Informática Forense: Cómo determinar el uso de un archivo

fechasarchivo

La primera norma que debe cumplirse antes de la revisión forense de cualquier soporte digital es poner a salvo una copia del original para poder garantizar la autenticidad de lo hallado antes de ser manipulado. Esta norma parece que está incluída en el artículo 479 de la LECRIM.

Pero en España esta norma se suele salta “a la torera”.  Es una práctica frecuente en nuestro país la manipulación de las evidencias digitales de un supuesto crimen sin tomar ningún tipo de precaución.   Analicemos las consecuencias que estas acciones imprudentes de los peritos informáticos del Estado pueden tener en los juicios P2P.

El artículo 189.2. del Código Penal Español, reza lo siguiente:

El que para su propio uso posea material pornográfico en cuya elaboración se hubieran utilizado menores de edad o incapaces, será castigado con la pena de tres meses a un año de prisión o con multa de seis meses a dos años.

Pero ¿usamos todos los archivos existentes en nuestro ordenador?  ¿cómo se determina técnicamente el uso que ha hecho un internauta de determinados archivos?

La primera cuestión podría ser descartada en base a la proporción entre los archivos de interés para el caso en relación al total de archivos hallados.  Supongamos un usuario al que le hallan cien mil archivos compartidos en su eMule, de los cuales mil son de pornografía infantil.  Del 100% de archivos, el 0,1% eran ilegales  ¿refleja este dato una tendencia criminal en el uso?

La segunda cuestión podríamos obtenerla a través de las evidencias digitales, pudiendo utilizar, entre otras,  estas dos fuentes: los logs de los distintos programas como por ejemplo Windows Media Player y por otro lado,  las fechas almacenadas de los archivos ilegales incautados.

Archivos Log
Generalmente los visualizadores de contenido como Windows Media Player tienen una caché y un histórico de los archivos visualizados.  A través del análisis de estos metadatos se podría determinar cuándo ha sido “usado” un determinado archivo.

Fechas de un archivo

En los sistemas operativos de Microsoft, cuando revisas las propiedades de un archivo te muestra tres fechas (creado, modificado y último acceso).

Pese a que la fecha de último acceso (last accessed) pudiera parecer la indicada para determinar cuándo se abrió por última vez ese archivo,  es un dato que pudiera prestarse al error.  Cualquiera puede probar a abrir un archivo y comprobar que no siempre se actualiza esa fecha (Windows Vista o Windows 7 tienen desactivado por defecto la actualización de la fecha last accessed).

Lo que el perito informático debe saber es que existe una cuarta fecha que no es visible al usuario. Esta fecha se denomina Entry Modified y únicamente puede ser obtenida con herramientas de análisis forense, como por ejemplo el programa forense ENCASE .   Es esta fecha la que determina cuándo ha sido la última vez que se ha abierto un determinado archivo.

Pero ¿qué pasa si el agente en el propio registro domiciliario visualizó el contenido de esos archivos sin tomar precauciones? No hay que ser un experto informático para darse cuenta de las consecuencias:  La fecha de último uso que figuraría en esos archivos sería posterior al registro domiciliario debido a que el perito habría alterado esa fechas al acceder al contenido sin haber asegurado previamente las evidencias digitales.

Conclusiones

Urge en España el establecimiento de un protocolo riguroso de revisión forense digital.   Es un disparate técnico que en el mismo registro domiciliario, sin tomar ningún tipo de precauciones,  un agente acceda a visualizar contenidos, alterando las evidencias que pudieran servir para esclarecer unos hechos.

3 comments

  1. Un caso que conoci personalmente en mi país da cuenta de lo mismo, y por lo que he investigado en mi país, todas las detenciones p2p por almacenamiento de pornografía infantil es lo mismo que indicas.

    Acá las policias se dicen técnicas o cientificas, pero no tienen idea de lo que eso significa, son agentes del estado que a veces ni siquiera tienen un título profesional en informática, o si lo tienen, lo han sacado “en forma especial” dentro de la propia institución.

    No comprenden tampoco que aunque se tenga un titulo profesional, eso no significa que automaticamente se sea experto en seguridad informática, y aunque algun agente lo fuera, si no tienen dentro de sus protocolos y normas los metodos adecuados de trabajo, actuan mal conscientes de ello, que es lo más grave.

    Al final, acá solo les interesa el lucimiento personal y detener personas a como de lugar, debido a que son, tal como lo has indicado tu, narcisistas patologicos.

  2. Realmente es necesario un protocolo de actuación serio, uno hecho por autenticos profesionales de la informática forense, de aplicación general en todos las fuerzas y cuerpos de seguridad. Hay operaciones muy buenas, pero incluso las buenas se mezclan con demasiadas acciones chapuza, y los medios de comunicación se limitan a echar laureles contando con el cómputo de detenidos sin matizar ciertos asuntillos que, de ser matizados por los medios de comunicación, quizá estas operaciones no se llenarían tanto de gloria.

    Uno de los grandes problemas es que el mundo de las fuerzas y cuerpos de seguridad es muy, por así decirlo, endogámico. Es como una secta cerrada donde ellos son Juan Palomo, ellos se lo guisan y se lo comen solo. Para acceder a la Policía Nacional o guardia civil es necesario el paso por la Escala Básica de agentes en las pruebas de oposición, donde a menudo se dan procesos casi rallanos en la discriminación, dejando atrás a excelentes profesionales.

    ¿Para qué necesita un científico forense presentarse a las mismas pruebas físicas y de tiro que un agente comun? Pues encallados en ese cuello de botella se han quedado excelentes científicos pero malos deportistas, algunos de ellos, más preparados para cuestiones científicas que la mayoría de peritos forenses con los que cuentan en las FFCCSS. Con la informática pasa lo mismo. Un agente de la BIT (o de la GDT en caso de la Guardia Civil) debe pasar primero por ser un agente más, para luego recibir formación especializada en informática forense. Resultado: la mayoría en realidad No son informáticos, sino agentes de la ley que han recibido un curso de informática especifica en materia de análisis forense. Hay agentes que llegaron a ser ingenieros informáticos, y esos agentes SI son informáticos además de agentes pero ¿De esos abundan en los cuerpos y fuerzas de seguridad? Me temo que NO.

    Las fuerzas y cuerpos de seguridad deberían dejar que un grupo de ingenieros informáticos bien preparados diseñen un protocolo técnico de actuación para evitar muchos de los desaguisados que denuncias en tu blog, pero claro… Eso sería dejar a un “grupo de civiles” decirles como deben hacer el trabajo. Algo inadmisible en la mentalidad de los FFCCSS actuales, por desgracia.

    Como no abandonen esa postura endogámica y no se dejen asesorar por los especialistas en la materia, aunque estos no hallan pasado por el cuello de botella llamado la “Escala Básica”, mucho me temo que habrá problemas por mucho, mucho tiempo.

    Saludos.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s