¿A QUE SE DEDICA?
Se encarga de analizar sistemas informáticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociación extrajudicial.
Es la aplicación de técnicas y herramientas de hardware y software para determinar datos potenciales o relevantes.
También puede servir para informar adecuadamente al cliente acerca de las posibilidades reales de la evidencia existente o supuesta.
Los naturales destinatarios de este servicio son los estudios jurídicos aunque cualquier empresa o persona puede contratarlo.
La necesidad de este servicio se torna evidente desde el momento en que la enorme mayoría de la información generada está almacenada por medios electrónicos.
En la recuperación de información nos enfrentamos con información que no es accesible por medios convencionales, ya sea por problemas de funcionamiento del dispositivo que lo contiene, ya sea porque se borraron o corrompieron las estructuras administrativas de software del sistema de archivos. La información se perdió por un problema de fallo de la tecnología de hard y/o soft o bien por un error humano. El usuario nos indica su versión de los hechos y a menudo encontramos sobre la falla original otras que el usuario o sus prestadores técnicos agregaron en un intento de recuperación. Así es que debemos figurarnos a partir del análisis del medio qué ocurrió desde el momento en que todo funcionaba bien y la información era accesible.
En informática forense hablamos ya no sólo de recuperación de información sino de descubrimiento de información dado que no hubo necesariamente una falla del dispositivo ni un error humano sino una actividad subrepticia para borrar, adulterar u ocultar información. Es por lo tanto esperable que el mismo hecho de esta adulteración pase desapercibido.
La informática forense apela a nuestra máxima aptitud dado que enfrentamos desde casos en que el dispositivo fue borrado, golpeado y dañado físicamente hasta ligeras alteraciones de información que pueden constituir un crimen.
Este servicio es de utilidad a empresas que llevan adelante juicios laborales con sus empleados, o con sus asociados por conflictos de intereses, a estudios jurídicos que necesitan recabar información ya sea para presentarla frente a un tribunal o bien para negociar con las partes un acuerdo extrajudicial de resarcimiento, renuncia, etc. Es de utilidad a los organismos judiciales y policiales que buscan evidencias de todo tipo de crímenes. Es un componente indispensable en litigios civiles.
Algunos hechos:
- se considera que el 75% de los delitos relacionados con sistemas informáticos se producen desde dentro de una organización (hacker dentro del muro de fuego).
- Durante 1999 el 93% de la información se generó en forma electrónica (fuente: IDC)
- La computación forense tiene aplicación en un amplio rango de crímenes incluido pero no limitado a: mal uso de la computadora que conlleve a pérdida de productividad de empleados (uso personal de correo electrónico, uso de internet para actividades personales o entretenimento). Robo de secretos comerciales e industriales, robo o destrucción de propiedad intelectual, destrucción de archivos judiciales, de auditoría, etc.
- La evidencia informática es frágil por definición y puede fácilmente ser alterada o modificada y así perder autenticidad frente a una corte. Se deben por lo tanto establecer rígidas normas de preservación y cadena de custodia de la misma.
PRESERVACION DE LOS ELEMENSTOS DE PRUEBAInspección: Cuando hablamos de inspección, nos referimos a los recaudos que debemos tener, para asegurar el éxito, en otras palabras el modo en que debemos dejar constancia de todos las operaciones, que se efectúan, hasta el hallazgo de lo que nos interesa.
· Medidas precautorias iniciales: Como paso inicial, apenas ingresamos al lugar del hecho debemos retirar a los usuarios de las computadoras para evitar, así que mal intencionadamente nos entorpezcan el procedimiento.
· Planificación paso a paso: Consiste en tomar el control del computador, siempre con la presencia de testigos a los cuales se les debe explicar paso a paso los procedimiento llevados a cabo según el interés de la investigación.
· Uso de herramientas de software: Se refiere a la utilización de software apropiados para la inspección de los computadores.
--Para detectar información borrada: Hay distintos tipos de software que sirven para el recupero de información borrada.
--Para conocer estructuras físicas y lógicas: También se utiliza software que permite visualizar la estructura conformada en los medios de Almacenamiento (Disco rígido, disquete).
Secuestro: Cuando hablamos de secuestro, nos referimos a los elementos de informáticas, que interpretamos adecuado para su retención, así como también el aseguramiento en el resguardo y conservación de la prueba.
· Se rotula: (Se colocarán fajas)
· Se guarda y cierra
· Se asegura, mediante fajas o sobres
· Listados impresos, que se obtengan, igualmente se rotulan y firman por todos los participantes: Las hojas que contengan las impresiones, deben ser identificadas y firmadas por todos los participantes
Testigos: El testimonio de los testigos sirve para avalar todo lo actuado según los hechos que son operaciones técnicas y el contenido de los computadores.
Deben esta en condiciones de explicar:
· Que operaciones se realizó, (Durante la búsqueda de información)
· Que se halló,
· Qué se secuestró,
· Cómo se resguardó.
Según consta en acta: (Estos acontecimientos deben constar en el acta de procedimiento)
Acta de secuestro: Va hacer referencia a los elementos de importancia que van a ser documentados. Hace referencias a las cosas que son significativas documentar, el modo de hacerlo.
· Descripción del equipamiento: ( Donde se dan a conocer las características técnicas del equipamiento) con su correspondiente identificación de fabrica ( Nº serie/ marcas/ modelos/ código de barras).
· Descripción de los sistemas operativos: ( Software que hace operable a la PC/ se describe el tipo de sistema operativo, mono/ multi/ fabricante/ nº de serie)
· Mención de otros programas: Además del sistema operativo puede haber instalado otros tipos de software como ser programas utilitarios/ de gestión/ procesadores de texto etc.), De los cuales se debe detallar tipo de programa, fabricante, Nº de serie.
· Operación realizada sobre el equipo: Se van explicar los procedimiento llevados a cabo para dar cumplimiento a lo ordenado según oficio.
· Modo en que se procede a secuestrar, asegurar y resguardar equipos e información:
Se deben tomar recaudos necesarios para asegurar la protección del contenido y su conservación, para su posterior utilización en el momento que se ordene el peritaje.
Resguardo y conservación del material secuestrado: Cuales son los recaudos que no deben descuidarse para evitar el deterioro de este tipo de elementos.
Habrá que tener en cuenta lo siguiente:
· Son sensibles a los golpes y roces
· Son sensibles al calor
· Son sensibles a la humedad
· Son sensibles a la acción magnética: El deterioro o daño de los disquetes / disco rígido a veces no es visible, pero los registros almacenados pueden dañarse a causa de factores externos.
- Esto imposibilita a la hora de hacer el peritaje, que se pueda leer la información almacenada en ellos, esto implica la desaparición del medio de prueba y por lo tanto la imposibilidad de realizar una labor exitosa.