Por Helena Fuentes, directora del Departamento Legal del Grupo Winterman.
El Análisis Forense es una disciplina novedosa que permite localizar evidencias electrónicas en diferentes dispositivos electrónicos, entre otros, un ordenador, un servidor, una PDA o un teléfono móvil. La información obtenida permite localizar evidencias que determinen los sucesos ocurridos en el dispositivo analizado y convertirlas en pruebas susceptibles de ser presentadas ante un Tribunal.
A causa de que los ordenadores y demás dispositivos electrónicos forman hoy en día parte inseparable e importante de nuestras vidas, tanto privadas como profesionales, el Análisis Forense ha encontrado un nuevo espacio de aplicación, ya que la mayoría de los actos delictivos que se cometían tradicionalmente en el mundo físico o real, se han trasladado ahora al mundo virtual, apareciendo, para ello, diferentes formas de llevarlos a cabo mediante la utilización de herramientas informáticas. Por ejemplo, los derechos de autor, además de vulnerarse mediante la fotocopia de un libro o de una cinta de cassette, actualmente se han transformado en descargas ilegales de música, películas e incluso libros. Las falsificaciones de documentos, como facturas, o la eliminación de información, hoy en día se realizan mediante manipulación o alteración de hojas de cálculo y mediante la utilización de la papelera de reciclaje. Pero, en definitiva, realmente sólo cambia el medio a través del cual se cometen lo delitos, y para ello es importante conseguir que ese medio virtual se transforme en prueba física.
Debido a la complejidad de la prueba electrónica, el Análisis Forense es una especialidad que realizan técnicos expertos en la materia, es decir, peritos informáticos, tanto en la búsqueda de evidencias como en el tratamiento de la prueba y su aseguramiento. Por ello es fundamental que, en cuanto se tengan las primeras sospechas o evidencias de la comisión de cualquier actividad susceptible de ser investigada, en la que pueda estar involucrado un dispositivo electrónico, en primer lugar éste deje de utilizarse y, en segundo, se pongan en contacto con estos expertos para garantizar la no destrucción de la prueba. En ese momento, la primera actuación de los peritos consistirá en identificar las fuentes de información, es decir, todos y cada uno de los dispositivos electrónicos susceptibles de contener pruebas.
Una vez identificadas las fuentes donde se encuentran las pruebas, el siguiente paso a realizar por el perito es el aseguramiento de las mismas mediante el establecimiento de la cadena de custodia, que consiste en la realización de una copia exacta, o copia espejo, del disco duro del dispositivo electrónico en presencia de un fedatario público, generalmente un notario. La presencia del notario es necesaria, no sólo para que de fe del acto de copia (qué se copia, a quién pertenece, cómo se realiza la copia y que deje constancia del resultado de la copia) sino que es fundamental a la hora de garantizar que esa prueba no se altere y, todavía más importante, permite que la futura parte denunciada pueda acceder a la prueba, ya que el notario se queda en depósito o bien el disco duro original o bien una copia espejo del mismo, para realizar un contra análisis y así construir su defensa.
Como complemento a dicha cadena de custodia, una vez finaliza la copia exacta, o copia espejo, del disco duro en cuestión, el perito ante notario, procede a calcular el “hash criptográfico”, un cálculo matemático cuyo resultado es una combinación de números y letras con la peculiaridad que cualquier cambio en la información, por pequeño que sea, altera totalmente su “hash”, siendo imposible encontrar otra información que tenga como resultado el mismo “hash”. Durante el proceso, cualquier persona que deba acceder a esta información podrá calcular el “hash” para comprobar que no ha habido ningún tipo de alteración en la prueba.
Una vez establecida la cadena de custodia, el perito informático comienza el Análisis Forense. Este proceso es complicado debido a dos factores importantes: por un lado, la gran cantidad de información (un universo de información) que contienen los discos duros y otros dispositivos digitales actuales. A modo de ejemplo, un disco duro de 100 Gigabytes contiene el equivalente a más de 30 millones de páginas de un libro, lo que llevaría a que se necesitase para su revisión aproximadamente 600 años de jornada laboral de una sola persona. Y por otro, la obligación de respetar al máximo los derechos fundamentales de los implicados, esto es, el derecho a la intimidad y el derecho al secreto de las comunicaciones recogidos en el Artículo 18 de la Constitución Española.
Ambas cuestiones se resuelven mediante un único procedimiento, reconocido por diversas sentencias de los Tribunales españoles, como las sentencias de la Audiencia Provincial de Barcelona, de fecha 2 de febrero de 2006 y de fecha 9 de mayo de 2008. Se trata de las “búsquedas ciegas” por palabras clave, que garantizan por una parte, la discriminación de elementos personales, es decir, evitan la intromisión en los mencionados derechos fundamentales; y por otra, una reducción del tiempo de análisis y una revisión proporcional de las evidencias relacionadas con el objeto de la investigación. La correcta elección de las palabras clave, en base a los antecedentes descritos por el cliente, es el valor añadido que el perito aporta gracias a su experiencia previa.
Una vez localizados los rastros o documentos que contienen las mencionadas palabras clave, el analista forense ha de realizar una exhaustiva labor de revisión, documentación e interpretación técnica de los resultados que derivará en un Informe Pericial que podrá ser presentado como prueba ante un Tribunal y ser ratificado por el Perito. Es fundamental que el Informe esté redactado en un lenguaje “humano”, comprensible para los no expertos, de lo contrario, en vez de ayudar al Juez a tomar una decisión, le creará más confusión.
