Cuando se identifica que un ordenador puede contener pruebas electrónicas, es imperativo seguir una serie de procedimientos estrictos para garantizar una extracción adecuada (es decir, admisible) de cualquier prueba que pueda existir en el ordenador en cuestión. Lo primero que hay que recordar es la «regla de oro de las pruebas electrónicas»: nunca, de ninguna manera, modificar el soporte original si es posible. Por lo tanto, antes de realizar cualquier análisis de datos, suele tener sentido crear una copia exacta, en flujo de bits, del medio de almacenamiento original que existe en el ordenador en cuestión. Una imagen forense, a veces se denomina imagen espejo o imagen fantasma. La imagen espejo o fantasma no siempre genera una verdadera imagen forense. Lo mismo ocurre con la clonación de un disco duro. Una imagen forense puede incluir uno o varios discos duros, disquetes, CD, unidades Zip o DVD, además de muchos otros tipos de medios de almacenamiento que existen en la actualidad. La creación de imágenes de los medios en cuestión mediante la realización de una copia bit a bit de todos los sectores del medio es un proceso bien establecido que se realiza habitualmente en el nivel del disco duro, por lo que a menudo se denomina imagen de disco duro, imagen de flujo de bits o imagen forense.
La creación de una verdadera imagen forense del disco duro es un proceso muy detallado. Si no lo realiza un profesional capacitado, puede comprometer seriamente sus posibilidades de obtener pruebas admisibles como resultado de sus esfuerzos de descubrimiento. Además, para evitar acusaciones de manipulación o expoliación de pruebas, es una práctica recomendada que la imagen sea realizada por un tercero objetivo. Los protocolos sugeridos para la obtención de imágenes de discos duros pueden encontrarse en las directrices estandarizadas por instituciones y organizaciones como el Departamento de Justicia (DOJ) y el Instituto Nacional de Estándares y Tecnología (NIST).
Cuando contacte un perito de informática forense, sepa que puede elegir entre un gran número de programas y equipos para obtener una imagen forense. Lo importante es que califique la experiencia del experto y que se asegure de un proceso rígido haciendo las preguntas adecuadas. Un buen comienzo es asegurarse siempre de que se mantiene la integridad de todas las pruebas, se establece la cadena de custodia y se documentan todos los valores hash relevantes.
Una vez completada la obtención de imágenes, cualquier buena herramienta debería generar una huella digital de los medios adquiridos, también conocida como hash. Un proceso de generación de hash implica examinar todos los 0 y 1 que existen en los sectores examinados. La alteración de un solo 0 a un 1 hará que el valor hash resultante sea diferente. Tanto el original como la copia de las pruebas se analizan para generar un hash de origen y otro de destino. Si ambos coinciden, podemos estar seguros de la autenticidad del disco duro u otro soporte copiado.
El estándar de la industria para la obtención de imágenes recomienda actualmente el uso del algoritmo MD5. El creador del MD5, Ronald L. Rivest del MIT, describe el algoritmo de la siguiente manera:
[El algoritmo MD5] toma como entrada un mensaje de longitud arbitraria y produce como salida una «huella digital» o «compendio de mensajes» de 128 bits de la entrada… El algoritmo MD5 está pensado para aplicaciones de firma digital, en las que un archivo de gran tamaño debe ser «comprimido» de forma segura antes de ser cifrado con una clave privada (secreta) bajo un criptosistema de clave pública como RSA.
Dejando de lado la jerga matemática, la afirmación anterior simplemente dice que el MD5 es un excelente método para verificar la integridad de los datos. Un valor MD5 obtenido de la imagen del disco duro debe coincidir con el valor del disco duro original. Incluso la más pequeña modificación en un disco duro, por ejemplo, añadir una coma a un documento de MS Word, cambiaría enormemente el valor hash MD5 resultante.
Aunque pueda parecer plausible utilizar personal informático interno para obtener una imagen de un disco duro sospechoso, tenga en cuenta las posibles consecuencias. La contratación de expertos informáticos forenses de terceros garantizará el manejo seguro de las pruebas. Un experto cualificado seguirá las normas del sector para evitar el expolio y ayudará a refutar la acusación de sabotaje por parte de un miembro del personal interno que pueda conocer a la persona o personas clave relacionadas con el caso. Un perito externo también establecerá una cadena de custodia que garantice otra capa de protección a las pruebas.
