Informática forense: lo que los abogados deben saber
En el sector del derecho legal, el conocimiento y la aplicación de la tecnología son cada vez más habituales, los datos electrónicos ofrecen un abanico amplio de posibilidades; pueden ayudar a determinar si la información de los clientes se vio comprometida, son decisivos para probar que un ex empleado robó secretos comerciales, nos permiten demostrar una ubicación geográfica, una identificación de llamada y otros muchos detalles…. Por todo ello, entender y usar la informática forense se está convirtiendo en una parte necesaria en cualquier práctica legal de éxito.
Informática forense para abogados.
¿Qué es la informática forense?
El análisis forense informático generalmente se refiere a los pasos efectuados para recopilar y analizar datos digitales, como lo que se encuentra (en muchos casos ficheros eliminados o soportes formateados) en equipos informáticos, teléfonos, discos duros portátiles y ubicaciones de almacenamiento en la nube.
Los expertos en informática forense tienen herramientas especializadas que les permiten analizar datos que pueden no mostrarse en texto plano o que no responden a los términos de búsqueda. Esta evidencia puede ayudar a reconstruir qué acciones tomó un usuario y cuándo; cómo, por ejemplo, cuando un usuario modificó un archivo, descargó un software o conectó un disco duro externo al dispositivo.
¿Qué necesita entender un abogado?
10 consejos simples que todo abogado que recopila o utiliza evidencias electrónicas debería entender.
1. Una recopilación amplia es clave.
Al preservar, recopilar y analizar evidencias electrónicas, ya sea con anterioridad a un litigio o como parte de una investigación, hay que pensar en términos generales . Además de recopilar información de dispositivos como ordenadores, teléfonos y discos duros, habría que ver la posibilidad de añadir imágenes de cámaras de seguridad, bases de datos, registros de acceso de tarjetas, registros de impresoras, de servidores…
2. Documentar la cadena de custodia es importante.
Para minimizar cualquier duda o disputa sobre la evidencia electrónica que encuentre nuestro experto forense informático, nos aseguraremos de mantener un registro de cómo y cuándo se recogieron los datos cada dispositivo (por ejemplo, documentar la hora y el lugar de recopilación), así como la marca, el modelo y un número de serie de cada dispositivo.
También deberíamos documentar cada vez que se transfiera la posesión del dispositivo; por ejemplo, cuando se entrega el dispositivo al experto forense para su análisis. Documentar la cadena de custodia será particularmente importante si el cliente desea finalmente remitir el asunto a la policía o iniciar acciones legales.
3. Realizar una imagen forense del dispositivo de almacenamiento de datos antes de que alguien (incluso el personal técnico bien intencionado) inicie una investigación es fundamental.
Un paso esencial en cualquier investigación forense informática es hacer una copia exacta bit a bit (denominada «imagen») del dispositivo fuente. Un experto en informática forense podrá determinar si la copia es un duplicado exacto basado en un identificador numérico único conocido como «valor hash». Esta imagen tiene que ser realizada antes de cualquier cualquier investigación, porque incluso acciones aparentemente inocuas pueden cambiar los datos que existen en el dispositivo, generando dudas sobre si la evidencia es fiable.
La imagen también debe hacerse usando un «bloqueador de escritura«, que evita cualquier cambio (o «escritura») en el dispositivo. Esta tecnología no suele formar parte de las herramientas de un equipo técnico de cualquier empresa, y si no se utiliza al hacer una copia de una unidad, la validez de la evidencia puede ponerse en duda.
4. Simplemente encender o apagar un equipo puede provocar una pérdida de evidencias y cambiar datos importantes.
Por ejemplo, cada vez que un usuario inicia su sistema, Windows altera cientos de archivos, incluida la actualización de registros y la escritura de datos.
Apagar un ordenador también puede tener consecuencias negativas, ya que los datos que se almacenan en la memoria temporal, llamada RAM, se perderán. Por lo tanto, se debe consultar a un experto en informática forense antes de encender o apagar un dispositivo si se cree que dicho dispositivo puede contener evidencias. Otra buena práctica a seguir es que se desconecte el equipo de la red lo antes posible para evitar conexiones remotas o cualquier sincronización adicional en la red.
5. Hay muchas maneras de recuperar un archivo «eliminado».
Si un usuario intentó ocultar sus pistas eliminando un archivo, es posible que el archivo no desaparezca para siempre, en primer lugar por que todavía puede estar en la papelera, si el usuario eliminó el archivo de la papelera, aún podría existir en lo que se denomina «espacio no asignado» (si no se han sobrescrito los datos).
Es importante destacar que si no hay archivos eliminados en el espacio no asignado, puede ser una prueba de que el usuario reinstaló el sistema operativo o borró el dispositivo, lo que puede ser una evidencia valiosa.
6. Se puede determinar el uso de dispositivos externos.
Algunos dispositivos, como los discos duros externos (por ejemplo, dispositivos USB), dejan pistas (en la máquina a la que estaban conectados) de lo que hizo el usuario. Un experto en informática forense generalmente puede generar una lista de los dispositivos USB que el usuario conectó.
Para los dispositivos con Windows, el experto puede crear una lista de todos los dispositivos conectados, incluidas la primera y la última fecha en que se conectó cada dispositivo. Para los equipos Mac, el experto a menudo puede generar una lista de los dispositivos conectados en los últimos 30 días.
En muchas ocasiones, tanto en equipos con Windows como con Mac, es posible averiguar la marca, el modelo y el número de serie de cada dispositivo.
7. No hay registros de archivos copiados o movidos a dispositivos externos.
A menudo, descubrir qué archivos movió un usuario a un dispositivo externo es una prueba importante, especialmente en los casos de sospecha de robo de secretos y datos comerciales.
Muchos clientes creen que un experto en informática forense puede imprimir un informe de todos los archivos transferidos; sin embargo, no existe tal listado. Aunque, si el usuario copió un archivo de su equipo con Windows a un dispositivo externo, como una memoria USB, y luego abrió el archivo en ese dispositivo (como por ejemplo para verificar que la copia es correcta), un archivo de acceso directo conocido como » archivo INN » se crearía en el equipo y se podría analizar.
También es posible reunir otras pruebas para mostrar la actividad y movimiento de los archivos. Por ello, es factible analizar si un usuario movió documentos de un dispositivo, aunque es más complejo y laborioso de lo que muchas personas pueden pensar.
8. Los registros de fecha y de hora no son siempre reales.
Unir una línea de tiempo de eventos a menudo es clave para cualquier investigación o litigio. Por lo tanto, las marcas de tiempo asociadas a los archivos, como las que muestran cuándo se crearon o modificaron estos archivos, son importantes.
Debido a que las marcas de tiempo se basan en el reloj interno del dispositivo, debemos asegurarnos de saber en qué zona horaria está configurado el reloj y si hay alguna prueba de que el reloj haya cambiado. De hecho, algunos usuarios maliciosos intentan cubrir sus huellas cambiando el reloj varias veces.
9. Las máquinas virtuales pueden estar ocultando evidencias.
Es posible que un usuario configure esencialmente un ordenador dentro de otro ordenador para que pueda ejecutar un sistema operativo y aplicaciones de forma encubierta. Esto se conoce como una «máquina virtual».
Si bien las máquinas virtuales tienen muchos usos útiles y no siempre malintencionados, un intruso podría usar una máquina virtual para eludir las medidas de seguridad.
Por ejemplo, si una empresa ha inhabilitado la capacidad de sus empleados para usar dispositivos de almacenamiento externo, un empleado aún puede usar dicho dispositivo, y mover archivos de forma encubierta a dicho dispositivo, si él o ella instala una máquina virtual.
Por lo tanto, el experto forense debe comprobar si hay alguna evidencia de que el usuario instaló alguna máquina virtual.
10. El experto en informática forense necesita la máxima información de los antecedentes.
El experto forense necesita conocer los antecedentes del caso lo mejor posible para poder determinar los mejores métodos para buscar evidencias y si otros orígenes de datos podrían ser relevantes.
Por ejemplo, puede ser útil para el experto conocer nombres clave, fechas de eventos relevantes (por ejemplo, la fecha en que un empleado fue despedido), nombres de archivos importantes, estructuras de nombres de archivos utilizados por la empresa para tipos de archivos importantes (p. ej., imágenes, esquemas, documentos de Word…) y si la empresa permite a sus empleados utilizar dispositivos de almacenamiento en la nube o acceder de forma remota a los datos de la empresa.
Conclusión
Si usas estos consejos, podrás trabajar de manera más eficiente y efectiva con tu experto en informática forense y, juntos, maximizar la oportunidad de encontrar evidencias y mejorar tu capacidad para utilizarlas hábilmente en tu caso.
Articulo redactado en colaboración con el bufete de abogados Welex