Cuando se comete un delito digital seguir las pistas para llegar al delincuente no es tarea fácil. Es preciso la intervención de los peritos informáticos, que son los que llevan a cabo a la investigación. Los CSI del delito digital están especializados seguir el rastro que toda manipulación informática ilegal deja en su camino.
Este rastro se basa en el principio de Intercambio de Locard, que afirma que todo contacto digital, deja rastro. Desde una simple conversación de WhatsApp hasta un caso de ciberbullying o un hackeo empresarial, todo deja un rastro en las redes informáticas que un perito puede seguir para identifica al delincuente o ciberdelincuente y el daño que ha producido en el sistema del usuario.
Esta tarea de seguimiento e investigación es compleja y además precisa de estrategia. Carlos Aldama, ingeniero informático de Aldama Informática Legal, explica que "en ocasiones es preciso "permitir" que el atacante continúe delinquiendo para recoger más datos. Para ello, se establecen honey pots (botes de miel) con los que el atacante se 'distrae' pensando que está asaltando el objetivo y nos permite recabar sus datos."
Artículo relacionado:
- Atentos a los robos digitales sin valor aparente
8 pasos para investigar los delitos digitales
En el proceso de investigación de los delitos digitales, los peritos informáticos suelen seguir los siguientes pasos:
1. Identificación del delito: permite conocer el medio en el que se está realizando delito digital para crear la estrategia y los pasos a seguir. Una manipulación de WhatsApp o cualquier otra red social para incluir frases o conversaciones no es lo mismo que un espionaje industrial o el pirateo de un servidor de una empresa, aunque todas estas formas constituyan delito.
2. Reducir el escenario del delito: cuando más grande sea el escenario de una investigación, ésta será menos efectiva. Acotando el campo, los peritos consiguen identificar mejor las evidencias del rastro para dar con el ciberdelincuente.
3. Guardar las evidencias: Es imprescindible recopilar toda la información necesaria a través del dispositivo desde el que se ha cometido el delito para mostrar las consecuencias. Para hacerlo, los peritos informáticos utilizan distintos medios. El listado de tecnologías es largo, destacamos:
- Clonadoras forenses para recolectar y clonar discos duros
- Bloqueadores de escritura, para no modificar los discos analizados
- Dispositivos de análisis forense de móviles
- Jaulas Faraday, para evitar el acceso remoto y eliminar datos
4. Custodia de las pruebas: para conseguir y garantizar una "no manipulación de los datos". la custodia efectiva se realiza ante Notario o mediante actas con testigos en los que se calcula el Hash de las evidencias. También es necesaria una gran meticulosidad en el registro, etiquetado y traslado a lugar seguro. Todas las pruebas deben mantener su formato digital para que puedan se pueda comprobar su veracidad y contrastarlas.
La importancia de este paso es fundamental, ya que como afirma Aldama, "si no se hace correctamente, nos pueden pasar muchas cosas: por ejemplo, que un móvil que estemos examinando tenga un software de control remoto y nos borren la prueba o que los datos caigan en manos de un tercero que pueda manipularlos. Siempre que sea posible, se debe certificar la recogida de evidencia de manera técnica, indicando el sellado de tiempo que permita tener garantías de todas las actuaciones".
5. Analizar las evidencias: se debe efectuar una reconstrucción del delito, analizando los datos para dar respuesta a las preguntas de la investigación. Es habitual trabajar sobre máquinas clonadas para hacer las pruebas forenses que se requieran, investigando todos los datos eliminados y haciendo un examen exhaustivo de cada evidencia en función del objeto de la pericia informática.
Cuando ha ocurrido un robo, en primer lugar se realiza la extracción de datos a través de dispositivos externos, por red o internet. En segundo lugar, se analiza la autoría de la fuga de datos, identificando siempre que sea posible el responsable final del destino y después se comprueba la navegación realizada con búsquedas 'ciegas' que, a raíz de términos positivos (objetivos de búsqueda) y negativos (palabras que pueden atentar contra las comunicaciones, intimidad...), puedan llevarnos directamente al foco de la investigación.
6. Documentación y resultados: es muy importe documentar toda la investigación en un informe y hacerlo bien, porque en caso contrario, no resulta válido. Estos informes deben ser entendibles para personas no expertas. El proceso de investigación del delito digital realizado debe estar recogido paso a paso para que la parte contraria pueda llegar a las mismas conclusiones siguiendo los mismos pasos.
7. Ratificación en juzgado y defensa del informe: en el proceso judicial los peritos informáticos deben presentar toda la información recogida en su investigación. La exposición de su trabajo de investigación debe resultar comprensible para los no expertos en la materia. En esto se basa la eficiencia en el proceso judicial.
Marisol Nuevo Espín
Asesoramiento: Carlos Aldama. Ingeniero Informático de Aldama Informática Legal
Te puede interesar:
- El bullying tiene peores concuencias mentales que el maltrato
- WhatsApp: 8 consejos de buen uso para niños
- Informática y ADE, las carreras con más empleo
