Ordenadores y Portátiles
Informatica forense
Informatica forense

Fases en una investigación de informática forense

El científico en computadoras y experto reconocido en  informática forense, Judd Robbins, nos da una lista de los pasos que deberían seguir los investigadores para recuperar evidencias en un ordenador sospechoso de tener pruebas delictivas. Por supuesto, cada grupo de investigadores, dependiendo del cuerpo y el país, tendrán variaciones sobre los métodos a utilizar, pero el método de Robbins está mundialmente reconocido:

  • Asegurar el sistema informático para mantener el equipo y los datos a salvo. Esto significa que los investigadores deben asegurarse de que individuos no autorizados puedan acceder al ordenador, o a los dispositivos de almacenamiento dentro de la investigación. Si el sistema informático se conecta a Internet, dicha conexión debe ser cancelada.
  • Se debe encontrar todos los ficheros y archivos del sistema, incluyendo aquellos que están encriptados, protegidos con contraseña, escondidos o borrados, pero que no estén todavía sobrescritos. Los investigadores deben hacer una copia de todos los archivos del sistema. Con esto queremos decir, tanto del disco duro como todos los demás dispositivos que puedan almacenar información. Al poder alterar un archivo cuando accedemos a el, es importante para los investigadores trabajar solamente con copias mientras se busca evidencias. El sistema original debe permanecer intacto.




  • Hay que recuperar toda la información borrada que se pueda, usando aplicaciones que pueden detectar dicha información y hacerla disponible de nuevo para su visionado.
  • Se debe revelar el contenido de ficheros y archivos ocultos, con programas espacialmente diseñados para esta función.
  • Desencriptar y acceder a información protegida.
  • Analizar áreas especiales de los discos del ordenador, incluyendo las partes que normalmente no están accesibles. En términos de informática, el espacio no usado en los discos de un ordenador, se llama espacio no localizado. Dicho espacio podría contener archivos o partes de ficheros que son relevantes al caso.
  • Hay que documentar cada paso del procedimiento. Es importante para los investigadores mostrar pruebas de que sus investigaciones han preservado toda la información del sistema informático sin cambiar o dañar nada. Puede pasar años entre una investigación y el juicio, y sin la documentación apropiada, puede que las pruebas no sean admisibles. Robbins dice que la documentación no solo debería incluir los archivos y los datos recuperados del sistema, sino también un informe de la condición física del sistema, y si algún dato estaba encriptado u oculto.

Todos estos pasos son importantes, pero el primero es crítico. Si los investigadores no pueden probar que han asegurado su sistema informático, las evidencias encontradas podrían no valer de nada. Es un trabajo complejo. En los primeros años en la historia del ordenador, el sistema podía incluir solo un PC y unos cuantos disquetes. Hoy en día, puede incluir varios ordenadores, discos, dispositivos externos de almacenamiento, periféricos, y servidores Web.

Los que comenten delitos informáticos, han encontrado maneras de hacer más difícil el seguimiento de los investigadores para que puedan encontrar información. Usan programas y aplicaciones conocidas como anti-forenses. Los investigadores deben conocer estas herramientas de software, y saber como deshabilitarlas sin quieren tener éxito accediendo a la información. En la siguiente sección de este curso rápido sobre informática forense, veremos en qué consisten estos programas anti-forenses. Encuéntralo pulsando aquí.

Leer mas artículos relacionados

Artículos relacionados

¿En qué consisten los delitos informáticos?
Los delitos informáticos han ido en progreso en los últimos años y esto lo podemos ver en los medios de comunicación o simplemente navegando por Internet. ¿Qué tipos existen? Lo veremos en este artículo...