Police Officers (ACPO) del Reino pia, puede haber ocasiones, en el curso
Unido, propusieron una serie de pun- de una actuación, en que se tenga que
tos que luego englobaron los principios acceder a la prueba digital original. Di-
generales que se presentaron en el año cha acción, además de seguir el principio
2000 al Grupo de Lyón. anterior, debe realizarse por una persona
que esté formada en dicho aspecto.
Principios básicos
· Toda actividad relativa a la recogida,
Una vez estudiado el informe, el G8 apro- acceso, almacenamiento, o trans-
bó un conjunto de principios básicos para ferencia de pruebas digitales debe
luego dictar una serie de recomendacio- ser completamente documentada,
nes aplicables a las evidencias digitales: conservada y disponible para su es-
· Todos los principios generales de tudio. Todas las manipulaciones que
procedimientos y técnicas foren- se lleven a cabo deben ser documenta-
ses deben ser aplicados cuando se das de forma total y comprensible, de
manera que las acciones que se están
manipulen pruebas digitales. Cual-
registrando puedan ser reproducidas
quier institución con atribuciones en
si fuera necesario. Es vital mantener la
la búsqueda, recolección, y análisis de
cadena de custodia.
pruebas debe tener una metodología
o unos principios generales definidos · Cada persona es responsable de to-
con el objetivo de proteger los intere- das las acciones tomadas con respec-
ses de todas las partes. Dichos princi- to a la prueba digital mientras dicha
pios han de tener en cuenta las peculia- prueba esté a su cargo. Dicha respon-
ridades de cada ordenamiento jurídico. sabilidad es personal y no corporativa.
· En la manipulación de pruebas di- · Cualquier institución o grupo, que sea
gitales, las acciones que se lleven a responsable de la recogida, acceso,
cabo no deben alterar dicha prueba. almacenamiento, o transferencia de
18
LA INFORMÁTICA FORESE:
EL RASTRO DIGITAL DEL CRIMEN
suficiente para llevar a cabo la tarea. Hay de aquellos vestigios que sean suscep-
que recordar, que no sólo en los ordena- tibles de ser enviados a los laboratorios
dores se puede encontrar información para su examen (huellas digitales, ADN,
que puede resultar imprescindible para elementos balísticos, etc.), así se deben
el esclarecimiento de un hecho. tomar las debidas precauciones para
“ Todas las no contaminar la escena digital, ya sea
De cualquier forma no siempre es posi-
técnicas por medios físicos o electrónicos.
utilizadas para ble una información tan detallada, por
la recogida lo que queda a decisión del investiga- La contaminación física puede alterar
y análisis de dor la mejor opción a la hora de reco- una evidencia digital: una manipula-
evidencias ger las pruebas, teniendo en cuenta el ción incorrecta puede conllevar una
digitales, motivo por el que se realiza el registro. modificación e incluso una pérdida to-
deben estar No se debe perder de vista el riesgo tal de la evidencia. Sirva como ejemplo
respaldadas que conlleva una mala actuación sobre que la electricidad estática que pode-
por una buena una prueba digital. mos portar, al tocar un circuito, puede
metodología · Aseguramiento de la escena, tanto inutilizar éste completamente; un imán
científica y física como digital: En todo escenario cerca de un dispositivo altera los datos
documentadas de un hecho delictivo, y al igual que se almacenados en el mismo; los golpes
en un protocolo no se llevan bien con las partes mecá-
toman las debidas medidas y precau-
de actuación.“
ciones para no contaminar la escena nicas de un disco duro; etcétera.
20
LA INFORMÁTICA FORESE:
EL RASTRO DIGITAL DEL CRIMEN
La contaminación electrónica provie- · Examen: Tanto esta fase como la siguien-
“ Allí donde sea
ne de un mal aislamiento del disposi- te, requieren una mayor especialización
posible, los
tivo frente a su entorno, sobre todo en técnica. No se ha de olvidar el cumpli-
elementos deben
su embalaje. Dispositivos que acepten miento exacto de la cadena de custodia,
ser examinados
datos de forma inalámbrica (routers, y se debe estar en posesión de la auto-
en un laboratorio
teléfonos móviles, agendas electró- rización necesaria para proceder al exa-
en vez de ser
nicas, tablets, etc.) deben ser aislados men y análisis de las evidencias. Se realiza
examinados
adecuadamente para que la congela- un estudio preliminar de los dispositivos
in situ.“
ción de la escena sea efectiva, espe- recogidos en cuanto a características físi-
cialmente aquellos que no deben ser cas y técnicas, estructura, formato, etc.
apagados. nálisis e interpretación: Analizar me-
· A
· Recogida de pruebas: Registrar la es- tódicamente las pruebas. Interpretar
cena del delito, recoger y empaquetar los datos que se obtengan e interrela-
adecuadamente las evidencias digita- cionarlos adecuadamente para tratar
les, garantizando su integridad, y pres- de explicar los hechos y su distribución
tando atención a la cadena de custodia temporal. Es la fase más larga de todo el
son, posiblemente, las acciones en que proceso, y está íntimamente relaciona-
más cuidado hay que tener debido a la da con el hecho que
gran cantidad de situaciones y eviden- se está inves-
cias que se pueden hallar. tigando.