Peritos informáticos colegiados – Tel: 950923905 – Mail: informacion@indalics.com – Atención al público: 09:30h – 13:30h / 17:00h – 19:00h

Informática forense en el entorno jurídico

¿Qué es la informática forense? En este artículo te explicamos en qué consiste, el concepto de cadena de custodia, cómo se obtienen y analizan las evidencias digitales y algunas herramientas para realizar un análisis forense.

¿Qué es la informática forense?

Podemos definir la informática forense de la siguiente manera:

La informática forense es la rama de la informática que aglutina todos los conocimientos científicos y técnicos en el ámbito de la informática destinados a explicar un determinado hecho o suceso del pasado, de forma palpable o inferida, mediante la aprehensión, conservación, análisis y documentación de información relativa a elementos hardware y/o software.

Pedro De La Torre Rodríguez

Frente a la informática forense cabe confrontar y diferenciar otros conceptos muy ligados:

  • Auditoría informática: Equivalente a la informática forense con la salvedad de que busca explicar hechos o sucesos del presente, o predecir hechos o sucesos que podrían darse en el futuro, no del pasado.
  • Pericial informática: Actividad profesional que se sirve de las técnicas de la informática forense para dar explicación a hechos controvertidos en un proceso judicial en auxilio de los tribunales de justicia.

Una de las labores de los informáticos forenses es, por ejemplo, la investigación de un incidente de ciberseguridad, obteniendo, conservando, analizando y documentando información explicativa del incidente: vectores de ataque, autoría, vulnerabilidades explotadas, etc…

informática forense

Otro ejemplo de labor del informático forense es la investigación de una vulneración de normas de compliance digital dentro de una empresa u organismo, aprehendiendo, conservando, analizando y documentando todo lo relativo al incumplimiento al objeto de depurar responsabilidades, judicialmente si es necesario.

Objetivos de la informática forense en el ámbito judicial

La labor del informático forense es susceptible de causar efectos jurídicos, como en los dos ejemplos anteriormente citados, o lo que es lo mismo, el informático forense es susceptible de tener que intervenir como perito informático ante un tribunal de justicia, por lo que su trabajo debe cumplir siempre con las reglas procesales y deberes aplicables al perito informático.

Por ello, los objetivos de la informática forense en el ámbito judicial son:

  • Investigar una serie de sucesos, descartando o no que hayan tenido lugar.
  • Intervenir evidencias digitales demostrativas de los hechos investigados.
  • Preservar dichas evidencias para ponerlas a disposición tanto de tribunales de justicia como de especialistas en otros ámbitos de la informática.
  • Analizar con sustento técnico las evidencias intervenidas, al objeto de sustentar su estudio de los hechos que debía investigar.

¿Cuál es la diferencia entre un informático forense y un perito informático?

Existe gran controversia entre informáticos forenses y peritos informáticos, respecto de los límites de actuación de unos y otros profesionales, que como vamos a ver, se solapan bastante en el ámbito estrictamente técnico.

La diferencia entre ambos profesionales está en que la informática forense es la rama de conocimiento de la que parten los peritos informáticos para realizar sus estudios, debiendo poseer además, elevados conocimientos de ingeniería a la hora de analizar las evidencias intervenidas y su contexto.

La Ley de Enjuiciamiento Civil hace distinción entre peritos informáticos y entendidos en la materia:

  • Perito informático: Profesional que posee titulación oficial en la materia objeto de la pericia
  • Entendido en la materia: Profesional que, sin poseer titulación oficial en la materia objeto de la pericia, atesora gran experiencia práctica.

La diferencia entre peritos informáticos e informáticos forenses está en la capacidad de análisis de las evidencias digitales. Así pues, todo perito informático es, a su vez, informático forense, pero no necesariamente a la inversa.

¿Qué es la cadena de custodia de una evidencia digital?

La cadena de custodia de una evidencia digital es el procedimiento de informática forense, oportunamente documentado, que permite constatar el origen, autenticidad e integridad del elemento digital demostrativo de un hecho relevante para el proceso judicial, desde que es encontrado e intervenido. En el ámbito de la informática forense resulta fundamental si se requiere acudir a tribunales de justicia para dirimir responsabilidades y daños informáticos causados por terceros.

cadena de custodia de la prueba digital

Uno de los principales problemas a los que se enfrenta el informático forense es el de garantizar la cadena de custodia de las evidencias digitales encontradas, de tal manera que quede garantizado que la información trasladada a la autoridad competente es exactamente la misma que fue incautada por el profesional forense.

La garantía de la cadena de custodia aplicada a la evidencia digital, se realiza mediante la acreditación de la autenticidad del origen y la integridad del contenido. Las dudas que pueda tener un tribunal de justicia respecto de estos dos requisitos serán determinantes para la denegación de la eficacia probatoria de los datos incautados por el informático forense.

¿Cómo se determina el origen de una evidencia digital?

En informática forense es de vital importancia determinar las circunstancias de la obtención de la evidencia digital de la forma más detallada posible, fijando su contexto. La obtención de una evidencia digital que pueda desplegar valor probatorio en un proceso judicial consiste en :

  • Acreditación del origen y existencia de los datos. Ésta se puede hacer mediante fotografías, grabación de vídeo, participación de testigos y/o el concurso de un fedatario público o tercero de confianza que den fe sobre el particular.
  • La licitud de la obtención de los datos, es decir, su obtención sin vulnerar derechos fundamentales ni normativa de aplicación sobre el particular.
  • La no alteración de los datos, y pérdida de información relevante, en el momento de acceder el perito informático a su origen o continente, por su propia naturaleza o por descuido negligente de éste.
  • El acceso a datos en poder de la otra parte en el litigio, si fuera el caso.

No tener en cuenta estos preceptos no sólo pueden invalidar como prueba la evidencia digital encontrada, sino que pueden derivar en responsabilidades civiles y penales del informático forense en caso de contravenir la normativa legal en vigor, en especial la protección de los derechos fundamentales de los investigados.

firma hash en informática forense

¿Cómo se determina la integridad de una evidencia digital?

En informática forense resulta fundamental poder acreditar que se ha mantenido la integridad de la evidencia digital desde que la interviene el informático forense como parte de su estudio. Este problema va muy ligado al de la originalidad de un elemento digital que, aún siendo fácilmente replicable, se considera trivial si puede demostrarse que la evidencia digital es idéntica, bit a bit, al elemento examinado.

Para ello, en informática forense se utilizan las firmas hash. Una firma hash es el resultado de aplicar una función criptográfica a un conjunto dado de bits, produciendo un resultado único para dicho conjunto. La firma tiene una dependencia del contenido evaluado por la función criptográfica, por lo que si se realizase un cambio en los datos, la firma hash sería distinta. Esto es muy útil en informática forense para establecer la cadena de custodia de una evidencia digital, dado que permite certificar indubitadamente que un elemento digital no ha sido modificado desde su obtención. Las firmas hash más utilizadas son:

Una vez obtenida la firma hash de la evidencia digital se debe realizar el clonado de los datos, realizando una copia bit a bit de la información digital original: copia forense del fichero, clonado del disco duro o memoria, etc. Finalmente se deberá comparar las firmas hash de las evidencias clonadas respecto de las originales, documentando con todo detalle dicha coincidencia.

análisis forense informático

Análisis forense de las evidencias digitales

Una vez intervenidas y debidamente conservadas las evidencias digitales comienza la tercera labor primordial en informática forense: el análisis de las evidencias digitales intervenidas. Dicho análisis puede ser de casi cualquier tipología dentro del ámbito de la informática:

  • Análisis de malware intervenido en equipos informáticos de una empresa
  • Análisis de los elementos dañados en un sistema informático, vectores de ataque y medidas correctoras.
  • Cuantificación de daños en la infraestructura informática y pérdidas económicas potenciales a terceros.
  • Autentificación de comunicaciones electrónicas.
  • Análisis de originalidad de un fichero multimedia de vídeo o audio.
  • Examen de fallos de elementos software desarrollados por un tercero tras la entrega del producto al objeto de reclamar indemnizaciones.

Estos son sólo algunos ejemplos rápidos que ponen de manifiesto que, en muchos casos, el informático forense deberá trabajar en equipo con especialistas de otras áreas como ciberseguridad, sistemas de información y peritos informáticos.

Para la obtención de la evidencia digital se deben realizar dos operaciones. La primera consiste en el volcado o clonado de datos consiste en la realización de una copia espejo, bit a bit, de la información digital original.

En cuanto se ha realizado el volcado de los datos se procede a obtener la firma hash de los ficheros electrónicos aprehendidos. Dicha firma hash es una función basada en un algoritmo resumen de los bits que componen el fichero, cuya aplicación práctica es la de afirmar que dicho fichero no ha sido alterado con posterioridad. Al cambiar un solo bit del fichero digital, la firma hash cambia. Si la firma Hash de dos ficheros coincide, significa que ambos son plenamente coincidentes.

La integridad del contenido se obtiene comparando las firmas Hash obtenidas de la información aprehendida y de la formación original, debiendo ser ambas coincidentes.

Herramientas de informática forense

Hay una serie de herramientas de informática forense, de uso común para todo informático forense por ser básicas en su trabajo:

Las clonadoras de datos

clonadora de discos duros

Este tipo de dispositivos hardware se utilizan en informática forense para la obtención de un clon exacto de un dispositivo de almacenamiento. Es vital obtener este tipo de clonaciones ya que JAMÁS debe trabajarse sobre el dispositivo que almacena los datos originales objeto de estudio. Las clonadoras varían mucho de precio, siendo un factor fundamental la velocidad de clonado, el número de copias simultáneas que puede generar el dispositivo y si éste es capaz de generar el código hash que certifica el contenido del dispositivo.

Las bloqueadoras de escritura

bloqueadora de lectura de datos

Este tipo de dispositivos hardware se utiliza en informática forense para conectar el dispositivo objeto de estudio a nuestra estación de trabajo impidiendo que el sistema pueda realizar cualquier tipo de escritura en el dispositivo, lo que lo invalidaría como prueba. Así mismo, las bloqueadoras también se utilizan para proteger contra escritura cualquier dispositivo de almacenamiento.

Creación de imágenes forenses

La herramienta más ampliamente utilizada para la creación de imágenes forenses es Guymager, que es una herramienta gratuita de adquisición y preservación de evidencias digitales en entorno Linux, generando imágenes en formato dd, E01 y AFF. También es capaz de realizar el clonado forense de discos duros sin necesidad de una clonadora y de obtener la firma Hash del disco duro clonado o del fichero de imagen creado.

Cálculo de firmas hash

generador codigo hash

Normalmente se trata de software que nos generará el código hash identificativo de cada uno de los ficheros electrónicos que estamos estudiando o del dispositivo de almacenamiento completo. Ello se usa para acreditar que las copias de datos se corresponden fielmente con los originales. Uno de los más comunes es FCIV.

Análisis de memoria volátil

Volatility análisis forense de memoria RAM

Para el análisis forense de la memoria volátil, la herramienta más utilizada es Volatility. Se trata de uno de los mejores programas de software de código abierto para analizar la RAM en sistemas de 32 bits / 64 bits. Admite análisis para sistemas Linux, Windows, Mac y Android. Volatility está basado en Python y se puede ejecutar en sistemas Windows, Linux y Mac. También puede analizar archivos en hibernación, volcados de VMWare y archivos de caída de Windows.

Suites de herramientas forenses

caine forense

Se trata de packs de herramientas forenses de tipo software de muy distinto uso y alcance. Las hay tanto de pago como gratuitas y se usan tanto para el estudio de ficheros electrónicos como logs de navegadores, dispositivos móviles, memoria RAM y un largo etcétera.

Entre las herramientas gratuitas, la más conocida es “CAINE”, una distribución libre de UBUNTU con multitud de herramientas de gran utilidad. Para la investigación en fuentes abiertas (OSINT) se está utilizando mucho “OSINTUX“, una distribución completamente en castellano.

Herramientas de firma electrónica

Pese a no ser, estrictamente, una herramienta de informática forense, sí que deberá utilizarse para firmar, con código de fecha y hora, la documentación que elaboremos para recoger el estudio forense realizado a fin de demostrar su autenticidad. Una de las herramientas mas comunes, potentes y gratuitas es XolidoSign

Otra información de interés: