Peritaje
Computacional o Informático
Peritaje
informático o computacional
se denomina a la investigación realizada, por un experto, con el
objetivo de obtener una prueba informática sobre un suceso en
particular. Sobre el resultado, que puede ser usado como elemento de
prueba en un Juicio, él un Juez dictará
resolución, sobre los asuntos impugnados, del peritaje y de las
partes involucradas en Juicio.
Cuándo se requiere un peritaje computacional? Qué elementos pueden ser sometidos a un peritaje computacional? Cómo realizar un peritaje computacional? Dónde puedo solicitar un peritaje computacional? Algo más?
Cuándo se
requiere un peritaje computacional?
En un juicio, cualquiera de las partes (demandate o demandada) puede
solicitar un peritaje computacional. Esto tiene como objetivo que una
institución o un profesional acreditado e independiente,
entregue un informe técnico sobre alguna
situación en
particular.
Un tribunal no es la única demandante de pericias.
También
empresas y particulares pueden necesitar, por diversos motivos, una
periciar computacional de sus
equipos. Ejemplo: determinar donde está la perdida de correos internos, auditar los sistemas de seguridad, etc. Al
igual
que en el caso de un juicio, quien desarrolle la pericia
hará un
informe técnico con los resultados del trabajo.
Típicamente, un peritaje busca:
- Encontrar archivos borrados
- Determinar la existencia de correos o direcciones
electrónicas
- Saber si existen archivos con contenido audio visual
(videos, audio)
- Establecer
los niveles de seguridad del equipo
- Realizar la comparación de contenido proveniente
de distintas fuentes de información
- Determinar el origen de la información
- Etc.
Qué
elementos pueden ser sometidos a un peritaje computacional?
Hay una diversidad de
elementos que, teniendo o siendo parte de una fuente de almacenamiento
durable, pueden ser sometidos a un peritaje computacional. Entre ellos:
- Disco duros
- Bases de datos
- Correos electrónicos
- Aplicaciones y archivos
- Disco compactos
- DVD's
- Teléfonos móviles (celulares)
- Tarjetas eléctronicas (popularmente llamadas
tarjetas SIM)
- Agendas personales (PDA's)
- Corta fuegos
- Etc.
Cómo
realizar un peritaje computacional?
No juegue al perito:
Si usted no es
experto en el área NO
intente hacer un
peritaje, si lo hace destruirá las pruebas. A
mis manos han
llegado equipos que, por diversos motivos, han sufrido la
modificación de los datos que almacenan. Lo increible es que
en algunos casos la información ha sido alterada por
"expertos" peritos o instituciones dedicadas a esta
temática. Saber computación no implica que usted
sepa como realizar un peritaje computacional. Esto no es un juego.
Realice una
pre-investigación: Antes de
iniciar la pericia, tome su tiempo e investigue el objetivo de la
pericia y conozca las características técnicas
del equipo que debe intervenir. Este trabajo de
investigación debe aclarar qué es lo que busca
determinar la pericia, cuáles son las preguntas que debe
responder, qué otros elementos pueden ser encontrados, etc.
Por otro lado, investigue cuál es el equipo que debe
periciar, cuál es el estado del equipo y dónde se
encuentra,
pregunte si este equipo ha sido intervenido; si ya fue periciado,
infórmese de los resultados.
Esta
(pre) investigación le permitirá conocer si
están dadas
las condiciones para realizar la pericia. También podra
autoevaluarse para saber si su conocimiento le permite trabajar con los
elementos a los que tendrá acceso. Es mejor no tomar un caso
que inciar una pericia que quedará incompleta o mal
hecha.
Dimensione el trabajo:
Una de las razones de realizar una pre-investigación es
determinar y dimensionar la cantidad y dificultad del trabajo. No se
subestime, una pericia puede contener situaciones inesperadas. Esto
también le permitirá informar a su cliente o al
tribunal
del tiempo estimado que se requerirá para desarrollar la
pericia.
Proteja el equipo:
Parece contradictorio, pero el peritaje NO debe hacerse sobre el equipo
original. Dentro de lo posible, cree un duplicado exacto del contenido
del equipo. En el caso de un disco duro, esto se conoce como clonaje
del
disco duro. El objetivo de esta operación es evitar que el
contenido
original sea alterado por un error o falla técnica. Recuerde
que toda pericia puede ser contrastada con un nueva pericia. Dado esto,
es necesario que la nueva pericia pueda acceder a los datos
originales, sin ninguna tipo de alteración.
Tenga presente que la alteración del contenido puede
producirse por situaciones (casi) inocentes. Por ejemplo,
sólo enceder un computador crea una alteración en
el contenido del disco duro. Otro ejemplo: con el fin de proteger un
archivo, el usuario crea un copia en otro lugar del mismo disco, pero
esta acción altera el contenido de los archivos y contenidos
que
están borrados; material que puede ser parte de la pericia.
Muchas veces quién pide la pericia no dimensiona
cuáles son los elementos que intervienen en una pericia. Con
espanto, he visto que un disco duro era la única prueba en
un
caso, pero llevaba dos años de uso, sin respaldo y el disco
aún no era periciado!!.
Use herramientas adecuadas:
Hay diversas herramientas computacionales que pueden apoyarlo en el
desarrollo de una pericia. Por lo mismo, use la herramienta
más
adecuada al trabajo que desarrollará. Como veremos a
continuación, lo ideal es usar más de una
herramienta.
Como es de imaginar, hay herramientas que requieren de una
licencia para su uso y también las hay que ayudan a trabajar
pero no se requiere de una licencia pagada. Junto a esto se ofrecen
equipos con objetivos exploratorios, es decir, aseguran que no
harán una intervención del contenido.
Valide lo encontrado:
Una vez que encontró lo que buscaba o a la inversa,
determinó que lo que buscaba no existe, entonces inicie una
etapa de validación. El objetivo de esto es tratar de llegar
a lo
encontrado por otro camino. Si bien las herramientas computacionales
ofrecen un buen grado de certeza con lo encontrado (o no encontrado),
también las hay que por diversos motivos no responden
correctamente a lo consultado. Usar herramienta adecuadas a la
investiagación que se realiza en un parte del proceso, pero
es
posible que exista otra alternativa que le permita confirmar sus
resultados.
Si la información fue recopilada por un tercero (o una de
las
partes), valide el contenido. Es posible que la información
no
se haya entregado completa o que no sea la correcta.
Escriba a medida que trabaja:
Escribir permite ordenar las ideas. Una pericia es un trabajo de
investigación por lo que, a priori, no se puede conocer los
resultados. Con la redacción del informe, a medida que se
avanza
en el trabajo técnico, se evita dejar puntos sin informar.
Adicionalmente, ayuda a orientar el trabajo de investigación.
Cuando escriba piense en el publico que lo leera. Redacte de tal forma
que quede claro el desarrollo técnico y el motivo que
llevó a enfrentar el trabajo de dicha forma. Tenga presente
que
esta redacción debe ser realizada usando un vocabulario
adecuado, con ejemplos y contra-ejemplos, de forma que un usuario no
experto pueda leer y comprender. Por ejemplo, un abogado o un juez no
tiene por que saber que un sistema de archivos usa FAT 32 y no es lo
mismo que NTFS, o que un correo electrónico es
"falsificable".
Explique claramente, poniendo el justo enfasis en lo
técnico, apoyado con una explicación para un
publico no experto.
La redacción de un trabajo de investigación debe
apoyarse
y referenciar fuentes fiables. La bibliografía
científica es un buen punto de inicio, pero
también lo
son algunas páginas Web.
Dónde
puedo solicitar un peritaje
computacional?
En Chile, a los peritos
inscritos en la Defensoría
Penal Publica.
En otro paises: (trabajo en esto :-)
Algo
más ?
Literatura relacionada con
el tema:
Herramientas y aplicaciones
para análisis de discos duros:
Herramientas y aplicaciones
para pericias de tarjetas electrónicas:
Fecha de la última modificación: 27
de Noviembre
de 2006.