La gran mayoría de las empresas utilizan la alta tecnología para llevar a cabo sus actividades diarias. Debido al uso generalizado y a la adopción de innovaciones tecnológicas por parte de estas empresas, la información electrónica se ha convertido en algo cada vez más crucial para la resolución de litigios.
Dado que las pruebas electrónicas pueden contener una pistola humeante, usted debe estar equipado con el conocimiento de cuántas maneras puede obtener la información que necesita (y asegurarse de agotar todas las posibilidades). Decidir sobre un LABORATORIO DE INFORMÁTICA FORENSE de confianza es, por supuesto, el primer paso para encontrar la proverbial pistola humeante sin expoliar las pruebas.
Para preservar las pruebas electrónicas, un experto realiza una imagen forense del medio electrónico o disco duro sospechoso, lo que supone crear una copia de flujo de bits del dispositivo original. Esta copia se autentifica como genuina generando y comparando algo conocido como valor hash tanto para el original como para la copia. Una vez que el perito tiene una copia exacta con la que trabajar, la unidad original puede almacenarse y sellarse mientras el perito realiza todas las funciones de búsqueda y recuperación en la copia. Esto reducirá el riesgo de expolio de pruebas.
Suponiendo que se haya realizado la copia forense, el siguiente paso es igualmente esencial: saber qué pedir a su perito. Disponer de una copia impresa de TODOS los datos del ordenador es una forma de hacerlo, pero ¿tiene usted realmente tiempo para examinar posiblemente millones de páginas de información? Con las peticiones adecuadas, la producción puede ser bastante manejable y mucho menos desalentadora. Por ejemplo, si está investigando a un empleado sospechoso de descargar pornografía, quizá pedir todos los archivos del ordenador no sea el método más eficaz para localizar esas imágenes incriminatorias. Lo que tendría más sentido es dirigirse al historial de Internet del usuario del ordenador, que se asemeja a una lista de hoja de cálculo de todos los sitios web visitados que muestra las fechas y horas de acceso pertinentes.
A continuación se enumeran algunos de los resultados que puede solicitar a su experto en informática forense:
1. Recuperar particiones y archivos borrados/eliminados: Si hay actividad sospechosa, lo más probable es que no se encuentren en los lugares obvios como el Escritorio o la carpeta personal del usuario. Lo más probable es que las actividades incriminatorias sean borradas. Por lo tanto, hacer que el experto recupere las particiones y los archivos eliminados es el primer paso más lógico. A partir de aquí, puede tener una lista de toda la actividad eliminada, así como todos los archivos borrados grabados en un CD, y es posible que pueda encontrar la propiedad intelectual de la empresa que nunca debería haber estado en el ordenador en primer lugar.
2. Generar valores hash de los archivos: En esencia, los valores hash son huellas dactilares electrónicas. Sin entrar en el meollo del hash MD5, sepa que hay dos constantes: un buen experto informático forense sabrá lo que es un valor hash y que estos valores hash pueden utilizarse para identificar de forma exclusiva los archivos electrónicos. Cuando se generan valores hash con un programa informático forense, se pueden desduplicar los archivos (eliminando las redundancias, y por tanto minimizando los costes) y encontrar archivos coincidentes en otros soportes informáticos
3. Solicite un inventario de listas de archivos: Disponer de una lista con todo lo que necesita saber sobre un archivo (por ejemplo, nombre, extensión del archivo, ubicación física, fecha de acceso, fecha de creación, etc.) le ayudará a limitar su enfoque. Por ejemplo, si sabe que el último día de trabajo de un empleado es el 6 de agosto de 2004, querrá empezar su búsqueda con todos los archivos a los que se haya accedido/modificado/borrado las dos semanas anteriores para controlar cualquier actividad sospechosa/anómala que pueda producirse justo antes de la salida del empleado.
4. Solicitar un informe de archivo DAT para el historial de Internet: Una revisión del historial de Internet de un usuario puede ayudarle a usted y a su examinador a centrar rápidamente una búsqueda en la cuenta de correo web personal del usuario. Además, una revisión del historial de Internet puede ayudarle a determinar si el usuario estaba accediendo a pornografía, investigando cómo borrar un disco duro de todas las actividades, buscando cómo cometer con éxito un fraude o enviando información de propiedad a un competidor. Este paso debe realizarse antes de realizar una búsqueda general de palabras clave en los medios de comunicación visualizados.
5. Después de revisar todo lo anterior, a lo que nuestro personal suele referirse como la «producción de la primera ronda», se puede empezar a apuntar a los detalles específicos: Archivos clave de interés
6. El marco temporal relevante en el que se crearon, modificaron o borraron los archivos
7. Organizaciones individuales clave implicadas
8. Generar una lista de palabras clave para filtrar los archivos (direcciones clave, cuentas de correo web, términos clave, etc.)
9. Archivos de imagen (.jpg, .gif, etc.) que cuentan una historia: Una vez que se visita un sitio web, la mayoría de los datos que aparecen en la pantalla probablemente se han guardado en algún lugar del disco duro del ordenador, aunque no se hayan guardado deliberadamente en el disco duro. Una revisión de los archivos de imagen puede ser muy reveladora y a menudo indicará qué programas se han instalado o utilizado recientemente en el ordenador.
10. Busque en el espacio no asignado y en los archivos nativos: Para la mayoría de las investigaciones, encontramos que centrarse en la parte no asignada o vacía del disco duro arroja la mejor información. Dado que el ordenador almacena en la memoria caché gran parte de lo que aparece en la pantalla del ordenador en la parte no asignada del disco duro, es más probable que una revisión de esta zona arroje un arma humeante. Los proveedores de pruebas electrónicas no suelen buscar en esta parte del disco duro. Sólo la informática forense permite buscar en el espacio no asignado. Una búsqueda de los archivos nativos que existen en el ordenador también es importante y crucial para una búsqueda, pero las actividades engañosas a menudo se encuentran sólo en el espacio no asignado. Cuando se trate de un engaño, insista siempre en buscar en el espacio no asignado.
11. Todo programa deja un rastro. Busque archivos .lnk: La mayoría de los programas y documentos dejan archivos de enlace o accesos directos en todo el disco duro. Estos archivos de enlace pueden ayudar a establecer cuándo se utilizó por última vez un archivo en el ordenador y si todavía existe. Incluso si el software de fregado se utilizó y se desinstaló, puede quedar un archivo de enlace en el ordenador que demuestre que alguna vez estuvo allí.