¿Qué recomienda como mejor práctica para preservar datos electrónicos en una computadora?
Una de las cosas más importantes que deben hacer las empresas es asegurarse de no estropear la evidencia al ver qué estaba haciendo el empleado. En muchos casos, justo después de que alguien se va, el gerente o alguien de TI revisará la computadora para ver qué archivos se accedió recientemente. El problema con eso es que el empleado puede haber descargado archivos en CD para llevárselos. Si alguien navega a través de una computadora para ver qué fue robado, está alterando los metadatos del archivo, como la fecha en la que se accedió por última vez.
Puede provocar que se modifique la fecha de último acceso de un archivo que se grabó en un CD junto con otra colección de archivos. El perito informático a menudo busca agrupaciones de archivos con fechas y horas similares. Por ejemplo, si alguien graba varios archivos en un CD, la última vez que se accedió puede ser con un segundo de diferencia en los archivos que se grabaron recientemente en un CD. Con frecuencia, podemos averiguar qué se grabó en un CD mirando las fechas de acceso porque cuando la computadora lee el archivo para escribirlo en el CD, altera las fechas de acceso. El administrador que accede a la computadora para mirar a su alrededor acaba de modificar las fechas de acceso, por lo que a los expertos forenses les resulta más difícil reunir la información probatoria.
El paso más importante es, en primer lugar, asegurarse de que la evidencia no se altere y, en la mayoría de las situaciones (por ejemplo, sistemas operativos Windows), basta con desconectar la conexión de la computadora. Si se desconecta, se evita el expolio de pruebas y se conservan las últimas fechas de acceso relevantes. Las excepciones son Linux, servidores y otras estructuras de archivos más complejas que no se recuperan bien de una pérdida de energía.
Si alguien necesita reutilizar la computadora, debe quitar el disco duro en cuestión y comprar un nuevo disco duro para la computadora. De esa forma, la evidencia se conserva razonablemente. Pueden mantener el disco duro de la evidencia en un sobre sellado con una firma y cinta transparente, y de esa manera se puede detectar cualquier alteración de la evidencia mediante la manipulación del paquete.
¿Cuál es el método más eficaz para autenticar pruebas?
El primer paso para autenticar la evidencia es que debe preservar la evidencia original retirándola del uso normal y sellándola de una posible alteración. Una vez que conserva la evidencia, debe copiarse de manera forense de una manera que no altere el original. Luego, los expertos utilizan la copia para realizar su análisis. Antes de realizar el análisis, es necesario autenticar la evidencia. Para autenticar la evidencia, en esencia, es certificar que la copia es exactamente la misma que el original.
En nuestra profesión, se utiliza un valor hash para autenticar pruebas. Se genera un valor hash cuando aplica un algoritmo hash contra una colección de 0 y 1 que existen como datos en un disco duro o cualquier otro tipo de medio de almacenamiento. Ese valor es tal que alterar un solo carácter en un documento de Word, por ejemplo, cambiar una S mayúscula a una s minúscula, haría que se altere la colección de 0 y 1 en el medio de almacenamiento.
Esto haría que el valor hash generado sea algo totalmente diferente. Por lo tanto, cuando copiamos datos, estamos copiando todos los 0 y 1 en el nivel más micro del medio de almacenamiento. Estamos aplicando el algoritmo hash y, como resultado final, obtenemos un valor hash único, que se parece mucho a una huella digital. Después de copiar, aplicamos ese mismo algoritmo a la copia, para el mismo número de sectores. Si los valores hash coinciden, sabemos que tenemos una copia perfecta. Una vez que hayamos copiado la evidencia y la hemos autenticado, estamos listos para trabajar con los datos.
Si el juez permite el descubrimiento electrónico sin limitaciones, ¿es recomendable solicitar una copia impresa de todos los archivos en la computadora?
Antes de realizar una producción impresa, tiene mucho sentido aplicar tecnología para eliminar gran parte de la información innecesaria. Exclusivo de la informática forense es la capacidad de saber primero qué hay en el disco duro: archivos que existen en el disco duro, eliminados o no, cuándo se accedió a ellos y cuándo se crearon, qué tan grandes son, etc. Ese es un excelente punto de partida porque le permite evaluar, si tuviera que imprimir los archivos, cuántas páginas resultarían y cuál es el universo de datos.
Una vez que sabemos qué hay en el disco duro, podemos realizar un análisis hash mediante el cual analizamos el valor hash de cada archivo individual y comparamos la huella digital del archivo individual con la base de datos del Instituto Nacional de Ciencia y Tecnología, que publica una base de datos con los valores hash o huellas digitales de todos los archivos conocidos que existen. La base de datos hash del Instituto Nacional de Ciencia y Tecnología contiene archivos que aparecen en los CD del sistema operativo y las aplicaciones de software. Después de analizar y comparar todos los archivos en el disco duro en cuestión con esta base de datos, podemos eliminar gigabytes de información que de ninguna manera son pertinentes a los datos creados por ese usuario. Podemos eliminar esos archivos de la lista, lo que elimina los archivos de texto de ayuda inútiles y otros archivos que vienen con su computadora. Eso le ahorra al cliente mucho tiempo y dinero.
Además, si nuestro cliente nos proporciona el universo de datos de propiedad intelectual (por ejemplo, dibujos CAD, listas de precios y directorios de clientes) en un CD, podemos generar los valores hash para cada uno de los archivos individuales. Estos valores se utilizan para compararlos con los de todos los archivos que existen en el disco duro en cuestión del que hemos creado la imagen. Si hay una coincidencia, es evidente que la propiedad intelectual de nuestro cliente existe en la computadora en cuestión. En ese punto, podemos comenzar a explorar cómo llegó allí, cuándo llegó allí, en qué otros lugares se almacenó el archivo y otra información crítica.
