En el momento en el que se produce un robo o un homicidio, a todos nos viene a la cabeza la policía y sus grupos especializados como los encargados de seguir las pistas. Pero, ¿qué ocurre cuando el delito es digital? En estos casos, son los peritos informáticos los que se convierten en CSI del delito digital y son los encargados de realizar las investigaciones pertinentes para descubrir al delincuente.
Para que esto sea posible, los peritos informáticos se apoyan en el principio de Intercambio de Locard, el cual afirma que todo contacto digital deja rastro. De acuerdo con Carlos Aldama, perito informático y director de Aldama Informática Legal, toda manipulación, una conversación de WhatsApp, un correo electrónico o un hackeo empresarial, deja un rastro que un perito puede seguir y analizar para identificar el objeto del ataque, el atacante, los medios usados y lo que ha afectado al usuario.
Pero este proceso, no siempre es sencillo. Como añade Aldama, muchas veces estas pistas son falsas o simplemente incompletas y obligan a continuar la investigación o, incluso, a ‘permitir’ que el atacante continúe haciéndolo para recoger más datos. En este caso, se establecen lo que se llaman honey pots (botes de miel) con los que el atacante se ‘distrae’ pensando que está asaltando el objetivo y permite recabar sus datos.
¿Y todo esto cómo se hace?
- Identificar el delito: el primer paso es la identificación del delito digital cometido. Al igual que está claro que no es lo mismo un hurto que un atentado, no es lo mismo una manipulación de WhatsApp para inventarse una conversación que piratear un servidor para realizar un robo o espionaje industrial.
- Acotar la escena: este es un paso fundamental, ya que si la escena es muy amplia, supondrá una investigación menos efectiva y a salirse del objetivo, mientras que si es muy estrecho, es muy probable dejar por fuera evidencias importantes que pueden ser fundamentales para dar con el responsable del delito.
- Recopilar las evidencias: lo próximo en el ‘lugar del crimen’ es recoger la información necesaria, bien sea el dispositivo en el que se ha cometido el delito o en el que se vean sus consecuencias. Así, se aplican diferentes técnicas de recolección según el medio y la situación: las clonadoras forenses para recolectar y clonar discos duros; los bloqueadores de escritura, para no modificar los discos analizados; los dispositivos de análisis forense de móviles; las jaulas Faraday, para evitar el acceso remoto y eliminar datos, y un largo listado de tecnologías que distinguen la profesionalidad y conocimientos del perito informático a la hora de hacer una investigación y posterior defensa.
- Preservar las pruebas: para que la investigación sea válida, se debe garantizar la no manipulación de los datos. Para conseguirlo, con las máquinas especializadas se realiza una adquisición y custodia efectiva, bien sea ante Notario o con medios suficientes para asegurar que la prueba no se ha manipulado, tales como actas con testigos en los que se calcula el Hash de las evidencias. Asimismo, es necesaria la meticulosidad del registro y acción completa de todo el proceso, incluido el etiquetado y su traslado a lugar seguro. Estas pruebas se deben mantener en su formato digital y proporcionárselas a la otra parte para que puedan comprobar su veracidad y contrastarlas.
- Analizar las evidencias: se debe efectuar una reconstrucción del delito, analizando los datos que se tengan para dar respuesta a las preguntas de la investigación. En este caso, siempre se trabaja sobre máquinas clonadas para hacer las pruebas forenses.