Por Jacobo Nájera.
La informática forense es una disciplina que busca identificar, analizar y mantener la integridad de datos digitales de modo que sean válidos como prueba en un proceso legal o para algunos tipos de auditoria, evaluación y diagnósticos en seguridad. Esta disciplina obtiene los datos de computadoras, dispositivos móviles, routers, medios de almacenamiento como memorias USB, discos externos, entre otros.
Aunque existen diversas metodologías, adecuadas a las necesidades de cada ataque y los marcos legislativos de cada país, en general coinciden en tres etapas: la recolección y preservación de los datos, su análisis, y la presentación de resultados y hallazgos. Entre las técnicas de recolección de información, podemos encontrar el análisis de tráfico de red, archivos y binarios, logs (registros del sistema), archivos de configuración, metadatos, etc.
Ataques digitales a la sociedad civil
Cuando nos involucramos en un proceso de este tipo desde y para la sociedad civil, la informática forense orienta sus esfuerzos a contribuir con evidencias a la construcción de casos de violaciones a los derechos humanos mediados por la tecnología digital, conocer las estrategias de persecución y criminalización de activistas, y ofrecer una contención adecuada a las personas o colectivos afectados por dichos ataques.
En casos de ataques digitales a actores de la sociedad civil, por ejemplo cuando nos enfrentamos a la instalación de software espía en los teléfonos celulares de activistas o periodistas, la investigación forense nos permite:
- identificar si efectivamente estamos ante la presencia de un ataque;
- estimar el impacto, alcance e intenciones del ataque;
- reconocer a los actores involucrados;
- orientar estrategias de protección adecuadas para la persona afectada y su contexto; y
- restablecer la información y funcionamiento de sus dispositivos
Como parte de las estrategias de protección, siempre resulta beneficioso elaborar memorias y mapeos de riesgo. Este tipo de ejercicio puede derivar en la construcción de información que permita conocer de primera mano el fenómeno y generar antecedentes para futuras investigaciones en materia de ataques digitales hacia la sociedad civil. Por ejemplo, permitiría develar ataques sistemáticos contra activistas y exigir rendición de cuentas a las partes involucradas como lo pueden ser las empresas dedicadas al desarrollo de software de vigilancia.
Preservación de pruebas
Una tarea clave de la informática forense es la preservación de la evidencia sin alteraciones. Este es un requisito central para garantizar su valor probatorio. Según los estándares de las ciencias forenses, la preservación de evidencia requiere mantener la cadena de custodia, manipular exclusivamente copias exactas de la evidencia, y, en aquellos casos en los que se modifique la evidencia, todas las intervenciones, y sus efectos, deben quedar documentadas y justificadas.
Estos requisitos responden a estándares internacionales relativos a la práctica forense en computación y manejo de evidencias, entre los que encontramos: RFC 3227, RFC 4810, RFC 4998, RFC 6283, ISO/IECI 27037:2012, ISO/IEC 27040:2015, ISO/IEC 27042:2015.
Desafíos de la informática forense
Una parte fundamental y de amplia preocupación entre quienes practican este tipo de investigaciones es contar con el consentimiento de las partes involucradas e, incluso, de terceras partes. A su vez, resulta un desafío mantener la confidencialidad de los procedimientos y evitar la fuga o filtración de datos.
Por otro lado, y no menos importante, uno de los grandes retos continúa siendo la comunicación de resultados: cómo transmitir de manera clara y sencilla los hallazgos y procedimientos involucrados a lo largo de todo el proceso, de manera que atienda a los estándares o normas vigentes.
Finalmente, para quienes estamos involucrados en la informática forense desde la sociedad civil al servicio de la defensa de los derechos humanos, nuestro gran desafío radica en:
- generar estándares que respondan al tipo de ataques específicos a los que nos enfrentamos: violencia de género facilitada por tecnologías, vigilancia, etc.;
- incrementar el número de personas con perfil informático y fortalecer sus capacidades técnicas periciales;
- desarrollar metodologías comunes que nos permitan identificar tendencias en ataques y diseñar estrategias conjuntas de respuesta y difusión.
En la práctica, la investigación forente no sustituye a los métodos que históricamente se han utilizado para documentar violaciones a los derechos humanos sino que los complementa. Es quehacer de estas investigaciones desde y para la sociedad civil reconocer sus alcances y limitaciones, así como recordar que, sobre todo, construyen antecedentes éticos.
Referencias
- Cano Martínez, J. J. (2015). Computación forense : descubriendo los rastros informáticos. Editorial Alfaomega. https://archive.org/details/computacionforen0000cano
- Digital Defenders Partnership (2022). Introduction to Forensics of Mobile Devices, Identification of Spyware and Documentation of Digital Threats with a Human Rights and Gender Perspective: https://www.digitaldefenders.org/introduction-to-forensics-of-mobile-devices-identification-of-spyware-and-documentation-of-digital-threats-with-a-human-rights-and-gender-perspective/
- Vila Avendaño, P. (2018). Técnicas de análisis forense informático para peritos judiciales profesionales. Móstoles 0xWord 2018.
- Networked Systems Ethics – Guidelines (2017). https://web.archive.org/web/20171001000000*/http://networkedsystemsethics.net/index.php?title=Networked_Systems_Ethics_-_Guidelines