PERITO INFORMÁTICO FORENSE

La informática forense es la práctica de la recopilación, análisis y presentación de informes sobre los datos digitales de una manera que sea legalmente admisible. Se puede utilizar en la detección y prevención del delito y en cualquier controversia en que la evidencia se almacena digitalmente. Esta disciplina sigue un proceso similar al de otras disciplinas forenses, y se enfrenta a problemas similares.

Hay pocas áreas de la delincuencia o de litigios en que no puedan aplicarse la informática forense. Las fuerzas de seguridad han estado entre los usuarios más antiguos y más pesados ​​de la informática forense y en consecuencia han sido a menudo a la vanguardia de los avances en el campo.

Los equipos informáticos pueden constituir una ‘escena del crimen’, por ejemplo, con la piratería o ataques de denegación de servicio,o que puedan realizar pruebas en forma de correos electrónicos, historial de Internet, documentos u otros archivos relacionados con delitos como el asesinato , secuestro, fraude,tráfico de drogas, pornografía infantil, etc.

¿Qué se puede analizar?
  • Equipos informáticos (servidores y equipos personales).
  • Cuentas de correo electrónicos y mensajes asociados.
  • Dispositivos de almacenamiento externo: Memorias USB, Tarjetas SD, CD, DVD
  • Teléfonos móviles, smartphones, tablets, PDA’s,…
  • Sistemas de bases de datos.
  • Foros y redes sociales.
  • Sitios web desaparecidos frente a la amenaza de una investigación.
  • Sistemas software complejos (ERP, CRM, soluciones de contabilidad, etc.)

No es sólo el contenido de los correos electrónicos, documentos y otros archivos que pueden ser de interés para los investigadores, sino también aquello que el perito forense informático da a conocer con el nombre de  “metadatos“. Estos metadatos se encuentran asociados a dichos archivos.Un examen forense puede revelar cuando un documento apareció por primera vez en un equipo, cuando se editó por última vez, cuando fue la última guardar o imprimir y cual fue el usuario que llevó a cabo estas acciones.

Más recientemente, las organizaciones comerciales han utilizado la informática forense en su beneficio en una variedad de casos, tales como;

  • El robo de la Propiedad Intelectual
  • El espionaje industrial
  • Disputas en un entorno laboral
  • Investigaciones de fraude
  • Falsificaciones
  • Investigaciones Quiebra
  • Uso de email de forma inapropiada y el uso de Internet en el lugar de trabajo
  • Cumplimiento de normativas

Consulta el apartado de servicios ofrecidos dentro de la cartera de perito informático e informática forense.

Protocolo

Para que una prueba digital sea admisible debe ser fiable y no perjudicial, lo que significa que en todas las etapas de un equipo forense, la admisibilidad de la investigación debe ser prioritaria en el trabajo del forense informático.

Los cuatro principios fundamentales para un análisis forense realizado por un perito informático son

1. Ninguna acción debe cambiar los datos en poder de un equipo o medios de almacenamiento que luego se podrán impugnar ante los tribunales.
2. En los casos en que una persona se ve obligado a acceder a los datos originales guardados en un ordenador o medios de almacenamiento, esa persona debe ser competente para hacerlo y ser capaz de dar pruebas que aclaren la relevancia y las consecuencias de sus acciones.
3. Debe mantenerse un registro fidedigno de las auditorías u otros registros efectuados sobre todos los procesos que se aplican a las pruebas electrónicas en un sistema informático. Una tercera persona independiente debe ser capaz de examinar los procesos y obtener el mismo resultado.
4. La persona a cargo de la investigación tiene la responsabilidad global de garantizar que la ley y estos principios se cumplen.

Fases de trabajo del forense informático

Esta etapa generalmente implica la elaboración de un informe estructurado en el que se responde  a las cuestiones iniciales, junto con los hallazgos encontrados a posteriori por el examinador. También cubriría cualquier otra información que el examinador considere pertinente para la investigación.

El informe debe estar escrito con el lector final en mente; en muchos casos el lector no posee un perfil técnico, por lo que la terminología debe ser adecuada al lector. No debe confundirse esto último como una justificación para no conocer y emplear el lenguaje técnico, puesto que el informe debe también satisfacer las exigencias técnicas suficientes para que las conclusiones sean probatorias.

Esta etapa generalmente implica la elaboración de un informe estructurado en el que se responde  a las cuestiones iniciales, junto con los hallazgos encontrados a posteriori por el examinador. También cubriría cualquier otra información que el examinador considere pertinente para la investigación.

El informe debe estar escrito con el lector final en mente; en muchos casos el lector no posee un perfil técnico, por lo que la terminología debe ser adecuada al lector. No debe confundirse esto último como una justificación para no conocer y emplear el lenguaje técnico, puesto que el informe debe también satisfacer las exigencias técnicas suficientes para que las conclusiones sean probatorias.

La etapa de evaluación incluye la recepción de instrucciones, la aclaración de esas instrucciones  y la asignación de funciones y recursos.El análisis de riesgos para la aplicación de la normativa puede incluir una evaluación de la probabilidad de amenaza física al entrar en la propiedad de un sospechoso y la mejor manera de contrarrestarlo. Las organizaciones comerciales, administración y clientes particulares también tienen que ser conscientes de los problemas de salud y seguridad, conflictos de intereses y de los posibles riesgos financieros – y a su reputación – en la aceptación de un proyecto en particular.

La evaluación debe ser un proceso meticuloso en el que el perito informático debe conocer con la mayor exactitud posible los antecedentes y el objeto del análisis pericial o auditoría a realizar

Si la adquisición se llevará a cabo en el lugar y no en un laboratorio de informática forense, entonces esta etapa incluiría la identificación de dispositivos que pueden almacenar las evidencias y asegurar la escena de la recogida de dichas pruebas.Las entrevistas o reuniones con personal que pueda disponer de información pertinente para el examen (usuarios finales de los equipos , el director, la persona responsable de la prestación de servicios informáticos, …) por lo general se llevan a cabo en esta etapa.

La etapa de colección también incluye el etiquetado y embolsado de elementos probatorios en el sitio, para ser sellados en bolsas o sobres a prueba de manipulaciones. En CEDESA, contamos con material de protección para discos, tarjetas y dispositivos USB a prueba de golpes, agua, etc. con el fin de  garantizar el transporte del material utilizado hasta nuestro laboratorio forense.

El análisis depende de las características específicas de cada trabajo.El perito informático normalmente proporciona información al cliente durante el análisis y de este diálogo el análisis puede tomar un camino diferente o ser reducido a áreas específicas. El análisis debe ser preciso, completo, imparcial, registrado y repetible.

Existen múltiples herramientas disponibles para el análisis forense. Es nuestra opinión, el perito forense informático. Los principales requisitos de una herramienta informática forense es que hace lo que se supone que debe hacer y la única manera de que los examinadores para asegurarse de que esto es para poner a prueba regularmente y calibrar las herramientas que se basan en el análisis se lleva a cabo antes. Es conocido en el sector la existencia de pseudo-profesionales cuyo trabajo se basa únicamente en la ejecución de una herramienta automática que proporciona informes estándar sin conocer en que se basan los resultados obtenidos. Objetivamente, este tipo de pruebas siempre traen resultados nefastos para los solicitantes puesto que en el interrogatorio de la vista si se llega a la apertura de un proceso judicial, el perito debe tener la capacidad de afrontar todas las preguntas que se le realicen, justificando los resultados.

Para la verificación del funcionamiento correcto de una herramienta, se utiliza el proceso de doble uso (si con la herramienta de ‘A’ del examinador encuentra artefacto ‘X’ en la posición ‘Y’, entonces la herramienta ‘B’ debe replicar estos resultados).

Al igual que en la etapa de preparación, la etapa de revisión a menudo se pasa por alto.Esto puede ser debido a los costos percibidos de hacer un trabajo que no es facturable, o la necesidad de “seguir adelante”. Sin embargo, la incorporación de la revisión en cada pericial informática puede ayudar a ahorrar dinero y  sobre todo, aumentar el nivel de calidad del informe presentado por el perito informático.

Una revisión de un análisis puede ser simple, rápida y puede comenzar durante cualquiera de las etapas anteriores. Cualquier lección aprendida en esta etapa debe aplicarse al siguiente examen e introducirse en la etapa de preparación.

Formulario de contacto

Nombre

Asunto

Teléfono

E-mail

Mensaje

Pulse aquí para aceptar las condiciones de uso