¿Cómo se investiga la ciberdelincuencia?

Identificar el delito, investigar la ‘escena’ del crimen y hacer una correcta custodia y análisis de las pruebas son algunas de las labores del perito informático.

En el momento en el que se produce un robo o un homicidio, a todos nos viene a la cabeza la policía y sus grupos especializados, encargados de seguir las pistas. Pero, ¿qué ocurre cuando el delito es digital? En estos casos, son los peritos informáticos los que se convierten en investigadores sobre ciberdelincuencia, realizando las investigaciones pertinentes para descubrir al delincuente.

El trabajo que realiza un perito informático a la hora de investigar un delito digital se basa en el principio de Intercambio de Locard, el cual afirma que todo contacto digital deja rastro. Carlos Aldama, perito informático y director de Aldama Informática Legal, explica que “toda manipulación, una conversación de WhatsApp, un correo electrónico o un hackeo empresarial, deja un rastro que un perito puede seguir y analizar para identificar el objeto del ataque, el atacante, los medios usados y lo que ha afectado al usuario”.

Pero este proceso no siempre es sencillo. El proceso para investigar los delitos digitales consta de una serie de pasos a seguir:

1. Identificar el delito. El primer paso, naturalmente, es la identificación del delito digital cometido. No es lo mismo una manipulación de WhatsApp para inventarse una conversación que piratear un servidor para realizar un robo o espionaje industrial.

2. Acotar la escena. Este es un paso fundamental, ya que si la escena es muy amplia supondrá una investigación menos efectiva y salirse del objetivo, mientras que si es muy estrecho es muy probable dejar fuera evidencias importantes que pueden ser fundamentales para dar con el responsable del delito.

3. Recopilar las evidencias. El siguiente paso es recoger la información necesaria, bien sea el dispositivo en el que se ha cometido el delito o en el que se vean sus consecuencias. Para ello se aplican diferentes técnicas de recolección según el medio y la situación: clonadoras forenses, bloqueadores de escritura, dispositivos de análisis forense de móviles; jaulas Faraday, para evitar el acceso remoto y eliminar datos…

4. Preservar las pruebas. Para que la investigación sea válida, se debe garantizar la no manipulación de los datos. Para conseguirlo, con las máquinas especializadas se realiza una adquisición y custodia efectiva, bien sea ante notario o con medios suficientes para asegurar que la prueba no se ha manipulado. Asimismo, es necesaria la meticulosidad del registro y acción completa de todo el proceso, incluido el etiquetado y su traslado a lugar seguro. Estas pruebas se deben mantener en su formato digital y proporcionárselas a la otra parte para que puedan comprobar su veracidad y contrastarlas.

5. Analizar las evidencias. Se debe efectuar una reconstrucción del delito, analizando los datos que tenemos para dar respuesta a las preguntas de la investigación. En este caso, siempre se trabaja sobre máquinas clonadas para hacer las pruebas forenses que se requieran, investigando todos los datos eliminados y haciendo un examen exhaustivo de cada evidencia en función del objeto de nuestra pericia informática.

6. Documentación y resultados. Al hacer el análisis se suelen encontrar problemas, sobre todo cuando las pruebas han sido manipuladas. En estos casos, siempre hay que documentarlo en el informe. Es importante que los informes sean claros en estructura y redacción, entendibles para no expertos, pero sin obviar los tecnicismos necesarios para la descripción correcta de la prueba. Además, deben recoger todo el proceso realizado y que nos ha llevado a las conclusiones, de tal manera que la parte contraria pueda realizar las mismas pruebas para comprobar si llegan a los mismos resultados.

7. Ratificación en juzgado y defensa del informe. El último paso es acudir al juzgado para explicar la investigación y sus resultados, paso muy complejo que requiere de experiencia y conocimiento del funcionamiento legal de los juzgados. Se debe también garantizar una exposición entendible para neófitos en la materia.

En definitiva, las investigaciones de ciberdelincuencia deben basarse en grandes dosis de prudencia, saber hacer y saber contarlo para que tenga plena validez y eficacia en un proceso judicial. Ante esto, el perito ingeniero informático puede ser el mejor aliado que un abogado o un juez se encontrarán al defender la validez de las evidencias digitales.