La investigación de los ciberdelitos cobra más importancia a medida que avanza la tecnología. Hoy explicamos qué es la informática forense y cómo se utiliza para recopilar las evidencias, de modo que puedan ser utilizadas ante un juzgado.
Qué es la informática forense
La informática forense es una disciplina que se encarga de investigar, recuperar, analizar y presentar evidencia digital en el contexto de investigaciones legales o incidentes de seguridad informática.
Un informático forense tiene la capacidad de investigar los delitos que involucran dispositivos digitales; tales como ordenadores, móviles, redes o sistemas de almacenamiento. Pero su función no se limita a buscar las evidencias digitales, también deben analizarlas, preservarlas y presentarlas de manera que no se pierda la fidelidad de las mismas.
Ámbito de aplicación
El ámbito de aplicación de la informática forense es amplio e incluye la investigación de delitos informáticos como fraude electrónico, robo de identidad, piratería, distribución de malware, etc. En ciberseguridad se utiliza para identificar vulnerabilidades, responder a intrusiones y otros incidentes.
También se utiliza en investigaciones corporativas, por ejemplo, si se sospecha del robo de información confidencial o espionaje industrial. De igual manera, las pruebas se pueden utilizar en litigios civiles como robo de propiedad intelectual, divorcios, etc.
Breve historia de la informática forense
Los primeros delitos informáticos surgieron en la década de 1970. Esto llevó a crear la Ley de Delitos Informáticos de Florida en 1978, en la cual se reconocen estas infracciones. Con el avance de la tecnología, los delitos informáticos se volvieron más sofisticados, por lo que surgió la necesidad de técnicas forenses especializadas para investigar estos crímenes.
Ya en la década de 1980 aparecieron los ordenadores personales y la sociedad comenzó a depender más de los sistemas informáticos. Al mismo tiempo aumentaba la cantidad de delitos, por lo que surgieron también nuevas herramientas para investigarlos.
Con la aparición de la World Wide Web, y herramientas como el correo electrónico y las redes informáticas, los ataques se volvieron aún más complejos. Lo que llevó a que la informática forense se consolidara como una disciplina en la década de 1990.
A partir de entonces la informática forense ha evolucionado a la par de la tecnología. De manera que en la actualidad abarca una amplia gama de dispositivos digitales. A medida que los ataques informáticos son más complejos, también aparecen técnicas y herramientas que permiten investigarlos.
Componentes clave de la informática forense
Recopilación de evidencias digitales
Recopilar la evidencia digital es uno de los pilares de la informática forense. Requiere un conocimiento amplio tanto de los sistemas informáticos, como de las técnicas de investigación forense.
Durante esta primera etapa, el perito informático identifica, preserva y recopila la evidencia digital. Para ello recurre a técnicas como la extracción de datos, análisis de registros, creación de imágenes forenses, entre otros. Estos procesos los debe hacer siguiendo protocolos estrictos para evitar que la evidencia se altere.
Análisis forense de dispositivos digitales
El informático forense toma los dispositivos involucrados en el caso y los analiza para encontrar evidencia relevante. Este proceso implica extraer los datos de los dispositivos, recuperar archivos, identificar los metadatos, detectar malware y tráfico sospechoso en las redes, etc.
Herramientas esenciales en informática forense
Con las herramientas adecuadas, los informáticos forenses pueden clonar discos duros, recuperar datos borrados, analizar archivos de imagen, descifrar contraseñas y examinar el tráfico de red. Estas herramientas permiten hacer un análisis meticuloso en cada dispositivo y evolucionan conforme lo hacen la tecnología y los crímenes cibernéticos.
Proceso de un análisis forense informático
Las etapas del análisis forense se dividen de la siguiente manera:
Preparación y evaluación de riesgos
En primer lugar, se determinan los sistemas que se van a investigar y se establecen los objetivos de la investigación. Para ello es necesario obtener información sobre el incidente, así como de los dispositivos que se han visto afectados o que pudieran estar involucrados.
Implica también la evaluación de riesgos, como la contaminación o pérdida de los datos.
Asimismo, durante esta etapa se crea el plan que guiará la investigación. Es decir, el método que se seguirá, las herramientas a utilizar, quién se encargará del análisis.
Recogida y preservación de datos
Con el plan de investigación listo se procede a identificar los dispositivos que pueden tener alguna evidencia. Antes de continuar se deben aislar y protegerlos para evitar que se modifiquen o se eliminen datos.
Una vez que se protegen los dispositivos, se crean copias exactas de cada uno para analizarlos sin correr el riesgo de modificar la evidencia original.
Durante todo este proceso es imprescindible preservar la cadena de custodia para garantizar la integridad de la evidencia.
Análisis y extracción de datos
A continuación se analizan los datos forenses para identificar la evidencia digital relevante. Durante esta etapa se recuperan los archivos borrados, se identifica el tráfico y la presencia de malware, se evalúan los metadatos.
El informático forense analiza los datos extraídos para identificar las pistas que puedan conducir a la resolución del caso.
Documentación y presentación de hallazgos
Por último, se redacta el informe pericial. En este documento se detalla cómo se hizo el peritaje, los hallazgos que se encontraron y las conclusiones del perito.
Los resultados se presentarán al cliente y, si es necesario, se presentará el testimonio del experto en audiencias judiciales.
Aplicaciones de la informática forense
Resolución de delitos cibernéticos
Una de las principales aplicaciones de la informática forense es la resolución de delitos. Esta disciplina es fundamental para investigar casos de fraude electrónico, el robo de identidad, la distribución de malware, la pornografía infantil y el ciberacoso, entre otros crímenes.
Apoyo en litigios legales
De igual manera, la información que recopila un profesional en informática forense es útil en litigios legales relacionados con: propiedad intelectual, competencia desleal, espionaje industrial, reclamaciones de seguros y muchos otros.
Recuperación de datos y gestión de incidentes
Dentro de las organizaciones pueden ocurrir incidentes de seguridad informática que lleven a la pérdida de datos. Gracias a la informática forense es posible recuperarlos, así como identificar el origen del problema. Por ejemplo, si se debió a alguna intrusión en el sistema, un fallo en los sistemas de seguridad, entre otras causas.
Conclusión
La informática forense está en constante evolución y tiene diversas aplicaciones. Esta disciplina permite recopilar, analizar y presentar evidencia digital que puede ser determinante en la resolución de litigios legales y en la investigación criminal.
Los métodos que se utilizan se adaptan a los distintos casos, gracias a su versatilidad. En la actualidad es necesario entender qué es la informática forense y cómo puede ayudarte, ya que nadie está exento de ser víctima de un ciberdelito.
D. Eduardo García de la Beldad Sanchis
Experto Universitario en Análisis Forense Web y Redes Sociales en Ciberseguridad y Peritaje Informático Judicial, en Derecho Informático y Peritaciones Judiciales, en Hacking Ético de Sistemas y Redes de la UDIMA. Experto Universitario en Delegado de Protección de Datos LOPD. Master en Informática Forense y Delitos Informáticos (UDIMA).
