Autoría de documentos encontrados en

un computador
Escrito por Administrator
Martes 25 de Noviembre de 2008 15:44

Autoría de documentos encontrados en un computador

Enviado por raymondorta in informatica forense, criminalistica

Es posible determinar la autoría de documentos encontrados en un

computador
Los computadores personales y los hechos jurídicos informáticos
La mayoría de las normativas procesales de Ibero América permiten
incorporar hechos jurídicos tecnológicos al proceso como medios probatorios
Raymond J. Orta Martínez*
Los hechos jurídicos informáticos son aquellos que se verifican a través de las
nuevas tecnologías de información. El computador personal o PC puede ser
considerado casi un producto de consumo masivo como el televisor. Los PC
de tipo portátil o Laptop están reemplazando a los equipos de escritorio por su
versatilidad y capacidades, que en muchos casos son superiores a estos.
Los medios probatorios convencionales establecidos en la mayoría de las
normativas procesales de Ibero América, permiten incorporar al proceso los
hechos jurídicos tecnológicos.

En un computador personal se pueden realizar, enviar y recibir diversos tipos

de documentos electrónicos, realizar diversas clases de comunicaciones, como
la mensajería instantánea o chat, así como el envío y recepción de mensajes
de datos típicos como correos electrónicos, imágenes, y hasta es posible
realizar telecomunicaciones de voz y video que pueden ser de interés
probatorio.

Medios probatorios típicos sobre tecnologías e información

La experticia informática es el primero de los medios probatorios que
consideramos conducentes para probar hechos relacionados con
computadores de todo tipo. Las pericias informáticas pueden recaer sobre
diversos aspectos del contenido de un computador, y prácticamente sobre
cualquier tipo de programa, software, correos electrónicos y otros documentos
que pueden incluirse en bases de datos.
En estos casos se debe solicitar a los expertos que se pronuncien sobre
aspectos que pueden estar relacionados con el origen o procedencia de los
documentos electrónicos, su calidad o características individualizantes,
solicitando que se hagan comparaciones sobre su naturaleza o constitución, en
algunos casos, como en los de violación de derechos de autor, por ejemplo.

Autenticidad de mensajes de datos y correos electrónicos

Uno de los medios de intercambio de información más comunes de un
computador personal es el correo electrónico, para el cual se pueden utilizar
programas que sirven para redactar y leer mensajes de datos, o bien se puede
hacer a través de páginas web destinadas a estos fines.

El envío de un mensaje de datos vía correo electrónico implica la captación

oculta de la dirección IP del usuario emisor, que no es mas que una
identificación electrónica única a nivel mundial, asignada en ese momento a la
conexión de quien envía el mensaje de datos. Es por ello que es muy difícil
encontrar una falsificación exitosa de este tipo de documentos electrónicos,
porque deben verificarse los datos de conexión entre uno y otro.

En el caso de los computadores personales portátiles, estos pueden

conectarse individualmente vía telefónica con un modem, o bien a través de
una conexión ADSL o banda ancha, que físicamente se ubican por la dirección
del número de teléfono que se utiliza para conectarse. En otros casos la
conexión se hace a través de una red local alambica o inalámbrica, de forma
inalámbrica individual a través de sistemas de empresas de telefonía celular y
también a través de conexiones a Internet de tipo satelitales.

Cuando se pretenden practicar pruebas sobre uno o varios mensajes de datos

en un computador, la verificación de las direcciones IP debe hacerse por
separado en cada correo, e igualmente hacer el rastreo del origen de los
mensajes recibidos conforme a estos datos.

Inicialmente se puede individualizar el país de origen y la empresa de conexión

a la cual se deberán solicitar las referencias particulares de la dirección IP
conseguida en el mensaje de datos para la fecha y hora de conexión,
debiéndose tomar en consideración los husos horarios de cada país.

Experticias sobre archivos, imágenes y documentos creados en un computador

La mayoría de los programas o aplicaciones informáticas permiten guardar los
archivos que producen. Es importante mencionar que la mayoría de los
programas guardan en estos archivos información adicional del computador y
por ende, del usuario (meta datos).

La información que se introduce en un computador al momento de la

instalación del sistema operativo y programas adicionales, quedan registradas
por archivos que se crean en el computador, lo cual sirve a los fines de
identificación de origen de los documentos electrónicos.

A su vez, el sistema operativo tiene varios componentes que registran y

preservan toda la actividad en el computador, por lo que uno de los elementos
de la investigación y pruebas informáticas debe ser la identificación de los
datos registrados por los usuarios o por los técnicos en la instalación o
personalización.
Los meta datos generados por los programas y aplicaciones dentro los
archivos, contienen información sobre la fecha y hora de creación, modificación
y edición, así como de los usuarios que han intervenido en el proceso, lo cual
se utiliza para saber si archivos originales fueron alterados posteriormente.

Análisis de archivos digitales de hechos jurídicos no informáticos

Otro de los aspectos importantes relacionados con el análisis de archivos
digitales a efectos jurídicos se relaciona con los problemas probatorios de
autenticidad de todo tipo de archivos generados por aparatos digitales como
cámaras fotográficas, de video, audio y otros de naturaleza digital.

Supongamos que en un procedimiento policial se han grabado una serie de

conversaciones telefónicas, de videos, o se han tomado fotografías con
aparatos que utilicen medios de almacenamiento digital. Desde el punto de
vista jurídico conocemos que la legitimidad de cualquier medio probatorio de
este tipo, se sustenta en la legalidad, procedencia y conducencia, para lo que
deben verificarse los supuestos de ley.

Una de las primeras defensas que se presenta comúnmente contra la

evidencia digital de cualquier naturaleza, está relacionada con la fidelidad y
veracidad de los archivos capturados por los funcionarios policiales y por las
partes, sosteniéndose en muchos casos que la evidencia ha sido forjada,
manipulada o alterada.
Todos estos archivos guardan además los metadatos típicos, como por ejemplo
la hora de producción. Muchas cámaras fotográficas y de vídeo digital pueden
configurarse además para que incorporen en los elementos perceptibles, como
las imágenes, datos como fecha, hora y otras leyendas que pueden ser
consideradas como indicios.

Adicionalmente existen programas y aditamentos técnicos destinados a

proteger los archivos digitales capturados por equipos electrónicos, para que
no puedan ser objeto de manipulación posterior a la fase de captura, pero la
verificación de la meta data en muchos casos puede ser suficiente para
establecer un forjamiento, alteración o modificación de archivos digitales.

Captura de evidencia digital y cadena de custodia de un computador

Para la informática forense como disciplina criminalística son importantes
muchos aspectos al momento de estudiar las evidencias. Lo primero es que se
haya resguardado bien la evidencia física. Deben realizarse sobre los medios
de almacenamiento objeto de experticia operaciones de copiado exacto bit a bit
para duplicar el contenido y debe peritarse sobre las copias.

El resguardo de la evidencia y la cadena de custodia debe comenzar desde la

identificación plena, desde el inicio del procedimiento, con la identificación del
computador y sus componentes de almacenamiento, para que se pueda
demostrar que se trata, por ejemplo, del mismo disco duro que estaba presente
en el computador hallado supuestamente en el sitio del suceso y que es el
origen de la copia utilizada para peritar.
Para hacer este tipo de análisis no se pueden encender los computadores ni se
debe iniciar el sistema operativo, sino que deben tomarse los discos duros,
duplicarse y trabajar sobre los duplicados en otro computador".

Los peritos en informática forense deben utilizar programas que solo funcionan
bajo la modalidad de lectura para que no alteren la evidencia. Lo más
importante en este tipo de casos, es que el manejo de esos datos se haya
realizado de manera "científica", para poder establecer su autenticidad
siguiendo protocolos aceptados internacionalmente.

Así como se han establecido mecanismos de seguridad para el reconocimiento

de vehículos, existe un sistema análogo en los computadores y sus
componentes. Aparte de los seriales externos presentes en las cajas de los
computadores de marca, muchos de los componentes internos tienen seriales
individuales, que pueden ser de marcas distintas a la que aparece en la parte
exterior del computador.

Los discos duros, memorias volátiles o RAM, tarjetas de sonido, de red,

unidades de disco flexible, CD ROM o DVD tienen seriales también. Aun
cuando dos computadores sean de la misma marca y modelo, pueden ser
diferenciados físicamente desde el punto de vista probatorio.

La identificación del disco duro es esencial para la validez de cualquier medio

probatorio relacionado con experticias o inspecciones directas de equipos, toda
vez que la identificación de la evidencia desde el punto físico es esencial para
la cadena de custodia, e igualmente para cumplir con los requisitos de
identificación de los objetos sobre los cuales se realiza una pericia.

Desde el punto de vista del software existen maneras de individualizar los

programas instalados en una máquina, los cuales distinguirán a un equipo de
una manera tan importante como los seriales de hardware.

Cada vez que se instala el sistema operativo y los programas adicionales se

inscribe en diversas partes una especie de serial electrónico o identificación,
que muchas veces se incorpora automáticamente en la instalación, o bien se
agregan cuando se requiere que usuario coloque claves o "llaves" de
instalación.

Identificación de medios magnéticos

Las investigaciones penales y las pruebas civiles están y estarán relacionadas
con los medios de almacenamiento en donde se guarda la información. Discos
duros, discos flexibles, memorias intercambiables de equipos de audio,
fotografías y video, así como todo tipo de unidades de almacenamiento
externo tienen grabados o impresos seriales identificativos. Hasta los discos
compactos y DVD llevan impresos seriales en la parte interna que pueden no
solamente servir para resguardar la cadena de custodia y los derechos de los
investigados, sino que contactando al fabricante o distribuidor pueden
establecerse datos probatorios interesantes como la fecha de producción,
distribución y otros de interés para la informática forense.

Integridad de los datos digitales

Respecto a lo que significa el estudio para determinar si hubo manipulación de
los documentos digitales, deben analizarse las características de lo que fue la
operación del computador durante el tiempo que estuviera activado, y deben
revisarse los meta datos del sistema operativo y de los archivos para
establecer las posibles fecha de creación y modificación. Las incongruencias
determinan si hubo o no alguna alteraciones o si existen agregados al sistema
de archivos y almacenamiento.

Es difícil, pero no imposible, el determinar la autoría de los documentos que

pudieran encontrarse en un computador. Es posible que en un solo computador
trabajen diez personas, o que lo haya utilizado alguien que no estuvo
autorizado para utilizarlo. La autoría de un documento digital debe ser
complementada con otros elementos. Pueden intervenir otras disciplinas
criminalísticas para activar e identificar las huellas digitales que estaban en el
teclado de esos computadores, a fin de comprobar el uso del equipo por una
persona determinada.
En definitiva la informática forense es una especialidad criminalística que tiene
que ver con la investigación criminal y los delitos informáticos. La misma
requiere no sólo de conocimientos jurídicos generales y de la especialidad de
delitos informáticos, sino además de conocimientos sobre informática o
computación, de investigación criminal y policial.

Esta disciplina se encarga de la captura, estudio y análisis de la evidencia

digital para ser utilizada en procesos judiciales. Se utiliza para probar todo tipo
de hechos que tengan que ver con el mundo jurídico donde estén involucradas
nuevas tecnologías o computadores.
* Perito en Informática Forense
Especialista en Derecho Procesal
y en Tecnologías Gerenciales
casos @ informaticaforense.com