Introducción
Cada investigación requiere de herramientas y métodos que puedan demostrar solvencia y validez. En el ámbito de la informática forense, es determinante que las herramientas utilizadas estén debidamente homologadas, mostrando niveles de eficiencia e integridad que ganen el respeto de la comunidad de profesionales técnicos, investigadores y del sistema judicial.
Además, es esencial considerar los métodos de trabajo. En este sentido, Francisco Lázaro Domínguez, en su libro Introducción a la Informática Forense, establece 6 requerimientos especiales que toda investigación debe cumplir:
Aceptabilidad
Las herramientas y los métodos utilizados por el investigador deben ser reconocidos y aceptados por otros profesionales en el campo. No siempre hay que confiar en la última tecnología, ya que lo nuevo no siempre es lo mejor. Es preferible usar herramientas y métodos que ya han sido probados y que tienen una buena reputación. Si un método es realmente bueno, otros investigadores ya lo estarían usando.
Ejemplo: si un investigador decide utilizar la herramienta X para el análisis forense de un disco duro, pero ningún otro investigador forense reconocido ha utilizado o validado esta herramienta, los resultados obtenidos podrían ser cuestionados y no aceptados en un tribunal. En cambio, si el investigador utiliza una herramienta ampliamente reconocida y utilizada como EnCase o FTK, la aceptabilidad de los resultados estará prácticamente garantizada.
Integridad
Las pruebas deben mantenerse intactas y sin sufrir alteraciones. Habitualmente, el medio de almacenamiento, ya sea un disco duro, pendrive o CD/DVD, se sella después de generar tres copias cuyo hash debe coincidir. Una de estas copias será utilizada por el investigador para realizar su análisis. Otra se conservará como respaldo y la tercera se entregará a la parte contraria para que pueda llevar a cabo sus propias investigaciones, expresar su opinión o elaborar un contrainforme.
Ejemplo: Imaginemos un caso de fraude informático en el cual se incautó un disco duro como evidencia. Primero, se generan tres copias exactas del contenido del disco duro, verificando que los hashes de cada copia sean idénticos para asegurar su integridad. El investigador forense analizará una de estas copias para buscar pistas y rastros del fraude. La segunda copia se guarda en un lugar seguro como respaldo. Finalmente, la tercera copia se proporciona a los abogados de la parte acusada para que sus peritos puedan verificar la información, ofrecer su análisis y, si lo consideran necesario, presentar un contrainforme.
Credibilidad
Es fundamental que cualquier acción realizada sea demostrable. No es suficiente utilizar un software del cual se desconoce su funcionamiento, salvo que se sepa que produce ciertos resultados con ciertos datos. El investigador debe demostrar un conocimiento adecuado de las herramientas que utiliza para poder explicar de manera comprensible los resultados obtenidos.
Ejemplo: Imaginemos un caso de análisis de malware donde se utiliza una herramienta de análisis de tráfico de red. No es suficiente con simplemente mostrar los resultados del análisis; el investigador debe ser capaz de explicar cómo la herramienta procesa los datos y cómo se llega a las conclusiones. Por ejemplo, si se detecta una conexión sospechosa a un servidor remoto, el investigador debe ser capaz de demostrar cómo la herramienta identificó esta conexión y proporcionar una explicación detallada del proceso. Esto podría incluir mostrar las reglas de detección, los algoritmos utilizados y cualquier otra información relevante que valide la credibilidad del análisis realizado.
Relación causa-efecto (causalidad)
No es tarea del investigador determinar la culpabilidad o responsabilidades de las personas implicadas en los hechos. Sin embargo, los métodos utilizados por el investigador deben permitir explicar los acontecimientos en términos de causa y efecto.
Ejemplo: Imaginemos un caso de intrusión en una red corporativa. El investigador de informática forense descubre que la brecha de seguridad comenzó con un correo electrónico de phishing que contenía un enlace malicioso. Cuando un empleado hizo clic en el enlace, se instaló un software espía en su computadora. Este software permitió al atacante obtener credenciales de acceso y, posteriormente, infiltrarse en la red corporativa.
En este escenario, aunque el investigador no debe concluir quién es responsable, su análisis permite establecer una relación de causa y efecto: el phishing fue la causa inicial, la instalación del software espía fue el efecto inmediato, y la posterior infiltración en la red corporativa fue el resultado final. Esta explicación en términos de causa y efecto proporciona una comprensión clara de cómo ocurrió el incidente, ayudando a otros a evaluar posibles responsabilidades y medidas preventivas.
Carácter de repetible
Este requisito es fundamental y se entiende por sí mismo. Independientemente de los métodos de trabajo empleados o de la persona que realice la investigación, los mismos datos de entrada deben producir los mismos resultados.
Ejemplo: Imaginemos un caso donde se necesita analizar un archivo de registro de una computadora comprometida. Se utilizan tres herramientas diferentes de análisis forense para evaluar el archivo de registro, cada una ejecutada por distintos investigadores en diferentes momentos. Si el carácter repetible se cumple, todos los investigadores, independientemente de la herramienta utilizada, deberían obtener los mismos resultados al analizar el archivo de registro. Esto puede incluir la identificación de la misma hora de acceso no autorizado, los mismos cambios en el sistema y la misma secuencia de eventos que llevaron a la brecha de seguridad. La consistencia en los resultados valida la fiabilidad del análisis forense y la integridad de los métodos utilizados.