Si esta es la primera vez que escuchas algo sobre Informática Forense, probablemente estés pensando en computadoras y en herramientas tecnológicas destinadas a colaborar en la investigación que hacen los médicos forenses. En ese caso, estás bastante lejos del concepto. Sin embargo, resulta curioso observar que los informáticos forenses utilizan la jerga propia de los médicos para describir el trabajo que realizan: el especialista en informática tiene que esterilizar sus herramientas de trabajo para no contaminar la evidencia.
A modo de síntesis, podemos decir que la informática forense se encarga de recabar evidencias de computadoras, teléfonos celulares, palms, dispositivos de GPS, impresoras, cámaras digitales, flash drivers, tarjetas de memoria o cualquier otro dispositivo portátil que pueda contener información útil, cuando se comete un delito que involucra el uso de estas tecnologías.
La disciplina surge cuando las empresas comienzan a preocuparse por los fraudes financieros, pero con el tiempo fue ampliando su campo y empezó a investigar otros fenómenos. También los delitos informáticos fueron en aumento: suplantación de identidad, fotomontajes, transferencias de dinero por robo de contraseñas, usos indebidos de la información y toda una gama de cyberdelitos de lo más variopintos. Facebook constituye un nuevo medio para los infractores. Los delitos más frecuentes en la red social son suplantación de identidad, extorsión, pedofilia, difamación y cyber acoso.
La tarea del auditor forense
Cuando ocurre un delito de estas características, el especialista en informática forense va examinar la evidencia digital para recolectar pruebas. Éstas luego serán presentadas ante el juez de un proceso civil o legal, según el carácter del delito. Los cuatro pasos que debe realizar el investigador son Identificación, Preservación, Análisis y Presentación.
En la Identificación se examina el dispositivo tecnológico en busca de evidencias, pero antes, debe hacer copias maestras de todos los datos que considere relevantes, para no contaminar las pruebas. Existen aparatos especiales que se conectan al dispositivo y permiten copiar archivos a una velocidad muy alta, copiando incluso los archivos con acceso cifrado.
Una vez que tiene las copias de los originales va a proceder con el examen del material. El examinador puede incluso llegar a recuperar datos que fueron borrados desde el sistema operativo y abrir archivos encriptados. Para que la búsqueda sea más rápida y eficaz, hay software especial que ayuda a optimizar el tiempo. Las herramientas de software para las investigaciones forenses son por lo general bastante costosas y se venden bajo licencias restrictivas. Son muy pocos los programas gratuitos y de licencia libre para estas aplicaciones.
Una vez identificadas las pruebas y habiendo recabado la mayor cantidad de información posible, el especialista va a proceder a preservar el material. Si las pruebas son para presentar ante el juez, es muy importante que los procedimientos sean legalmente aceptables. Un peritaje informático debe guiarse por las normas del proceso legal.
La tercera etapa es el análisis de los datos obtenidos y preservados, tomando una postura dictaminante ante los resultados. Por último, el investigador forense va defender su peritaje ante el juzgado.
Informática forense en Uruguay
En los países latinoamericanos hay equipos dedicados a la investigación de cybercrimen, e incluso dentro de la organización policial se están creando departamentos especializados. Tal es el caso de Colombia. Sin embargo, en Uruguay aún no hay señales de un departamento policial destinado a la investigación de delitos informáticos, incluso no existen leyes específicas que regulen estos procesos judiciales.
La informática forense en este país tiene muy poco desarrollo como disciplina. Los trabajos de los auditores forenses son en su mayoría investigaciones de fraude para empresas privadas. Incluso en este ámbito el trabajo es escaso, porque las compañías muchas veces prefieren no denunciar los delitos por miedo a perder la credibilidad ante los clientes.
Además, están las limitaciones de acceso a las tecnologías adecuadas y la escasez de personas capacitadas. El auditor forense debe ser un ingeniero altamente especializado y entrenado para la tarea.Tiene que conocer las herramientas de hardware y software disponibles y los procedimientos legales al pie de la letra. Se trata de un trabajo muy delicado, un simple error puede contaminar la evidencia: hacer doble click sobre un archivo modificaría la última fecha de acceso.
En Uruguay no existen cursos para especializarse en esta rama de la informática. Todo el que quiera dedicarse a la auditoria forense deberá estudiar en el extranjero o investigar por su cuenta.