La informática forense está adquiriendo un papel preponderante en procesos judiciales de todos los órdenes jurisdiccionales. Ello se debe a la creciente digitalización de nuestra sociedad y el creciente impacto de las pruebas digitales en multitud de ilícitos y casuísticas del Derecho.
¿Qué es la informática forense?
La informática forense es la rama de la informática que aglutina todos los conocimientos científicos y técnicos destinados a explicar un determinado hecho o suceso del pasado, de forma palpable o inferida, mediante la aprehensión, conservación, análisis y documentación de información relativa a elementos hardware y/o software.
Frente a la informática forense cabe confrontar y diferenciar otros conceptos muy ligados:
- Auditoría informática: Equivalente a la informática forense con la salvedad de que busca explicar hechos o sucesos del presente, o predecir hechos o sucesos que podrían darse en el futuro, no del pasado.
- Pericial informática: Actividad profesional que se sirve de las técnicas de la informática forense para dar explicación a hechos controvertidos en un proceso judicial en auxilio de los tribunales de justicia.
Una de las labores de los peritos informáticos es, por ejemplo, la investigación de un incidente de ciberseguridad, obteniendo, conservando, analizando y documentando información explicativa del incidente: vectores de ataque, autoría, vulnerabilidades explotadas, etc…
Otro ejemplo de labor del perito informático es la investigación de una vulneración de normas de compliance digital dentro de una empresa u organismo, aprehendiendo, conservando, analizando y documentando todo lo relativo al incumplimiento al objeto de depurar responsabilidades, judicialmente si es necesario.
La informática forense es esencial en el ámbito judicial
La informática forense es esencial en el ámbito judicial para:
- Investigar una serie de sucesos, descartando o no que hayan tenido lugar.
- Intervenir evidencias digitales demostrativas de los hechos investigados con plenas garantías procesales.
- Preservar dichas evidencias inalteradas para ponerlas a disposición tanto de tribunales de justicia como de especialistas en otros ámbitos de la informática.
- Analizar con sustento técnico las evidencias intervenidas, al objeto de sustentar el estudio de los hechos que el perito informático debía investigar.
¿En qué consiste el proceso de investigación forense informática?
El proceso de investigación forense informática se compone de 5 fases:
- Adquisición
- Preservación
- Análisis
- Documentación
- Preserntación
Esta estructura ayuda a establecer un dictamen pericial estandarizado, facilitando que las técnicas de informática forense utilizadas puedan ser verificadas y reproducidas.
Fase de adquisición de evidencias digitales
En la fase de adquisición de evidencias digitales de la investigación forense informática se delimita el objeto de la investigación y se obtienen las pruebas digitales que se sospecha puedan ser relevantes para el caso investigado.
Fase de preservación de evidencias digitales
En la fase de preservación de evidencias digitales de la investigación forense se deberán mantener inalteradas las pruebas digitales intervenidas, siendo capaces de demostrar que los elementos posteriormente investigados son idénticos bit a bit a los obtenidos durante la fase de adquisición. Aquí entra en juego el concepto de cadena de custodia de la evidencia digital que veremos a continuación.
Fase de análisis de evidencias digitales
En la fase de análisis de evidencias digitales se aplican técnicas y herramientas del ámbito de la informática forense con el fin de obtener información relevante sobre los hechos investigados a partir de los elementos capturados y preservados. Dicha información debe estructurarse en base a la lógica de cara a alcanzar una serie de conclusiones sobre los hechos.
Fase de documentación de la investigación forense informática
En la fase de documentación de la investigación forense informática se procede a redactar el correspondiente informe pericial informático. Dicho informe reflejará en detalle la operación de adquisición y preservación de cada una de las evidencias digitales, así como los análisis sobre los elementos intervenidos con suficiente detalle como para poder ser replicados por un tercero en las mismas condiciones de laboratorio forense. Finalmente contendrá las conclusiones de la investigación sustentadas por argumentaciones lógicas extraídas de los resultados del análisis forense.
Fase de presentación de la investigación forense
Por último, se procede a explicar la labor de informática forense realizada ante el tribunal que debe enjuiciar los hechos, de la forma más comprensible posible, ratificándose el perito durante la vista oral. El perito deberá ser lo más didáctico posible, tratando de hacer comprender técnicas complejas a un auditorio profano en la materia.
¿Qué es la cadena de custodia de una prueba digital?
La cadena de custodia de una prueba digital es el procedimiento de informática forense, oportunamente documentado, que permite constatar el origen, autenticidad e integridad del elemento digital demostrativo de un hecho relevante para el proceso judicial, desde que es encontrado e intervenido hasta que se procede a su posterior análisis. En el ámbito de la informática forense resulta fundamental si se requiere acudir a tribunales de justicia para dirimir responsabilidades y daños informáticos causados por terceros.
Uno de los principales problemas a los que se enfrenta el informático forense es el de garantizar la cadena de custodia de las evidencias digitales encontradas, de tal manera que quede garantizado que la información trasladada a la autoridad competente es exactamente la misma que fue incautada por el profesional forense.
La garantía de la cadena de custodia aplicada a la evidencia digital, se realiza mediante la acreditación de la autenticidad del origen y la integridad del contenido. Las dudas que pueda tener un tribunal de justicia respecto de estos dos requisitos serán determinantes para la denegación de la eficacia probatoria de los datos incautados por el informático forense.
¿Cómo se determina el origen de una evidencia digital?
En informática forense es de vital importancia determinar las circunstancias de la obtención de la evidencia digital de la forma más detallada posible, fijando su contexto. La obtención de una evidencia digital que pueda desplegar valor probatorio en un proceso judicial consiste en :
- Acreditación del origen y existencia de los datos. Ésta se puede hacer mediante fotografías, grabación de vídeo, participación de testigos y/o el concurso de un fedatario público o tercero de confianza que den fe sobre el particular.
- La licitud de la obtención de los datos, es decir, su obtención sin vulnerar derechos fundamentales ni normativa de aplicación sobre el particular.
- La no alteración de los datos, y pérdida de información relevante, en el momento de acceder el perito informático a su origen o continente, por su propia naturaleza o por descuido negligente de éste.
- El acceso a datos en poder de la otra parte en el litigio, si fuera el caso.
No tener en cuenta estos preceptos no sólo pueden invalidar como prueba la evidencia digital encontrada, sino que pueden derivar en responsabilidades civiles y penales del informático forense en caso de contravenir la normativa legal en vigor, en especial la protección de los derechos fundamentales de los investigados.
¿Cómo se determina la integridad de una evidencia digital?
En informática forense resulta fundamental poder acreditar que se ha mantenido la integridad de la evidencia digital desde que la interviene el informático forense como parte de su estudio. Este problema va muy ligado al de la originalidad de un elemento digital que, aún siendo fácilmente replicable, se considera trivial si puede demostrarse que la evidencia digital es idéntica, bit a bit, al elemento examinado.
Para ello, en informática forense se utilizan las firmas hash. Una firma hash es el resultado de aplicar una función criptográfica a un conjunto dado de bits, produciendo un resultado único para dicho conjunto. La firma tiene una dependencia del contenido evaluado por la función criptográfica, por lo que si se realizase un cambio en los datos, la firma hash sería distinta. Esto es muy útil en informática forense para establecer la cadena de custodia de una evidencia digital, dado que permite certificar indubitadamente que un elemento digital no ha sido modificado desde su obtención. Las firmas hash más utilizadas son:
Una vez obtenida la firma hash de la evidencia digital se debe realizar el clonado de los datos, realizando una copia bit a bit de la información digital original: copia forense del fichero, clonado del disco duro o memoria, etc. Finalmente se deberá comparar las firmas hash de las evidencias clonadas respecto de las originales, documentando con todo detalle dicha coincidencia.
Análisis forense de las evidencias digitales
Una vez intervenidas y debidamente conservadas las evidencias digitales comienza la tercera labor primordial en informática forense: el análisis de las evidencias digitales intervenidas. Dicho análisis puede ser de casi cualquier tipología dentro del ámbito de la informática:
- Análisis de malware intervenido en equipos informáticos de una empresa
- Análisis de los elementos dañados en un sistema informático, vectores de ataque y medidas correctoras.
- Cuantificación de daños en la infraestructura informática y pérdidas económicas potenciales a terceros.
- Autentificación de comunicaciones electrónicas.
- Análisis de originalidad de un fichero multimedia de vídeo o audio.
- Examen de fallos de elementos software desarrollados por un tercero tras la entrega del producto al objeto de reclamar indemnizaciones.
Estos son sólo algunos ejemplos rápidos que ponen de manifiesto que, en muchos casos, el informático forense deberá trabajar en equipo con especialistas de otras áreas como ciberseguridad, sistemas de información y peritos informáticos.
Para la obtención de la evidencia digital se deben realizar dos operaciones. La primera consiste en el volcado o clonado de datos consiste en la realización de una copia espejo, bit a bit, de la información digital original.
En cuanto se ha realizado el volcado de los datos se procede a obtener la firma hash de los ficheros electrónicos aprehendidos. Dicha firma hash es una función basada en un algoritmo resumen de los bits que componen el fichero, cuya aplicación práctica es la de afirmar que dicho fichero no ha sido alterado con posterioridad. Al cambiar un solo bit del fichero digital, la firma hash cambia. Si la firma Hash de dos ficheros coincide, significa que ambos son plenamente coincidentes.
La integridad del contenido se obtiene comparando las firmas Hash obtenidas de la información aprehendida y de la formación original, debiendo ser ambas coincidentes.
Peritos especializados en prueba digital
Los profesionales de Indalics Peritos Informáticos están ampliamente formados en técnicas de informática forense al objeto de adquirir, preservar, analizar y documentar las pruebas digitales que intervienen en hechos controvertidos objeto de litigio. La casuística particular de las evidencias digitales y la forma errónea de tratar estos elementos de prueba están generando una gran inseguridad jurídica. Por este motivo resulta fundamental contar con peritos informáticos especializados a la hora de fundamentar correctamente y con garantías un proceso judicial.
Algunos de los elementos de prueba digital sobre los que aplicamos habitualmente técnicas de informática forense son:
Redes sociales
- Intervención y preservación de pruebas digitales relativas a publicaciones en redes sociales
- Determinación de grado de difusión e impacto de publicaciones y comentarios.
- Especializados en procesos por derecho al honor.
Mensajes de Whatsapp
- Intervención y preservación de bases de datos de Whatsapp
- Examen forense de teléfono móvil en busca de trazas de manipulación
- Estudios contrapericiales de mensajes de Whatsapp aportados en papel.
Validación de mails
- Intervención forense de correos electrónicos y ficheros adjuntos.
- Examen de autenticidad e integridad de los correos.
- Estudio de firmas electrónicas, cifrado y posibilidad de alteración del mensaje durante su envío
Páginas web
- Intervención y preservación de estado de una página web.
- Transcripción y documentación de contenidos.
- Examen de documentos multimedia presentes en un portal web.
- Plenas garantías legales frente a actas notariales de presencia.
Fotografías digitales
- Intervención y establecimiento de cadena de custodia de fotografías digitales.
- Examen informático de características fotográficas para establecer su no manipulación.
- Estudio de Fake News e impacto de bulos digitales
Vídeos digitales
- Intervención y preservación de ficheros de vídeo digital, desde portales web o dispositivos de almacenamiento.
- Examen informático de características para establecer su no manipulación
- Examen de fotogramas y composición de escena.
Grabaciones de audio digital
- Intervención de ficheros de audio desde dispositivos móviles y hardware de almacenamiento.
- Preservación y establecimiento de cadena de custodia.
- Examen informático de características de audio, tanto metadatos como espectrográficas.
Volcado forense de datos
- Volcado forense de datos y preservación de cadena de custodia.
- Laboratorio forense móvil para realizar volcados in situ, incluso en sede judicial o notarial.
- Plena validez probatoria evitando la impugnación de las pruebas digitales intervenidas.
Servicios profesionales de informática forense
En Indalics somos peritos informáticos profesionales especializados en prestar servicios de informática forense a despachos de abogados del s. XXI, que deberán lidiar con pruebas digitales en procesos judiciales de toda índole. Todos nuestros profesionales son ingenieros técnicos en informática colegiados.
Debido a la complejidad técnica que la digitalización social y económica provoca, se hace indispensable contar con un despacho pericial informático de confianza que preste servicios periciales para su despacho de abogados, dando soporte a su bufete y complementando las habilidades jurídicas de sus letrados desde una perspectiva técnica. En este tipo de casos es indispensable un servicio jurídico y técnico perfectamente coordinado para satisfacción de sus clientes ante este tipo de procesos con componente digital.
Nuestros peritos actúan en procesos de todos los órdenes jurisdiccionales. Estamos especializados en defensa penal, contraperitaje informático, tasaciones informáticas y peritación de sistemas informáticos en procesos civiles por mala praxis y daños.
Peritos colegiados y legalmente habilitados
Todos los peritos de Indalics cuentan con la correspondiente titulación oficial habilitante y están incorporados al respectivo colegio profesional tal y como marcan las leyes para poder ejercer como peritos informáticos en España. Extreme las precauciones ante el aumento de estafas por parte de falsos profesionales que simulan estar habilitados y que pueden causarle un perjuicio enorme, toda vez que pueden ser tachados del proceso judicial, dejando sin efecto su dictamen pericial.
Infórmese sobre nuestros servicios en informática forense
Nuestros peritos informáticos profesionales estarán encantados de informarle sobre los servicios relativos a informática forense que le ofrecemos. Estaremos encantados de escuchar su problemática y de ayudarle a resolver cualquier duda o pregunta, en horario de 8:30h a 14:00h y de 15h a 17h, de lunes a viernes.
Si lo prefiere, solicite cita previa y le recibiremos en nuestras instalaciones situadas en el Parque Científico Tecnológico de Almería, más concretamente en la Avda. de la Innovación 15, Edificio Pitágoras, Planta 2, Área B, Despacho 58.
Sus datos personales serán tratados de acuerdo con lo establecido en el aviso legal de la compañía y en la legislación vigente en materia de tratamiento de datos de carácter personal. Toda la información que nos remita quedará amparada bajo el más estricto secreto profesional.
