Los dispositivos digitales están en todas partes en el mundo de hoy, ayudando a las personas a comunicarse local y globalmente con facilidad. La mayoría de la gente piensa de inmediato en los ordenadores, los teléfonos móviles e Internet como las únicas fuentes de evidencia digital, pero cualquier pieza de tecnología que procese información puede usarse de manera criminal.
Por ejemplo, los juegos portátiles pueden llevar mensajes codificados entre delincuentes e incluso los electrodomésticos más nuevos, como un refrigerador con un televisor incorporado, podrían usarse para almacenar, ver y compartir imágenes ilegales. Lo importante es saber que debemos ser capaces de reconocer y aprovechar adecuadamente la evidencia digital potencial.
Por eso aquí vamos a explicar en qué consiste la evidencia digital, sus principios, tipos y funcionamiento.
Indice
¿Qué es la evidencia digital?
La evidencia digital es un registro de la información guardada o difundida a través de un sistema informático que puede utilizarse como prueba en un proceso judicial. Es cualquier dato digital que pueda relacionar un delito con su víctima o con su autor.
Los cibercriminales intentan modificar o eliminar la evidencia digital variando el rastro. Pero eso no es suficiente para que puedan salir impunes porque:
- Puede obtenerse una copia exacta e irrefutable de esa evidencia digital.
- A través de herramientas de informática forense puede comprobarse el original con la evidencia digital y establecer si ha sido modificada.
- Es posible recuperar los discos duros aunque se hayan borrado.
La evidencia digital se define como información y datos de valor para una investigación almacenada, recibida o transmitida por un dispositivo electrónico. Esta evidencia se puede adquirir cuando se confiscan dispositivos electrónicos para su examen.
La evidencia digital:
- Está latente (oculta), como huellas digitales o evidencia de ADN
- Cruza fronteras jurisdiccionales rápida y fácilmente
- Se puede alterar, dañar o destruir con poco esfuerzo
- Puede ser sensible al tiempo
Existen muchas fuentes de evidencia digital, pero a los efectos de esta publicación, el tema se divide en tres categorías forenses principales de dispositivos donde se puede encontrar evidencia: basada en Internet, en
ordenadores o dispositivos, y dispositivos móviles. Estas áreas tienden a tener diferentes procesos de recopilación de evidencia, herramientas y preocupaciones diferentes
Los tipos de delitos tienden a prestarse a un dispositivo u otro.
Principios
Se dice que la información que se almacena electrónicamente es «digital» porque ha sido dividida en dígitos; unidades binarias de unos (1) y ceros (0), que son guardadas y recuperadas usando un conjunto de instrucciones llamadas software o código.
Se puede crear un tipo de información (fotografías, palabras, hojas de cálculo) y guardarla usando este tipo de instrucciones. Encontrar y explotar evidencia guardado de esta manera es un área creciente de análisis forense y cambia constantemente.
Internet
El lanzamiento de Internet o la World Wide Web a mediados de la década de 1990 realmente marcó el comienzo de la «era de acceso». Por primera vez, las personas fuera del mundo académico podría usarlo para conectarse con otros en una nueva forma. Internet abrió el acceso a un mundo de información y recursos, pero también proporcionó una carretera para el tráfico de imágenes ilegales, información y espionaje.
Debido al acceso global a la información y a otros ordenadores, los delincuentes pueden usar este acceso para hackear sistemas de comunicaciones, grandes corporaciones y redes gubernamentales para robar dinero, identidades e información, o para sabotear sistemas.
Uno de los mayores desafíos en el crimen de Internet es para investigadores, laboratorios y personal técnico que deben entender cómo funciona el proceso y mantenerse estrechamente comprometido con los avances en software y tecnologías de seguimiento.
Ordenadores
A finales de la década de 1970, los empleados de Flagler Dog Track en Florida usaron una computadora para crear e imprimir boletos ganadores fraudulentos. Esto llevó a Florida a promulgar la primera ley de delitos informáticos, que declaró el uso no autorizado de la informática para cometer delitos.
Los delitos informáticos siguen siendo un problema creciente tanto en el sector público como en el sector privado.
Una sola computadora puede contener evidencia de actividad criminal llevado a cabo en la web, o el uso criminal puede estar contenido en la computadora en sí, como pornografía, infracción de derechos de autor, extorsión, falsificación y mucho más. La evidencia digital se encuentra en el disco duro de la computadora y equipos periféricos, incluidos medios extraíbles, como unidades de memoria USB y Discos CD-ROM.
Dispositivos móviles
La primera versión de lo que llamaríamos ahora teléfono móvil no se desarrolló hasta la década de 1980. El uso de teléfonos móviles en todo el mundo se disparó en la década de 1990 y alcanzó los 4.600 millones a finales de 2009.
La tecnología de telefonía inalámbrica se ha expandido para incluir muchos tipos de dispositivos móviles como
tabletas y videojuegos portátiles.
En principio utilizados solo para comunicaciones de voz, los teléfonos móviles de hoy también se utilizan para tomar fotos y películas digitales, enviar mensajes instantáneos, navegar por la web y realizar muchas de las mismas tareas que un ordenador.
Los dispositivos móviles permiten a los delincuentes participar en una variedad cada vez mayor de actividades y
realizar un seguimiento de cada movimiento y mensaje. Es esta capacidad de seguimiento lo que convierte a dispositivos móviles en evidencia clave en muchos casos.
¿Cómo y cuándo se usa la evidencia digital?
La evidencia digital puede entrar en juego en cualquier investigación criminal seria como asesinato, violación, acecho, robo de automóviles, robo, abuso infantil o explotación, falsificación, extorsión, juegos de azar, piratería, delitos contra la propiedad y terrorismo.
La información previa y posterior al delito es más relevante, por ejemplo, si un criminal estaba usando un programa en línea como Google Maps o street view; o publica artículos robados para la venta en E-Bay; o se comunica a través de mensajes de texto con cómplices para planificar un crimen o amenaza a una persona.
Algunos delitos se pueden cometer por completo a través de medios digitales, como piratería informática, fraude económico o robo de identidad.
En cualquiera de estas situaciones, se deja un rastro electrónico de información que un equipo de investigación puede reconocer, aprovechar y explotar. La recolección de evidencia debe seguir los procedimientos adecuados para generar datos más valiosos. No seguir los procedimientos adecuados puede resultar en pérdida o evidencia dañada o inadmisible en el tribunal.
Admisión como prueba en un juicio
Los requisitos que debe cumplir una evidencia digital para ser admitida como prueba en un juicio son:
- Auténtica: debe haber sido obtenida y registrada en el lugar de los hechos y debe garantizarse la integridad de los archivos.
- Confiable: esta evidencia digital debe proceder de fuentes fiables. Es decir, es confiable si el sistema que la produjo no ha sido violado y funcionaba correctamente cuando se generó o guardó esa prueba.
- Integra: para que esa prueba sea suficiente debe estar completa.
- Cumplir las reglas del poder judicial: es necesario que esa evidencia sea acorde con las leyes y disposiciones vigentes en el ordenamiento jurídico.
Para proteger una evidencia digital es necesario realizar copias usando nuevos sistemas de almacenamiento y permitir el acceso a la misma únicamente a un perito informático.
Las evidencias digitales deben protegerse, controlarse, etiquetarse y controlarse. La responsabilidad corresponde al perito que las tenga en su poder o a la persona autorizada para custodiarlas.
Tipos
Las evidencias digitales pueden clasificarse según el tipo de elemento, de sistema o la fuente.
- Según el tipo de elemento:
- Evidencia hardware: se refiere a casos de uso de un decodificador de señal cuya posesión sea ilegal o ilícita, un sniffer para escuchar la red que se utilice con fines delictivos o cualquier instrumento que sirva como prueba de que se ha cometido un delito (por ejemplo, la impresora donde se imprimieron imágenes de pornografía infantil).
- Evidencia digital: se refiere a los datos, programas e información comunicados mediante un sistema informático cuando la ley prohíbe esa comunicación.
- Según el tipo de sistema:
- Sistemas de computación abiertos: ordenadores y periféricos de cuyos discos duros puede obtenerse gran cantidad de información.
- Medios de telecomunicaciones: conjunto de redes de comunicación interconectadas.
- Sistemas de computación convergentes: instrumentos electrónicos que dispongan de convergencia digital, como móviles o tarjetas inteligentes.
- Según la fuente:
- Evidencias generadas por el ordenador
- Evidencias generadas por una persona con el ordenador
- Las que combinan los dos casos anteriores
Funcionamiento
La evidencia que se puede reunir digitalmente incluye: Documentos informáticos, correos electrónicos, mensajes de texto e instantáneos, transacciones, imágenes y los historiales de Internet.
Por ejemplo, los dispositivos móviles usan sistemas de respaldo basados en línea, también conocida como la «nube», que proporciona a los investigadores forenses acceso a mensajes de texto e imágenes tomadas desde un teléfono en particular.
Además, muchos dispositivos móviles almacenan información sobre las ubicaciones donde viajó el dispositivo y cuándo estaba allí. Para obtener este conocimiento, los investigadores pueden acceder a un promedio de las últimas 200 ubicaciones a las que accede un dispositivo móvil.
Los sistemas de navegación por satélite y las radios por satélite en los automóviles pueden proporcionar información similar. Incluso fotos publicadas en las redes sociales como Facebook puede contener información de ubicación.
El dispositivo habilitado para sistema de posicionamiento (GPS) contiene datos de archivo que muestran exactamente donde se tomó una foto. Al obtener una citación para una cuenta particular de dispositivo móvil, los investigadores pueden recopilar una gran cantidad de historia relacionada con el dispositivo y la persona que lo usa.
Quién realiza el examen
La evidencia digital debe ser examinada solo por aquellos entrenados específicamente para ese propósito. Con la gran variedad de dispositivos electrónicos en uso hoy y la velocidad con la que cambian, mantenerse al día puede ser muy difícil para la policía.
Muchas agencias no tienen a mano un experto en evidencia digital y, si lo tienen, el oficial podría ser especialista en teléfonos móviles pero no en redes sociales o fraude bancario. Un detective puede iniciar sesión en e-Bay y buscar propiedad robada, pero puede ser incapaz de capturar historiales de mensajes de texto de teléfonos móviles y podría destruir evidencia solo por intentarlo.
Muchos se interesan en el área y aprenden qué pueden hacer, pero no existe un camino único hacia la experiencia en evidencia digital: Las calificaciones y certificaciones no están estandarizadas.
Los examinadores de medios digitales certificados son investigadores que tienen la educación, capacitación y experiencia para explotar adecuadamente esta evidencia sensible. No existe un organismo certificador único, y los programas de certificación pueden contener diferentes cursos de estudio. En general, estos profesionales
han demostrado competencias básicas en procedimientos de pre-examen de cuestiones legales, evaluación y análisis de medios, recuperación de datos, análisis específico de datos recuperados, documentación e informes, y presentación de recomendaciones.
Cómo se recopilan los dispositivos digitales
En la escena: como cualquiera que haya dejado caer un teléfono móvil en un lago o se le haya dañado el ordenador en una tormenta eléctrica sabe, la información almacenada digitalmente es muy sensible y se pierde fácilmente.
Una vez que la escena ha sido asegurada y la autoridad legal para aprovechar la evidencia se ha confirmado, se pueden recolectar dispositivos. Ninguna contraseña, códigos o PIN deben recopilarse de las personas involucradas, y los cargadores, cables, periféricos y manuales asociados deben ser recogidos.
Las unidades de memoria USB, teléfonos móviles, discos duros y similares son examinados utilizando diferentes herramientas y técnicas, y esto se hace con mayor frecuencia en un laboratorio especializado. Se debe tener especial cuidado con los dispositivos digitales para prevenir la exposición a temperaturas extremas, electricidad estática y humedad.
Los dispositivos deben apagarse inmediatamente y las baterías deben retirarse, si es posible. Apagar el teléfono conserva la información de ubicación y las llamadas registradas y evita que se use el teléfono, lo que podría cambiar los datos.
Si el dispositivo no se puede apagar, debe aislarse en una bolsa u otro material de bloqueo. El Wi-Fi, Bluetooth u otro sistema de comunicaciones debe estar desconectado. Los dispositivos digitales deben colocarse en envases antiestáticos como bolsas de papel o sobres y cajas de cartón. El plástico debe evitarse, ya que puede transportar electricidad estática o permitir una acumulación de humedad.
Al enviar dispositivos digitales al laboratorio, el investigador debe indicar el tipo de información que se busca, por ejemplo, números de teléfono y el historial de llamadas, correos electrónicos, documentos y mensajes desde un
ordenador o imágenes en una tableta.
Realización del análisis
Una vez que se ha enviado la evidencia digital al laboratorio, un analista calificado realizará los siguientes pasos para recuperar y analizar datos:
- Prevenir la contaminación: Antes de analizar la evidencia digital, debe realizarse una copia de trabajo del dispositivo de almacenamiento original. Al recopilar datos de un dispositivo sospechoso, la copia debe ser
almacenada en otros medios para mantener el original. Los analistas deben usar medios de almacenamiento «limpios» para evitar la contaminación o la introducción de datos de otra fuente. - Aislar dispositivos inalámbricos: los teléfonos móviles y otros dispositivos inalámbricos deben ser examinados inicialmente en una cámara de aislamiento, si está disponible. Esto evita conexión a cualquier red y mantiene la evidencia tan aislada como sea posible. Si una agencia no tiene una cámara de aislamiento, los investigadores suelen colocar el dispositivo en una bolsa y cambiar el teléfono al modo avión para evitar la recepción.
- Instalar software de bloqueo de escritura: para evitar cualquier cambio en los datos en el dispositivo, el analista instalará un bloque en la copia de trabajo para que esos datos se puedan ver pero nada se pueda cambiar o agregar.
- Seleccionar métodos de extracción: una vez que se crea la copia de trabajo, el analista determinará la marca y modelo del dispositivo y seleccionará el software de extracción diseñado para «analizar los datos» por completo o ver su contenido.
- Enviar el dispositivo o los medios originales para su examen tradicional: cuando se han eliminado los datos, el dispositivo se vuelve a enviar a evidencia. Puede haber ADN, huellas, huellas digitales u otra evidencia que pueda obtenerse de él.
- Continuar con la investigación: en este punto, el analista utilizará el software seleccionado para ver datos. El analista podrá ver todos los archivos en la unidad y puede ver si hay áreas ocultas. Los archivos eliminados son
también visibles, siempre que no se hayan sobrescrito con nuevos datos. Los archivos eliminados también pueden ser valiosos.
Preguntas frecuentes
¿Qué tipo de resultados se pueden esperar del análisis de evidencia digital?
Si la recopilación y el análisis de evidencia se realiza correctamente, los examinadores pueden conseguir información segura que puede respaldar reclamacioness de actividad criminal a través del diálogo o intercambio de mensajes, imágenes y documentos.
El examinador generalmente proporciona toda la documentación de respaldo, destacando información relevante,
pero también un informe que detalla lo que se hizo para extraer los datos. Al igual que con evidencia de otros tipos, la cadena de custodia y recolección adecuada y las técnicas de extracción son críticas para la credibilidad de la evidencia y deben ser completamente documentadas.
¿Cuáles son las limitaciones con respecto a la evidencia que se puede obtener de dispositivos digitales?
Las limitaciones de investigación se deben principalmente al cifrado y a la propiedad en sistemas que requieren decodificación antes de que se pueda acceder a los datos. La contraseña puede llevar mucho tiempo, incluso con un software sofisticado.
Existen limitaciones legales y técnicas en esta área de investigación. Las leyes que rigen el procesamiento y el enjuiciamiento son diferentes de un estado a otro. La delincuencia digital puede cruzar fácilmente jurisdicciones, haciendo de la estandarización un problema cada vez más crítico de la aplicación de la ley.
¿Cómo se realiza el control de calidad y la garantía?
El control de calidad y la garantía es similar a otras especialidades forenses en ese laboratorio debe tener y seguir pautas. Los países deben fomentar la comunicación y la cooperación, así como garantizar la calidad y
consistencia dentro de la comunidad forense.
Para garantizar el análisis más preciso de la evidencia, la gestión de laboratorios forenses implementa políticas y procedimientos que rigen instalaciones y equipos, métodos y procedimientos, y calificaciones de analistas y entrenamiento. Dependiendo del estado en el que opera, un laboratorio de delitos puede ser requerido para lograr la acreditación para verificar que cumple con las normas calidad.