Hace poco una persona me preguntaba: ¿Cómo puedo mantener mi privacidad mientras navego en Internet? La respuesta era simple: Si quiere que nadie se entere qué páginas visitó, cuándo y dónde, entonces ¡No navegue! Tarde o temprano todo puede revelarse, es una de las metas del cómputo forense

* Arturo García Hernández

Sobra decir que la tecnología es un medio que nos facilita muchas de las actividades cotidianas. Díganmelo a mí pues internet se ha convertido en mi mejor aliado para ver noticias en línea, conectarme remótamente al trabajo, estar en contacto con amigos distantes, pagar mis tarjetas de crédito o incluso consultar direcciones mediante “google maps” o publicar comentarios y noticias a través de “twitter”. Pero se ha preguntado ¿si todos estos movimientos quedan almacenados en algún lugar? y ¿si alguien puede obtener esos rastros electrónicos y reconstruir lo que hizo, consultó, instaló, borró o navegó? La respuesta rápida es “sí”.
El objetivo de este artículo es hablarles del cómputo forense como una de las herramientas más poderosas para reconstruir hechos mediante la recolección de evidencias que quedan almacenadas en cualquier dispositivo electrónico como computadoras, teléfonos, discos, etc. A lo largo del artículo les platicaré algunas de las metodologías, herramientas, técnicas y retos que enfrentan los llamados “Sherlock Holmes del siglo XXI”.

¿Víctima, victimaria o medio?
Posiblemente hablar de reconstruir actividades que hacemos en nuestra “ciber-vida” no resulta ni atractivo ni mucho menos agradable, sobretodo si somos defensores de la privacidad. Sin embargo, existe otro ámbito en el cual el cómputo forense ha sido de gran ayuda: el rastreo de ilícitos. Hoy en día es muy común que leamos noticias sobre ataques a páginas web de internet, ataques de virus informáticos, hackers que penetran a una organización y se roban tal o cual información o incluso ilícitos como secuestros que utilizan computadoras o teléfonos celulares para cometer sus fechorías.

De esta manera, la computadora se ha vuelto:
• Víctima: Si es el blanco de agresión. Por ejemplo, el sitio web de alguna organización que queda fuera de línea por varias horas.
• Victimaria: Si dicha agresión electrónica es cometida por otra computadora.
• Medio: Si el ilícito es físico pero apoyado por algún dispositivo electrónico. Por ejemplo, una amenaza realizada desde un teléfono celular.

Al igual que cuando se revisa un delito físico, en todos y cada uno de estos actos quedan rastros que nos ayudan a encontrar algunas respuestas relativas a ilícitos como:
• ¿quién lo hizo? Identificación del probable implicado.
• ¿qué hizo? Proceso de ataque.
• ¿cómo lo hizo? Identificación de apoyos o herramientas.
• ¿cuándo lo hizo? Determinación de fechas, horas y duración.
• ¿desde dónde y por dónde lo hizo? Ubicación del ataque.

Definición
Muchos de los estudiosos del tema definen al cómputo forense como “El proceso de aplicación de técnicas científicas y analíticas a infraestructura de cómputo para identificar, preservar, analizar y presentar evidencia relevante a una situación en investigación”.
Así pues, nos podemos dar cuenta que la evidencia juega un papel medular en el cómputo forense. Si bien encontrarla no es siempre fácil, deshacerse completamente de ella tampoco. Como bien dicen en el ámbito físico “No hay crimen perfecto”. Siempre existe alguna bitácora o algún elemento que pueda obtenerse. Algunos compañeros incluso hacen la analogía con la labor de los arqueólogos cuando encuentran fósiles: “Puede faltar algún hueso, pero el fósil aún tiene mucho que revelar”.
Por ejemplo, imagine que se está analizando la computadora de un delincuente. Posiblemente haya eliminado sus archivos y muchos de ellos no se pueden recuperar completamente. Aún así ¿podrá esa computadora decirnos algo? Claro, seguramente tendremos evidencia de cuándo y por cuánto tiempo utilizó la máquina, qué clave tuvo acceso a ella, qué dispositivos utilizó (pe. si insertaron un disco usb), si hubo acceso a web, en dado caso qué páginas visitó, qué tipos de archivos tenía, cuál fue el historial de archivos consultados, qué programas instaló o desinstaló, entre otras muchas cosas más.

Metodología
La metodología básica que se sigue en el cómputo forense consta de cuatro grandes pasos:

a) Identificación de evidencia
Inicialmente se debe revisar minuciosamente toda la “escena del crimen” con el fin de determinar qué tipo de evidencia se podría obtener. Por ejemplo, si están involucradas computadoras, discos removibles, teléfonos móviles, proveedores de servicios, etc.

b) Adquisición y preservación
Este paso tiene por objetivo recolectar la evidencia sin modificarla. Esto último es de suma importancia pues la evidencia debe ser: auténtica, correcta, completa, admisible e irrefutable. Cualquier modificación no deliberada de la evidencia al momento de obtenerla seguramente impactará negativamente la investigación. Por otro lado, una gran ventaja que se tiene en comparación con los delitos físicos es que existen herramientas especializadas para copiar “bit por bit” al cuerpo del delito, lo cual no puede ser posible en su contraparte física (¡al menos hasta que la clonación total e instantánea de un cuerpo no sea una realidad!).

c) Análisis de los hallazgos
El objetivo de esta fase es correlacionar las evidencias obtenidas para completar cuadros de investigación. En otras palabras, esta es la parte cuando juntamos e interconectamos todo lo encontrado.

d) Presentación de hechos
Finalmente se tienen que reportar los hechos. Sí, los hechos, mas no las interpretaciones de lo que posiblemente podrían decir las evidencias encontradas. El especialista en cómputo forense debe ser objetivo e imparcial, quienes juzgan serán otros.

El ambiente legal
Si bien el cómputo forense “per se” no es reconocido como figura concreta en la legislación mexicana, sirve de apoyo para analizar todo tipo de delitos ya tipificados en la ley como por ejemplo:
• Delitos de homicidio, fraude, amenazas, etc. descritos a lo largo del Código Penal Federal.
• Delitos informáticos tipificados en el Código Penal Federal, Artículo 211.
• Delitos de plagio, piratería, etc. descritos en la Ley Federal del Derecho de Autor).
• Delitos cometidos en contra de la protección de datos personales definidos en legislaciones estatales.

Cabe señalar que para el seguimiento de las denuncias correspondientes, agencias como la PGR (Procuraduría General de la República), la PGJ (Procuraduría General de Justicia) y la SSP (Secretaría de Seguridad Pública) cuentan con personal especializado para atender delitos en los cuales se utilizan medios electrónicos. Por ejemplo, la “Policía Cibernética” de la SSP ha sido partícipe exitosamente en la investigación de casos de pedofilia que utilizan a internet como medio de difusión.
Recuerde que la profesionalización en esta materia es indispensable: un mal servicio forense es peor que no tenerlo. En México son cada vez más las personas y organizaciones que se capacitan para brindar este servicio. Si desea saber más al respecto, regáleme un correo electrónico para comentarle sobre opciones viables para sus necesidades.

Herramientas comunes
Actualmente existen muchas herramientas que pueden apoyarnos para realizar labores de cómputo forense. Si bien muchas requieren de manos expertas para su uso y tienen un costo elevado, algunas herramientas están al alcance de cualquier usuario pues son libres de uso en internet. Por ejemplo, usted podrá encontrar herramientas para:

• Recuperar archivos eliminados
Puede recuperar archivos borrados (mucho más allá de los que se encuentren en la Papelera de Reciclaje). Cuando un archivo se elimina, aún permanece en el disco. En el mejor de los casos, posiblemente el contenido completo esté presente ya que solo se borró la dirección de inicio. En un caso no tan favorable, solo existirán algunas de sus partes pues las demás ya fueron sobreescritas. Las herramientas buscan este tipo de rastros para recuperar el archivo. Claro, entre más archivos haya escrito, más difícil será recuperar los anteriores. Como ejercicio, tome un PenDrive (disco USB) cuyo contenido haya sido borrado. Es muy probable que pueda recuperar los archivos eliminados de ese dispositivo, haga la prueba con la herramienta PC Inspector File Recovery.

• Recuperar historial de navegación
Todos los navegadores guardan un historial de las páginas visitadas a través de los archivos temporales (caché), los archivos de historial y las famosas “cookies”. Las herramientas revisan esos archivos y muestran qué páginas se visitaron, si la dirección se escribió directamente o fue redirigido por otra, entre otras funcionalidades. Lo invito a utilizar la herramienta Total Recall.

• Uso de la PC
Generalmente las computadoras guardan registros de su actividad. Por ejemplo, en el ambiente Windows, algunos datos se pueden consultar en el “Registry” y otros en el visor de eventos (Event Viewer). Hay miles de herramientas para buscar rastros a través de las bitácoras de uso. Por ejemplo, utilice la herramienta USBDeview para ver qué tipo y cuándo se insertaron USBs en su máquina.

Conclusiones
Como se podrá dar cuenta, el cómputo forense puede revelar “bit a bit” la historia de lo que una persona hace en el mundo electrónico. Si bien es cierto que todo puede estar presente, resulta de suma importancia que dicha evidencia se encuentre disponible y que sea extraída con calidad. No es que un servidor sea paranoico, pero no olvide que un mundo lo vigila… potencialmente.
Espero que este artículo le haya sido de interés y me pongo a sus órdenes para cualquier comentario al respecto. Mientras tanto, me despido hasta el próximo número.