Informática Forense. La nueva profesión para cazar criminales

zi2

Informática Forense. La nueva profesión para cazar criminales
No están asociados ni hay un censo, pero los forenses informáticos van formándose en el camino. Están más adelante que la ley, que no contempla todos los delitos informáticos, y se anticipan a jueces e investigadores que, con frecuencia, se apegan a procedimientos tradicionales para investigar delitos en los que interviene la tecnología. Trabajan en el sector privado

Texto: Javier Méndez Vedia Fotos: Ricardo Montero

Si comienza a desaparecer dinero de las cuentas de los clientes, los bancos recurren a los forenses informáticos; si se reciben mensajes de texto amenazadores, estos profesionales pueden ayudar a rastrear la fuente. Todo ese trabajo se realiza, como explica el fiscal Álvaro Latorre, a partir de un requerimiento, porque la Policía no tiene suficientes expertos para ocuparse de estos delitos. Por eso debe recurrir a peritos del sector privado como Israel y Hugo Rosales, que son padre e hijo. Israel domina la parte informática y cursó en Estados Unidos estudios para convertirse en ‘ethical hacking’, o conocedor de los procedimientos que usan los hacker para realizar ataques.

Hugo, que es auditor y masterado en dirección estratégica de Tecnología de la Información, formó inicialmente una empresa con su hermano, otro experto en informática. Hugo aportaba los conocimientos legales o forenses y su hermano los informáticos. Luego se independizaron y uno trabaja en La Paz, mientras que el otro lo hace en Santa Cruz, con el nombre de Cosim-TI.

La Policía tiene una división de delitos económico-financieros, que son los que más frecuentemente utilizan el servicio de peritos, pero, como dice el fiscal Latorre, aún no ha desarrollado un laboratorio informático. Hubo contactos con empresas, como Microsoft, que donó algunos equipos y software, y otras firmas proveyeron de computadoras, pero aún se va a paso lento. La ley boliviana, por ejemplo, sólo contempla dos tipos de delitos informáticos: la manipulación de datos y el acceso no autorizado.
Esa lentitud se nota también en algunos jueces, que, como ha visto el auditor Hugo Rosales, son prácticamente ‘analfabetos’ en cuestiones tecnológicas y desconocen el apoyo que pueden brindar las herramientas forenses.
Los forenses despliegan toda su pericia cuando en el sitio donde ocurrió un crimen hay una computadora. El equipo que deben revisar es tratado como otra escena del delito. Cualquier investigador que comience a revisar el equipo comete un error de principiantes si antes no ha seguido varios pasos para proteger la información que hay en las computadoras. Lo primero que debe hacer es acordonar el equipo para no contaminar la evidencia. “Tal como se lo haría con un cadáver. Nadie puede tocarlo ni mover una pistola, porque dejaría huellas”, explica el informático Israel Rosales.
Basta mover una cámara, un dispositivo de almacenamiento o, peor aún, apagar o encender el equipo para que las pruebas se contaminen. Al encender una computadora se inicia un proceso que puede producir variaciones en los registros; lo mismo sucede al apagarlo. Por eso, después de acordonar la zona, se observa qué tipo de conexiones tiene la máquina. Se la protege de cualquier señal inalámbrica y se procede a filmar y fotografiar todo el entorno, e incluso se mide la distancia de los diferentes dispositivos, puesto que, en algún momento, esa información será útil en un juzgado.
Después de estos pasos iniciales es posible proceder al rastreo, que equivale, en el léxico usual, a “mirar papeles y abrir cajones para buscar evidencia”, explica Rosales.
Procedimiento clave para una revisión es la realización de una copia imagen. Ese proceso de copiado se realiza con una herramienta informática forense. No sirve realizar el clásico copiado y pegado de documentos, porque así no se registran los archivos borrados. Se trata de una copia ‘bit a bit’, es decir, un duplicado exacto del disco duro que se investigará. Y no sólo se analizan los discos duros. Todo dispositivo de almacenamiento de información es objeto de investigación, como los ‘pen drives’ o memorias portátiles, tarjetas flash, ‘tapes’, ‘zip disks’, ópticos y discos (CD y DVD).
Hace unas semanas, un fotógrafo desesperado llevó a la empresa Cosim-TI su tarjeta de memoria, de la que había borrado accidentalmente las fotografías de una boda. Lo grave es que había comenzado a tomar fotos de otro matrimonio en la misma tarjeta. Los procedimientos forenses le permitieron recuperar esas fotografías.
En un juicio oral, los informáticos deben ser capaces de explicar, con palabras sencillas, complejos procedimientos y áreas de estudio que están llenos de tecnicismos, como los que se usan para describir amenazas: ‘hacking’, ‘wire-tapps’, ‘rogue acces points’, ‘keyloggers’ o programas para obtención de claves. Además, deben ser cuidadosos al recibir las pruebas. Eso los ha obligado a crear un código o marca para cada dispositivo que estudie.
“En un juicio, cuando se le pregunta al investigador si ha revisado un disco, debe ser capaz de reconocerlo”, asegura. Y también debe sustentar la validez de las pruebas que obtuvo. Por eso se utilizan trajes especiales y barbijos para no dañar la información. Así se completan pasos, como el reconocimiento de los datos, que equivale a la tanatología que se practica en los cadáveres, aclara Israel Rosales. Luego de ver qué tipo de ‘ataques’ informáticos hubo, se establecen las hipótesis, que deben responder algunas preguntas: cómo sucedió el ataque, cuándo y si se usaron cables de red o el acceso fue directo. Parte del procedimiento es el transporte y embalaje, para el que se utilizan bolsas especiales. Una de ellas bloquea totalmente las señales que entran a los celulares y proveen también protección antiestática, gracias a que tienen tres metales. Finalmente, se establece una cadena de custodia, en la que cada investigador coloca su marca en cada material revisado para validar los resultados.

No hay muchos lugares de formación en Bolivia. La Univalle de Cochabamba tiene un Instituto de Ciencia Forense e Investigación Criminal desde finales de 2005. Arturo Mercado es su director. Periódicamente se realizan cursos como balística, medicina forense y criminalística. Con los cursos enmarcados en la informática forense han logrado llamar la atención de los profesionales jóvenes. Por ahora, se limitan a mostrar la relevancia de estos procedimientos en un juicio y cita como ejemplo el caso de las imágenes de prostitución infantil, que desde nuestro país emitía una banda boliviano-peruana. Quien tuvo que apoyar en la investigación fue la policía de Alemania. Mercado es moderadamente optimista al respecto: “Estimo que en Bolivia por lo menos tenemos que esperar diez años antes de hacer una carrera con esta disciplina”.

Fuente: http://www.eldeber.com.bo/extra/2009-11-08/nota.php?id=091108175314