INTRODUCCIÓN A LA INFORMÁTICA FORENSE

La Informática forense es una nueva disciplina dedicada a la recolección de pruebas digitales desde una maquina computacional para fines judiciales mediante la aplicación de técnicas de análisis y de investigación. La aparición de la informática forense como una disciplina se remonta a 1989 con la creación de la primera "ciencia de la computación forense" en la Ley Federal de los EE.UU.

Junto a la informática forense aparecen términos como delito informático, el cual hace referencia a “toda conducta que revista características delictivas, es decir, sea típica, antijurídica y culpable, y atente contra el soporte lógico de un sistema de procesamiento de información, sea sobre programas o datos relevantes, a través del empleo de las tecnologías de la información, y el cual se distingue de los delitos computacionales o tradicionales informatizados”. Los delitos informáticos se pueden clasificar en los siguientes grupos de delitos: fraudes cometidos mediante manipulación de computadores, falsificaciones informáticas, daños a datos computarizados.

Tipos de delito informático: son  las más modernas conductas delictivas que son entendidas como delitos informáticos. Los mas destacados son: Hacking: sujeto que puede entrar a un sistema de información sin autorización, es decir violando las barreras de protección establecidas a tal fin. Cracking: cambiar los contenidos de la información que tienen por objeto destruir el sistema, a esto se llama cracking y a los sujetos que lo realizan se los identifica como crackers. Phreaking: la actividad de phreaking es, sin duda, la más común de todas las llamadas actividades ilícitas informáticas, es la actividad de obtener ventajas de las líneas telefónicas a los efectos de no pagar los costos de comunicación. Carding: se llama carding a la actividad de cometer un fraude o una estafa con un número de tarjeta de crédito, tarjetas telefónicas caseras que tienen la capacidad de recargarse.

En Colombia existe la Ley 1273 de 2009: Protección de la Información y de los Datos, por la cual se modifico el código penal y se incluyó en lo relacionado al delito informático y se crea un nuevo bien jurídico  tutelado - denominado “de la protección de la información y de los datos” - y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.

La mayoría de los delitos informáticos no se detectan fácilmente,  ya que si un individuo roba información de un computador, el intruso hará una copia de la información y los datos originales permanecen sin alteraciones en el computador y siguen siendo accesibles para el propietario, por ello es importante identificar ciertas vulnerabilidades informáticas como:  los códigos maliciosos, (virus, los gusanos o troyanos), las intrusiones o piratería: Monitoreo electrónico no autorizado (sniffers, eyloggers), web site falsas o vandalismo, el acceso no autorizado a información confidencial, las herramientas automatizadas de escaneo, entre otras.

Para evitar el ataque, alteraciones o pérdidas en los equipos, es importante el aislamiento del sistema informático junto con todos los medios de almacenamiento encontrados, además, delas notas escritas a mano y los documentos que se encuentran en las proximidades del equipo en cuestión, estos elementos pueden ser de valiosa información para el curso de la investigación forense, los elementos que se debe proteger son los cd- dv - roms, medios de almacenamiento en cinta, discos duros adicionales, disquetes y flash drive que se encuentren en el área del computador, los cuales también deben estar aislados y protegidos.

Además es imprescindible inspeccionar el sistema operativo que, según, cada empresa  se utiliza. Es decir, normas de apagado de las máquinas computaciones y también la forma en como se conectan los computadores a la fuente de energía, sea por circuitos eléctricos compartidos, fuentes de poder reguladas o sistemas eléctricos protegidos. Con algunos sistemas operativos, se hace necesario extremar el suministro continuo de energía para evitar caídas del sistema operativo. En la escena del fraude informático se debe verificar este tipo de conexiones observando como los cables de conexión suministran la corriente al equipo afectado ya que usualmente los delincuentes informáticos desconectan abruptamente la fuente de energía pretendiendo con esta acción que el sistema operativo pierda su secuencia de arranque y se destruyan los archivos de registro de inicio de sesión y de programas que se estén ejecutando en el instante del delito y en raras ocasiones querer un daño en el disco duro.

También, se de debe tener en cuenta la claridad de la evidencia ya que es información de valor probatorio constituida por campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales. Abarca cualquier información en formato digital que pueda establecer una relación entre un delito y su autor. Para garantizar la validez probatoria, se debe reunir las siguientes características: autenticidad, precisión y suficiencia.

Por otra parte, se debe tener un formato de evidencia de la escena. El formato de un archivo es necesario para ser identificado dentro de un máquina computacional, ya que

de acuerdo a su formato se podrá almacenar, manipular y borrar. La identificación de los formatos de archivo varía de acuerdo al sistema operativo.

Por ejemplo, en los sistemas operativos Windows, el formato del archivo se  determina con base en la extensión, mientras que en Linux y otros sistemas operativos basados en Unix, el formato se identifica con el número de identificación, el cual es un número incrustado al inicio o cerca del inicio del archivo.

Junto a los formatos de evidencia de la escena, el investigador profesional,  debe tener en cuenta elementos como los cuidados de las evidencias de la escena, la esterilidad de los medios informáticos de trabajo, la verificación de copias en los medios informáticos, la documentación de los procedimientos, herramientas y resultados sobre los medios informáticos analizados,  el mantenimiento de la cadena de custodia de las evidencias digitales, el informe y presentación de resultados de los análisis de los medios informáticos, la administración del caso realizado.

Por último, es recomendable que el investigador forense mantenga un ejercicio de autoevaluación de sus procedimientos, para contar con la evidencia de una buena práctica de investigaciones forenses, de tal manera que el ciclo de calidad: PHVA  (Planear, Hacer, Verificar y Actuar), sea una constante que permita incrementar la actual confiabilidad de sus procedimientos y cuestionar sus prácticas y técnicas actuales para el mejoramiento de su ejercicio profesional y la práctica de la disciplina.