En este post analizaremos de cerca los tipos de información que puede descubrir un perito informático en una investigación forense digital. Al saber dónde se pueden esconder las pruebas, comprenderá mejor cómo incorporar el análisis forense digital en su estrategia de litigio y lograr un resultado positivo.
Archivos eliminados frente a archivos sobrescritos eliminados
Es probable que todos los dispositivos que se examinen contengan archivos eliminados. Un examen forense produce una lista de archivos sobrescritos eliminados. Los archivos que simplemente se eliminan, pueden en su mayor parte, recuperarse por completo. Sin embargo, cuando se elimina un archivo, el espacio que ocupaba en el disco duro se marca para su eliminación y se indica como «espacio no asignado». Una vez que el sistema operativo escribe un archivo nuevo en ese espacio, el archivo eliminado se sobrescribe y es posible que ya no se pueda recuperar por completo. Sin embargo, si el nuevo archivo de datos es más pequeño que el archivo que ha sobrescrito, es posible que una parte del archivo eliminado aún se pueda recuperar.
Si un dispositivo que se está analizando no muestra archivos eliminados, un perito informático puede realizar una investigación adicional para verificar si hay evidencia de software de borrado de datos, reinstalación del sistema operativo u otro ocultamiento de datos.
Vincular archivos (.lnk)
El sistema operativo o el usuario crean un archivo de enlace (.lnk) como acceso directo a una aplicación o archivo. Los archivos de enlace pueden mostrar que un archivo estuvo presente y / o se accedió en un sistema en algún momento, incluso si ese archivo se ha eliminado desde entonces. Pueden contener información valiosa como:
- La ruta o ubicación original del archivo, ya sea en una red, una unidad local o un dispositivo externo
- Las fechas de creación, acceso y modificación del archivo (metadatos)
- Tamaño del archivo
Dispositivos externos
Durante ciertas investigaciones de robo de propiedad intelectual, como cuando un empleado le roba a su empleador, es probable que los dispositivos externos (como las unidades de memoria USB) desempeñen un papel. Los dispositivos externos dejan un rastro en las computadoras a las que se han conectado, un rastro que los investigadores forenses pueden descubrir. Algunos dispositivos externos, como los discos duros, pueden dejar un registro de su marca y modelo, o incluso el número de serie del dispositivo. Esto puede proporcionar suficiente causa probable para solicitar ese dispositivo para un análisis más detallado.
Metadatos
Los metadatos contienen información sobre archivos, aplicaciones y otros datos. Esta informacion incluye:
- Fecha y hora de creación, acceso y modificación
- Quién creó los datos
- La última vez que se imprimió
En el caso de las fotografías, muestra el dispositivo utilizado para tomar la fotografía junto con la fecha, la hora y la ubicación en la que se tomó.
Esto puede resultar útil para demostrar dónde se originó un diseño o una idea y en qué variaciones.