La investigación informática forense

Carlos B Fernández.

La búsqueda, obtención y análisis de las evidencias digitales que permitan fundamentar una
pretensión ante los tribunales, es una de las cuestiones de mayor dificultad técnica y jurídica de
la actualidad.

La obtención de la prueba digital

La obtención y análisis de las evidencias digitales se realiza por las unidades especializadas de
las fuerzas y cuerpos de seguridad, como las unidades de investigación tecnológica de la
Guardia Civil (que cuenta con el Grupo de Delitos Telemáticos - GDT y los Equipos de
Investigación Tecnológica - EDITE, encuadrados en las Unidades Orgánicas de Policía Judicial
de la Guardia Civil desplegadas a nivel provincial.).

El director adjunto operativo de este cuerpo, teniente general Pablo Martín Alonso, destacó
que esta actividad se realiza bajo los principios de integridad de los datos, apoyo especializado y
legalidad.

En esta tarea es fundamental la preservación de la cadena de custodia, que asegure la integridad

y autenticidad de la prueba hasta el momento de la celebración del juicio oral.

Y para ello, dada la volatilidad de este tipo de materiales, es esencial, por un lado, contar con los
recursos técnicos adecuados y, por otro, que la manipulación del material intervenido se realice
por personal experto en la materia, que sepa tanto lo que se puede hacer como, muy
especialmente, lo que no se puede hacer con el mismo.

Se necesita una formación especializada y continua que asegure la implantación de una cultura
tecnológica, así como una estrecha colaboración entre los cuerpos de seguridad, la universidad y
la empresa privada que asegure la adaptación a un entorno en continuo cambio.

Además, dada la pluralidad de unidades que intervienen en este tipo de investigaciones, y el

carácter transnacional de muchas de ellas (consustancial a internet), resulta igualmente
importante la coordinación de actuaciones no solo entre las diferentes unidades implicadas, sino
también entre los distintos países y sus respectivos cuerpos, así como entre los diferentes
órganos judiciales, a fin de que las actuaciones realizadas en un país se puedan usar y ser válidas
en otro.

La importancia del tiempo en la investigación forense

En la actualidad, el dispositivo más valioso para la obtención de datos son los teléfonos
móviles. Su “apertura” y la extracción y análisis de la información contenida en los mismos se
enfrenta al reto principal de la rapidez. Según destacó el experto en investigación
informática Asher Rubel, si en las primeras 48 horas no se logra disponer de una prueba sólida,
las posibilidades de éxito de la investigación se reducen a la mitad.

Esto es particularmente preocupante si se tiene en cuenta además que muchos laboratorios

forenses se encuentran saturados de trabajo y que, dados el volumen, la velocidad de
transmisión la diversidad de los datos digitales manejaos, sus tiempos de respuesta son lentos.
De ahí la importancia de contar con herramientas que permitan un primer análisis in situ,
además de la colaboración entre los investigadores intervinientes.

Como señaló César García Jaramillo, CEO de OnRetrieval, el perito informática realiza su
trabajo por medio de unas herramientas, que pueden ser de hardware o de software, además de
con sus técnicas de investigación.

El objeto final de esta investigación es recopilar evidencias; facilitar el interrogatorio del

sospechoso; refutar su coartada; facilitar la colaboración cruzada con los demás investigadores e
identificar la red de contactos del sospechoso.

Para ello, el flujo de trabajo forense sigue las siguientes fases: 1. Desbloqueo del dispositivo; 2.
Extracción de la información; 3. Decodificación y análisis de la información y 4. Aceleración
del proceso de investigación.

El desbloqueo ya se puede realizar automáticamente por algunas herramientas, que permiten el

acceso a unos 4.000 tipos diferentes de dispositivos, si bien los de última generación resultan
más complicados de acceder. En estos a menudo la encriptación se encuentra en el propio
dispositivo, por lo que no basta con extraer su contenido sino que hace falta disponer del propio
elemento físico.

La extracción de la información se realiza a tres niveles: una extracción lógica básica, que
permite acceder al registro de llamadas, mensajes, fotos, textos e información similar contenida
en el dispositivo; en segundo lugar, la de los archivos del sistema y, en tercer lugar, una
extracción física del contenido del terminal (los 1 y 0 que componen su contenido básico y que
puede alcanzar incluso sectores no reconocidos de su memoria).

La decodificación y análisis se orienta acceder a los datos del dispositivo, incluso los
hexadecimales, convirtiéndolos en formatos de información legibles que el perito puede utilizar
en su análisis.

En esta fase ya se están aplicando herramientas que permiten una revisión automatizada de los
datos extraídos, facilitando una visión centralizada de los mismos. Igualmente se aplica
herramientas basadas en la inteligencia artificial, como las de reconocimiento facial de alta
calidad; la identificación de objetos como armas, drogas o pornografía; la identificación de fotos
de lugares (todas ellas con el correspondiente identificador único Hash); las nubes de relaciones
de relaciones entre datos o la búsqueda de textos y ubicaciones.

Gracias a esta información se pueden reconstruir aspectos como la actividad realizada, la

ubicación del dispositivo, el historial de navegación, los perfiles personales del usuario y su
actividad social.

Las dificultades procesales de la pericial informática

Según destacó Pilar Rodríguez, fiscal adscrita en materia de criminalidad informática, la

informática forense es absolutamente necesaria para el desempeño de su labor para la
investigación de hechos que puedan ser constitutivos de delito. Pero para ser eficaz necesita
disponer de medios y recursos para realizar eficazmente su trabajo.

La reciente crisis económica ha limitado notablemente la capacidad de actuación de los cuerpos

de seguridad, cuyos departamentos de policía científica están saturados y tardan una media de 2
a 3 años en emitir sus informes, cuando una prueba es impugnada por la defensa. Por ello la
fiscalía no suele acudir a su peritaje salvo que le resulte indispensable.

La necesidad de recursos adecuados fue algo en lo que también se mostraron de

acuerdo Francisco Javier González, inspector jefe del servicio de criminalística de la Guardia
Civil y Juan Antonio Morán, Jefe del Servicio Técnico de logística de la Dirección General de
Policía, quienes destacaron la rapidez con la que evoluciona la tecnología y la necesidad de
permanente actualización de los cuerpos policiales, pues el reto de superar los obstáculos a la
investigación que interponen los delincuentes es cada vez mayor.

Además, los mandos policiales hicieron referencia a las dificultades que en ocasiones la propia
legislación procesal impone a su trabajo, por ejemplo por la exigencia de participación de los
letrados de la Administración de Justicia en las diligencias de registro de dispositivos.

En relación con estas dificultades de actuación, el magistrado Juan Antonio Toro indicó que
los cuerpos policiales deben cumplir con los requisitos legales mínimos en la realización de su
trabajo y posteriormente encajar los resultados en el marco del Convenio de Budapest sobre
ciberdelincuencia.