Aseguramiento y adquisición de evidencias electrónicas

A día de hoy cada vez se producen más actos delictivos en el entorno virtual, es decir, utilizando Internet o las nuevas tecnologías por lo que las pruebas electrónicas cobran más importancia en el ámbito legal.

¿Qués una prueba o evidencia electrónica? Se considera cualquier tipo de información relevante en una investigación susceptible de residir en un dispositivo digital (ordenador, teléfono móvil, PDA, etc) que sirve para adquirir convencimiento de la certeza de un hecho.

La metodología forense en el contexto digital se encarga tanto del tratamiento de las evidencias electrónicas como de su aseguramiento, garantizando siempre el establecimiento de una cadena de custodia.

Uno de los pasos previos a la adquisición es la identificación de las fuentes de información que se van a adquirir. Para ello se debe plantear la siguiente cuestión ¿dónde se encuentra la información?. Esta pregunta, a priori sencilla no siempre tiene una respuesta evidente. A modo de ejemplo, un empleado accede con su ordenador cada día a su correo electrónico corporativo, sin embargo su buzón de correo no se almacena en el disco duro del ordenador del empleado sino que está en un servidor que se encuentra en otro lugar distinto

Es de vital importancia definir una correcta estrategia en la que, una vez se haya averiguado en qué medio físico puede encontrarse la información susceptible de contener evidencias electrónicas, se seleccionen las fuentes de información a adquirir de manera proporcional y razonable. Es decir, en el caso anteriormente mencionado en el que se deba realizar el análisis forense únicamente un buzón de correo corporativo, y/o no se disponga de acceso físico al disco duro del servidor que lo contiene, se podría realizar la copia selectiva de dicho buzón.

En la medida de lo posible debe adquirir el disco duro o el dispositivo completo ya que desde el punto de vista forense aporta mayor información. Sin embargo, dependiendo del escenario no siempre es posible la no alteración.

Una vez identificadas las fuentes de información y el método de acceso a ellas, el siguiente paso es la adquisición o copia de dichas fuentes. Lo que se pretende es adquirir las fuentes de información con garantías de no alterar en ningún momento la fuente original, preservando así la cadena de custodia. El caso más habitual al que se enfrentan los peritos es la copia forense de discos duros de ordenadores.

La copia forense, también denominada copia ciega o espejo, permite “clonar” el contenido de un dispositivo de almacenamiento (tarjeta de memoria, disco duro, etc) “bit a bit”, es decir, a nivel físico y de manera independiente del contenido o de su porcentaje de ocupación.

Para asegurar que la copia que queda a disposición del perito es idéntica a la fuente original se calcula la huella criptográfica o hash criptográfico de la información copiada. El hash es una función matemática estándar de la que se obtiene un conjunto de números y letras para un determinado origen, de manera que si dicho origen fuera alterado el hash sería completamente diferente. La metodología forense aceptada a nivel mundial promueve el uso de los hashes para garantizar la integridad de la información copiada.

Existen unos aparatos denominados “clonadores” especializados en la copia forense de discos duros, que están ampliamente extendidos en el ámbito forense. Los fabricantes de dicho hardware certifican que sus productos están diseñados de manera específica para respetar los estándares de las copias forenses.

Uno de los aspectos fundamentales en cualquier adquisición de medios digitales es la presencia de un fedatario público o notario que dé fe del proceso de copia, dejando constancia de los hashes criptográficos, el modelo de clonador utilizado, pasos realizados durante la copia, etc. Resulta muy útil la realización de fotografías durante todo el proceso, así como opcionalmente el uso de etiquetas y sobres de seguridad para reforzar la cadena de custodia.

Como último paso de la adquisición se debe quedar en depósito notarial el disco copiado original o bien una copia del mismo. De esta manera el proceso goza de una transparencia técnica y legal absoluta, facilitando en cualquier momento que la parte contraria pueda acceder a dicho depósito para encargar su propio informe pericial y contrastar las conclusiones a las que llegue el perito.

Hasta el momento nos hemos centrado en la copia forense de discos duros para la que se emplean de manera mayoritaria los mencionados clonadores. Sin embargo, en ciertas ocasiones y de manera cada vez más habitual al perito se le presenta una situación en la que debe adquirir un dispositivo diferente, tal y como un teléfono móvil, un iPad, una PDA, etc

Debido a la complejidad técnica y la diversidad de cada uno de los dispositivos, el perito deberá en cada caso estudiar y definir una estrategia de adquisición y ejecutarla ante el notario cumpliendo con los principios del análisis forense: integridad de la copia, cálculo de hashes criptográficos y finalmente el depósito notarial.

Es importante remarcar que sea cual fuere el dispositivo de almacenamiento que contiene información susceptible de ser investigada, nunca debe ser manipulado por personal técnico que no sea experto en prueba electrónica. En muchas ocasiones se cree que cualquier persona con conocimientos informáticos puede llevar a cabo una copia de un disco duro, una recuperación de archivos eliminados o cualquier otra acción que puede tener consecuencias nefastas para la prueba, ya que ésta se alterará y se perderá información vital para el análisis forense que se llevará a cabo a posteriori.