Opinión
Qué ocultan los dispositivos móviles: clave para esclarecer un delito
25 de Abril de 2022Escribe el experto en Ciberseguridad Ing. Pablo Rodríguez Romeo
Hoy en día todos los usuarios de un dispositivo móvil saben que de allí se pueden obtener localizaciones, imágenes, documentación, conversaciones, intercambios a través de correos electrónicos, actividad en redes sociales. Pero también, y quizá no tan común para su conocimiento, son los detalles de la actividad del software; esto significa datos / códigos de lo que descargamos, actualizamos, rutas de navegación, conexión entre datos, etc.
Por eso, el valor que adquieren en todo proceso judicial o policial; ya que pueden reconstruir toda la actividad que haya hecho el usuario y así aportar pruebas o posibles evidencias, o al mismo liberarlo de culpa y cargo.
Pero, para que todo esto ocurra es fundamental la intervención de un profesional de la Informática Forense que pueda llevar adelante este “desvelamiento”.
Cómo develan la información oculta en los dispositivos. El rol del perito informático forense en la escena
Los especialistas informáticos se valen de técnicas y procedimientos que implementan desde el primer contacto con el dispositivo, incluso en el momento del allanamiento. Aquí radica la importancia de que en todo proceso judicial o policial haya un profesional informático forense.
Ya desde el momento del allanamiento es necesario generar la correcta cadena de custodia del elemento que se secuestra. En ese momento son fundamentales las decisiones que se tomen; se debe disponer del conocimiento y equipamiento necesarios para poder obtener la información digital (si se realiza en la escena), hacer el correcto franjado de los equipos, e iniciar la cadena de custodia que permita ir revelando la trazabilidad del elemento y no viciar de nulidad la prueba, la cual es sumamente volátil y si no se toma en ese momento ya no es posible obtenerla.
Recordemos que la información almacenada digitalmente puede ser modificada, eliminada o adulterada, sin dejar rastros; o si se dejan, al no tener una adecuada cadena de custodia no es posible verificar lo sucedido. Por eso, es fundamental ser rigurosos y muy prolijos con el procedimiento.
Ya sea en la escena o en el laboratorio donde se realice el análisis, la preservación de la prueba se realiza a partir de una copia forense o extracción, a la cual se le calcula el hash con el que se le va a poder dar integridad en el tiempo. Nunca se debería trabajar con la evidencia original porque se corre el riesgo de dañarla. La copia forense permite recuperar toda la información del dispositivo, aún aquella que ha sido eliminada, y reconstruir los pasos del usuario. También, es muy común la utilización de software de investigación forense para el análisis y procesamiento de una gran cantidad de información con una rapidez inigualable.
Sin lugar a dudas, la intervención de personal capacitado para llevar a cabo esta labor es fundamental, y el perito informático forense adquiere una importancia sinigual.
El éxito de su trabajo dependerá de que pueda contar con toda la información importante, conocer lo que se está buscando, dimensionar bien la búsqueda, documentar el material y el procedimiento (sin olvidarse de la hora y fecha del allanamiento), y de hacerse de todo el material para prevenir que los equipos sean conectados previamente a su llegada.
La prueba digital tiene características propias que la hacen diferente a otros tipos de pruebas: es muy frágil (puede ser fácilmente eliminable o modificable sin dejar rastros), reproducible (pueden hacerse copias de esa información y ser siempre original), y anónima (no se puede vincular a una persona, excepto que tenga firma digital incorporada al documento). Por eso, es imprescindible poder asegurar inequívocamente que la información recabada como prueba sea la misma en el tiempo y generar su cadena de custodia (detallar quién la extrajo, por qué, a quién se la entregó, etc.).
En resumen, sin la participación de los especialistas informáticos forenses, a cargo de llevar adelante el análisis, obtener y resguardar la evidencia, e implementar los métodos necesarios que eviten la nulidad de la prueba garantizando su cadena de custodia; develar la información oculta en los dispositivos no sería posible.
Esta es una carrera contra el tiempo, y ellos están entrenados para hacerlo.
(*) Pablo Rodríguez Romeo: Perito Informático Forense, especialista en Seguridad. Socio del Estudio CySI de Informática Forense