Autoría de documentos encontrados en un computador
Enviado por raymondorta in informatica forense, criminalistica
Es posible determinar la autoría de documentos encontrados en un computador
Los computadores personales y los hechos jurídicos informáticos
La mayoría de las normativas procesales de Ibero América permiten incorporar hechos jurídicos tecnológicos al proceso como medios probatorios
Raymond J. Orta Martínez*
Los hechos jurídicos informáticos son aquellos que se verifican a través de las nuevas tecnologías de información. El computador personal o PC puede ser considerado casi un producto de consumo masivo como el televisor. Los PC de tipo portátil o Laptop están reemplazando a los equipos de escritorio por su versatilidad y capacidades, que en muchos casos son superiores a estos.
Los medios probatorios convencionales establecidos en la mayoría de las normativas procesales de Ibero América, permiten incorporar al proceso los hechos jurídicos tecnológicos.
En un computador personal se pueden realizar, enviar y recibir diversos tipos de documentos electrónicos, realizar diversas clases de comunicaciones, como la mensajería instantánea o chat, así como el envío y recepción de mensajes de datos típicos como correos electrónicos, imágenes, y hasta es posible realizar telecomunicaciones de voz y video que pueden ser de interés probatorio.
Medios probatorios típicos sobre tecnologías e información
La experticia informática es el primero de los medios probatorios que consideramos conducentes para probar hechos relacionados con computadores de todo tipo. Las pericias informáticas pueden recaer sobre diversos aspectos del contenido de un computador, y prácticamente sobre cualquier tipo de programa, software, correos electrónicos y otros documentos que pueden incluirse en bases de datos.
En estos casos se debe solicitar a los expertos que se pronuncien sobre aspectos que pueden estar relacionados con el origen o procedencia de los documentos electrónicos, su calidad o características individualizantes, solicitando que se hagan comparaciones sobre su naturaleza o constitución, en algunos casos, como en los de violación de derechos de autor, por ejemplo.
Autenticidad de mensajes de datos y correos electrónicos
Uno de los medios de intercambio de información más comunes de un computador personal es el correo electrónico, para el cual se pueden utilizar programas que sirven para redactar y leer mensajes de datos, o bien se puede hacer a través de páginas web destinadas a estos fines.
El envío de un mensaje de datos vía correo electrónico implica la captación oculta de la dirección IP del usuario emisor, que no es mas que una identificación electrónica única a nivel mundial, asignada en ese momento a la conexión de quien envía el mensaje de datos. Es por ello que es muy difícil encontrar una falsificación exitosa de este tipo de documentos electrónicos, porque deben verificarse los datos de conexión entre uno y otro.
En el caso de los computadores personales portátiles, estos pueden conectarse individualmente vía telefónica con un modem, o bien a través de una conexión ADSL o banda ancha, que físicamente se ubican por la dirección del número de teléfono que se utiliza para conectarse. En otros casos la conexión se hace a través de una red local alambica o inalámbrica, de forma inalámbrica individual a través de sistemas de empresas de telefonía celular y también a través de conexiones a Internet de tipo satelitales.
Cuando se pretenden practicar pruebas sobre uno o varios mensajes de datos en un computador, la verificación de las direcciones IP debe hacerse por separado en cada correo, e igualmente hacer el rastreo del origen de los mensajes recibidos conforme a estos datos.
Inicialmente se puede individualizar el país de origen y la empresa de conexión a la cual se deberán solicitar las referencias particulares de la dirección IP conseguida en el mensaje de datos para la fecha y hora de conexión, debiéndose tomar en consideración los husos horarios de cada país.
Experticias sobre archivos, imágenes y documentos creados en un computador
La mayoría de los programas o aplicaciones informáticas permiten guardar los archivos que producen. Es importante mencionar que la mayoría de los programas guardan en estos archivos información adicional del computador y por ende, del usuario (meta datos).
La información que se introduce en un computador al momento de la instalación del sistema operativo y programas adicionales, quedan registradas por archivos que se crean en el computador, lo cual sirve a los fines de identificación de origen de los documentos electrónicos.
A su vez, el sistema operativo tiene varios componentes que registran y preservan toda la actividad en el computador, por lo que uno de los elementos de la investigación y pruebas informáticas debe ser la identificación de los datos registrados por los usuarios o por los técnicos en la instalación o personalización.
Los meta datos generados por los programas y aplicaciones dentro los archivos, contienen información sobre la fecha y hora de creación, modificación y edición, así como de los usuarios que han intervenido en el proceso, lo cual se utiliza para saber si archivos originales fueron alterados posteriormente.
Análisis de archivos digitales de hechos jurídicos no informáticos
Otro de los aspectos importantes relacionados con el análisis de archivos digitales a efectos jurídicos se relaciona con los problemas probatorios de autenticidad de todo tipo de archivos generados por aparatos digitales como cámaras fotográficas, de video, audio y otros de naturaleza digital.
Supongamos que en un procedimiento policial se han grabado una serie de conversaciones telefónicas, de videos, o se han tomado fotografías con aparatos que utilicen medios de almacenamiento digital. Desde el punto de vista jurídico conocemos que la legitimidad de cualquier medio probatorio de este tipo, se sustenta en la legalidad, procedencia y conducencia, para lo que deben verificarse los supuestos de ley.
Una de las primeras defensas que se presenta comúnmente contra la evidencia digital de cualquier naturaleza, está relacionada con la fidelidad y veracidad de los archivos capturados por los funcionarios policiales y por las partes, sosteniéndose en muchos casos que la evidencia ha sido forjada, manipulada o alterada.
Todos estos archivos guardan además los metadatos típicos, como por ejemplo la hora de producción. Muchas cámaras fotográficas y de vídeo digital pueden configurarse además para que incorporen en los elementos perceptibles, como las imágenes, datos como fecha, hora y otras leyendas que pueden ser consideradas como indicios.
Adicionalmente existen programas y aditamentos técnicos destinados a proteger los archivos digitales capturados por equipos electrónicos, para que no puedan ser objeto de manipulación posterior a la fase de captura, pero la verificación de la meta data en muchos casos puede ser suficiente para establecer un forjamiento, alteración o modificación de archivos digitales.
Captura de evidencia digital y cadena de custodia de un computador
Para la informática forense como disciplina criminalística son importantes muchos aspectos al momento de estudiar las evidencias. Lo primero es que se haya resguardado bien la evidencia física. Deben realizarse sobre los medios de almacenamiento objeto de experticia operaciones de copiado exacto bit a bit para duplicar el contenido y debe peritarse sobre las copias.
El resguardo de la evidencia y la cadena de custodia debe comenzar desde la identificación plena, desde el inicio del procedimiento, con la identificación del computador y sus componentes de almacenamiento, para que se pueda demostrar que se trata, por ejemplo, del mismo disco duro que estaba presente en el computador hallado supuestamente en el sitio del suceso y que es el origen de la copia utilizada para peritar.
Para hacer este tipo de análisis no se pueden encender los computadores ni se debe iniciar el sistema operativo, sino que deben tomarse los discos duros, duplicarse y trabajar sobre los duplicados en otro computador».
Los peritos en informática forense deben utilizar programas que solo funcionan bajo la modalidad de lectura para que no alteren la evidencia. Lo más importante en este tipo de casos, es que el manejo de esos datos se haya realizado de manera «científica», para poder establecer su autenticidad siguiendo protocolos aceptados internacionalmente.
Así como se han establecido mecanismos de seguridad para el reconocimiento de vehículos, existe un sistema análogo en los computadores y sus componentes. Aparte de los seriales externos presentes en las cajas de los computadores de marca, muchos de los componentes internos tienen seriales individuales, que pueden ser de marcas distintas a la que aparece en la parte exterior del computador.
Los discos duros, memorias volátiles o RAM, tarjetas de sonido, de red, unidades de disco flexible, CD ROM o DVD tienen seriales también. Aun cuando dos computadores sean de la misma marca y modelo, pueden ser diferenciados físicamente desde el punto de vista probatorio.
La identificación del disco duro es esencial para la validez de cualquier medio probatorio relacionado con experticias o inspecciones directas de equipos, toda vez que la identificación de la evidencia desde el punto físico es esencial para la cadena de custodia, e igualmente para cumplir con los requisitos de identificación de los objetos sobre los cuales se realiza una pericia.
Desde el punto de vista del software existen maneras de individualizar los programas instalados en una máquina, los cuales distinguirán a un equipo de una manera tan importante como los seriales de hardware.
Cada vez que se instala el sistema operativo y los programas adicionales se inscribe en diversas partes una especie de serial electrónico o identificación, que muchas veces se incorpora automáticamente en la instalación, o bien se agregan cuando se requiere que usuario coloque claves o «llaves» de instalación.
Identificación de medios magnéticos
Las investigaciones penales y las pruebas civiles están y estarán relacionadas con los medios de almacenamiento en donde se guarda la información. Discos duros, discos flexibles, memorias intercambiables de equipos de audio, fotografías y video, así como todo tipo de unidades de almacenamiento externo tienen grabados o impresos seriales identificativos. Hasta los discos compactos y DVD llevan impresos seriales en la parte interna que pueden no solamente servir para resguardar la cadena de custodia y los derechos de los investigados, sino que contactando al fabricante o distribuidor pueden establecerse datos probatorios interesantes como la fecha de producción, distribución y otros de interés para la informática forense.
Integridad de los datos digitales
Respecto a lo que significa el estudio para determinar si hubo manipulación de los documentos digitales, deben analizarse las características de lo que fue la operación del computador durante el tiempo que estuviera activado, y deben revisarse los meta datos del sistema operativo y de los archivos para establecer las posibles fecha de creación y modificación. Las incongruencias determinan si hubo o no alguna alteraciones o si existen agregados al sistema de archivos y almacenamiento.
Es difícil, pero no imposible, el determinar la autoría de los documentos que pudieran encontrarse en un computador. Es posible que en un solo computador trabajen diez personas, o que lo haya utilizado alguien que no estuvo autorizado para utilizarlo. La autoría de un documento digital debe ser complementada con otros elementos. Pueden intervenir otras disciplinas criminalísticas para activar e identificar las huellas digitales que estaban en el teclado de esos computadores, a fin de comprobar el uso del equipo por una persona determinada.
En definitiva la informática forense es una especialidad criminalística que tiene que ver con la investigación criminal y los delitos informáticos. La misma requiere no sólo de conocimientos jurídicos generales y de la especialidad de delitos informáticos, sino además de conocimientos sobre informática o computación, de investigación criminal y policial.
Esta disciplina se encarga de la captura, estudio y análisis de la evidencia digital para ser utilizada en procesos judiciales. Se utiliza para probar todo tipo de hechos que tengan que ver con el mundo jurídico donde estén involucradas nuevas tecnologías o computadores.
* Perito en Informática Forense
Especialista en Derecho Procesal
y en Tecnologías Gerenciales
casos @ informaticaforense.com