La informática forense es una rama de la ciencia forense que estudia las evidencias encontradas en computadoras y medios de almacenamiento digitales. El objetivo de la informática forense es examinar de una manera forense los medios digitales con el objetivo de identificar, preservar, recuperar, analizar y presentar hechos y opiniones sobre la información digital. Aunque a menudo se asocia la informática forense con la investigación de una amplia variedad de tipos de delincuencia informática, también puede utilizarse en procedimientos civiles.

Qué es la informática forense

La informática forense, cómputo forense o análisis forense digital, como comúnmente también se le conoce, es el uso de técnicas científicas enfocadas al campo de la tecnología informática, que permiten la obtención, preservación y análisis de datos que pueden ser útiles dentro de un proceso legal. Básicamente, la informática forense se ocupa de la preservación, identificación, extracción, documentación e interpretación de los datos informáticos.

Dentro de esas técnicas se incluye la reconstrucción de dispositivos informáticos, la recuperación de datos y la autenticación de la información obtenida, además de poder explicar el proceso llevado a cabo con los datos y los equipos informáticos.

El personal especializado en esta disciplina debe tener un amplio conocimiento del mundo de la informática y la tecnología, donde se incluyen técnicas de hacking, cracking y recuperación de información. Su misión es mantener la integridad de los equipos y de los datos sin causar modificaciones que puedan afectar la validez de la información y la hagan inservible dentro del proceso legal.

Dentro de la informática forense puede ser analizado todo tipo de dispositivos que formen parte de una red informática o que posean memoria, entre ellos se incluyen además de ordenadores, las impresoras, redes, direcciones IP, logs de seguridad, dispositivos de almacenamiento, etc.

Cabe aclarar que la misión de la informática forense no es la prevenir delitos o ataques informáticos, sino la de investigar y encontrar información valiosa que pueda ser usada dentro de la investigación de un proceso legal. Las labores de prevención son más propias de la seguridad informática.

En cuanto a sus aplicaciones, la informática forense se aplica en diferentes aspectos que pueden involucrar delitos relacionados con equipos informáticos, tales como ayudar a encontrar pistas sobre ataques informáticos y a encontrar a los delincuentes involucrados, detectar delitos de robo de información, encontrar delincuentes por medio de chats y correos electrónicos o recuperar datos de equipos dañados o información que ha sido borrada de forma intencional.

Desde que se generalizó el uso de los ordenadores personales, se incrementó su utilización en actividades delictivas, por ejemplo, para cometer fraudes. Al mismo tiempo, surgieron varios nuevos delitos informáticos, como el hacking. La informática forense surgió como un método para recuperar e investigar las evidencias digitales para su uso en los tribunales. La delincuencia informática y la delincuencia relacionada con la informática crece cada año, por lo que la informática forense se está convirtiendo en una disciplina ampliamente requerida dentro de los sistemas de tribunales. Hoy en día se utiliza para investigar una amplia variedad de delitos, incluyendo pornografía infantil, fraude, espionaje y otros. La disciplina también aparece en los procedimientos civiles como una forma de recopilación de información digital.

En la informática forense se utilizan las técnicas forenses y el conocimiento experto para explicar el estado actual de un dispositivo digital, como un sistema informático, un medio de almacenamiento (por ejemplo, un disco duro o un CD), un documento electrónico (por ejemplo, un mensaje de correo electrónico o una imagen JPEG). El alcance de un análisis forense puede variar desde la simple recuperación de la información hasta la reconstrucción de una serie de eventos.

Las investigaciones forenses informáticas están sujetas a las mismas directrices y prácticas de otras pruebas digitales. Esto requiere que la información sea auténtica, obtenida de manera confiable y admisible, para garantizar la autenticidad e integridad de las pruebas.

El proceso forense utilizado en las investigaciones de la informática forense consta usualmente de tres pasos: adquisición de datos, análisis de los datos y presentación de informes.

• Adquisición de datos: Antes de poder examinar los medios digitales, estos deben ser confiscados, respetando la cadena de custodia. En los casos penales esto será realizado a menudo por agentes de la ley entrenados para asegurar la preservación de las evidencias. En materia civil suele ser personal de la empresa, a menudo sin formación. Varias leyes cubren la incautación de material. En materia penal son aplicables las leyes relacionadas con las órdenes de registro. En los procedimientos civiles se supone que una empresa puede investigar sus propios equipos sin una orden de registro, siempre que se respete la privacidad y los derechos humanos de los empleados. Una vez que se han incautado los dispositivos, se crea un duplicado exacto binario de los medios o imagen forense, generalmente utilizando una duplicadora de disco duro o herramientas de creación de imágenes de software, que dispongan de bloqueo de escritura. La unidad original se devuelve a un almacenamiento seguro para evitar la manipulación. La imagen adquirida se verifica utilizando funciones hash, y se vuelve a verificar nuevamente en los puntos críticos del análisis para asegurar que la evidencia está todavía en su estado original.
• Análisis de los datos: Después de la adquisición se analiza el contenido del archivo imagen para realizar una búsqueda sistemática de pruebas relacionadas con el supuesto delito. Durante el análisis, el investigador utiliza diversas metodologías y herramientas, a menudo comenzando con la recuperación de los datos eliminados. El tipo de datos recuperados incluyen correo electrónico, registros de chat, imágenes, historial de Internet o documentos.
• Reporting: Cuando se completa la investigación, los informes se envían a los encargados de la investigación, como la agentes de la ley (para los casos penales) o la empresa (en los casos civiles), que luego decidirán si utilizar las evidencias en los tribunales. En general, el informe consistirá en una conclusión por escrito de los expertos acerca de las evidencias, así como en las propias evidencias, presentadas a menudo en soportes digitales. Los informes también pueden incluir información de auditoría y otra meta-documentación. La información se reporta a menudo en forma adecuada para personas no técnicas.