¿Qué es la informática forense?

Es la disciplina técnica que aplica metodologías reproducibles a la recopilación, análisis y presentación de evidencias digitales con valor procesal en un juzgado o investigación interna.

¿Qué dispositivos y fuentes puede analizar un perito en informática forense?

Servidores, equipos personales, móviles, tablets, dispositivos de almacenamiento externo, correo electrónico, sistemas de bases de datos, redes sociales, foros y software empresarial (ERP, CRM, contabilidad).

¿Cuáles son las fases del trabajo forense informático?

Presentación, preparación, evaluación, colección, análisis y revisión. Forenlab aplica las cuatro reglas de oro: no alterar la evidencia original, competencia de quien la manipula, registro fidedigno y garantía del cumplimiento procesal.

Perito Informático Forense

La informática forense es la práctica de la recopilación, análisis y presentación de informes sobre los datos digitales de una manera que sea legalmente admisible. Se puede utilizar en la detección y prevención del delito y en cualquier controversia en que la evidencia se almacena digitalmente. Esta disciplina sigue un proceso similar al de otras disciplinas forenses, y se enfrenta a problemas similares.

Hay pocas áreas de la delincuencia o de litigios en que no puedan aplicarse la informática forense. Las fuerzas de seguridad han estado entre los usuarios más antiguos y más pesados de la informática forense y en consecuencia han sido a menudo a la vanguardia de los avances en el campo.

Los equipos informáticos pueden constituir una "escena del crimen", por ejemplo, con la piratería o ataques de denegación de servicio, o que puedan realizar pruebas en forma de correos electrónicos, historial de Internet, documentos u otros archivos relacionados con delitos como el asesinato, secuestro, fraude, tráfico de drogas, pornografía infantil, etc.

¿Qué se puede analizar?

Equipos informáticos (servidores y equipos personales)
Cuentas de correos electrónicos y mensajes asociados
Dispositivos de almacenamiento externo: Memorias USB, Tarjetas SD, CD, DVD
Teléfonos móviles, smartphones, tablets, PDAs…
Sistemas de bases de datos
Foros y redes sociales
Sitios web desaparecidos frente a la amenaza de una investigación
Sistemas software complejos (ERP, CRM, soluciones de contabilidad, etc.)

No es sólo el contenido de los correos electrónicos, documentos y otros archivos que pueden ser de interés para los investigadores, sino también aquello que el perito informático forense da a conocer con el nombre de metadatos. Estos metadatos se encuentran asociados a los archivos.

Más recientemente, las organizaciones comerciales han utilizado la informática forense en su beneficio en una variedad de casos, tales como:

El robo de la Propiedad Intelectual
El espionaje industrial
Disputas en un entorno laboral
Investigaciones de fraude
Falsificaciones
Investigaciones Quiebra
Uso de email de forma inapropiada y el uso de Internet en el lugar de trabajo
Cumplimiento de normativas

Consulta el apartado de servicios ofrecidos dentro de la cartera de perito informático e informática forense.

Servicios Periciales

Protocolo

Para que una prueba digital sea admisible debe ser fiable y no perjudicial, lo que significa que en todas las etapas de un equipo forense, la admisibilidad de la investigación debe ser prioritaria en el trabajo de forense informático.

Los cuatro principios fundamentales para un análisis forense realizado por un perito informático son:

Ninguna acción debe cambiar los datos en poder de un equipo o medios de almacenamiento que luego se podrán impugnar ante los tribunales.
En los casos en que una persona se ve obligada a acceder a los datos originales guardados en un ordenador o medios de almacenamiento, esa persona debe ser competente para hacerlo y ser capaz de dar pruebas que aclaren la relevancia y las consecuencias de sus acciones.
Debe mantenerse un registro fidedigno de las auditorías y otros registros efectuados sobre todos los procesos que se aplican a las pruebas electrónicas en un sistema informático. Una tercera persona independiente debe ser capaz de examinar los procesos y obtener el mismo resultado.
La persona a cargo de la investigación tiene la responsabilidad global de garantizar que la ley y estos principios se cumplan.

Fases de trabajo del forense informático

Más información sobre la presentación

Esta etapa generalmente implica la elaboración de un informe estructurado en el que se responde a las cuestiones iniciales, junto con los hallazgos encontrados a posteriori por el examinador. También cubriría cualquier otra información que el examinador considere pertinente para la investigación.

El informe debe estar escrito con el lector final en mente; en muchos casos el lector no posee un perfil técnico, por lo que la terminología debe ser adecuada al lector. No debe confundirse esto último como una justificación para no conocer y emplear el lenguaje técnico, puesto que el informe debe también satisfacer las exigencias técnicas suficientes para que las conclusiones sean probatorias.

Más información sobre la preparación

Es una etapa crítica y de vital importancia y que en muchas ocasiones se pasa por alto en el proceso de examen. Dicha etapa puede incluir por ejemplo la educación o formación de los clientes (empresas) acerca de la preparación del sistema; por ejemplo, los exámenes forenses proporcionarán evidencias de mayor consistencia y valor si las características u opciones de auditoría de un dispositivo se han activado antes de cualquier incidente que se produzca; por ejemplo haciendo uso de los archivos de log. Por tanto, el perito forense informático tiene como tarea también el dar a conocer a sus clientes las opciones existentes de los sistemas involucrados en las infraestructuras IT de una empresa.

Más información sobre la evaluación

La etapa de evaluación incluye la recepción de instrucciones, la aclaración de esas instrucciones y la asignación de funciones y recursos. El análisis de riesgos para la aplicación de la normativa puede incluir una evaluación de la probabilidad de amenaza física al entrar en la propiedad de un sospechoso y la mejor manera de contrarrestarlo. Las organizaciones comerciales, administración y clientes particulares también tienen que ser conscientes de los problemas de salud y seguridad, conflictos de intereses y de los posibles riesgos financieros — y a su reputación — en la aceptación de un proyecto en particular.

La evaluación debe ser un proceso meticuloso en el que el perito informático debe conocer con la mayor exactitud posible los antecedentes y el objeto del análisis pericial o auditoría a realizar.

Más información sobre la colección

Si la adquisición se llevará a cabo en el lugar y no en un laboratorio de informática forense, entonces esta etapa incluiría la identificación de dispositivos que pueden almacenar las evidencias y asegurar la escena de la recogida de dichas pruebas. Las entrevistas o reuniones con personal que pueda disponer de información pertinente para el examen (usuarios finales de los equipos, el director, la persona responsable de la prestación de servicios informáticos, …) por lo general se llevan a cabo en esta etapa.

La etapa de colección también incluye el etiquetado y embolsado de elementos probatorios en el sitio, para ser sellados en bolsas o sobres a prueba de manipulaciones. En Forenlab contamos con material de protección para discos, tarjetas y dispositivos USB a prueba de golpes, agua, etc., con el fin de garantizar el transporte del material utilizado hasta nuestro laboratorio forense.

Más información sobre el análisis

El análisis depende de las características específicas de cada trabajo. El perito informático normalmente proporciona información al cliente durante el análisis y de este diálogo el análisis puede tomar un camino diferente o ser reducido a áreas específicas. El análisis debe ser preciso, completo, imparcial, registrado y repetible.

Existen múltiples herramientas disponibles para el análisis forense. Los principales requisitos de una herramienta informática forense son que haga lo que se supone que debe hacer, y la única manera de que los examinadores se aseguren de ello es ponerla a prueba regularmente y calibrar las herramientas en las que se basa el análisis. Es conocido en el sector la existencia de pseudo-profesionales cuyo trabajo se basa únicamente en la ejecución de una herramienta automática que proporciona informes estándar sin conocer en qué se basan los resultados obtenidos. Objetivamente, este tipo de pruebas siempre traen resultados nefastos para los solicitantes puesto que en el interrogatorio de la vista, si se llega a la apertura de un proceso judicial, el perito debe tener la capacidad de afrontar todas las preguntas que se le realicen, justificando los resultados.

Para la verificación del funcionamiento correcto de una herramienta se utiliza el proceso de doble uso (si con la herramienta «A» del examinador se encuentra el artefacto «X» en la posición «Y», entonces la herramienta «B» debe replicar estos resultados).

Más información sobre la revisión

Al igual que en la etapa de preparación, la etapa de revisión a menudo se pasa por alto. Esto puede ser debido a los costes percibidos de hacer un trabajo que no es facturable, o la necesidad de «seguir adelante». Sin embargo, la incorporación de la revisión en cada pericial informática puede ayudar a ahorrar dinero y, sobre todo, aumentar el nivel de calidad del informe presentado por el perito informático.

Una revisión de un análisis puede ser simple, rápida y puede comenzar durante cualquiera de las etapas anteriores. Cualquier lección aprendida en esta etapa debe aplicarse al siguiente examen e introducirse en la etapa de preparación.

Nuestro servicio de atención al cliente está constantemente trabajando para resolver dudas y aclaraciones.

REALIZA TU CONSULTA