Cuando eliminas un archivo del disco duro de tu computadora, nunca desaparece. Con suficiente esfuerzo y habilidad técnica, a menudo es posible recuperar documentos y fotos que antes se creían borrados. Estos análisis forenses informáticos son una herramienta útil para las fuerzas del orden, pero ¿cómo funcionan realmente?
Tabla de contenido
Sentar las bases legales
Antes de entrar en los aspectos técnicos, vale la pena discutir los aburridos aspectos procesales y legales de la informática forense en el contexto de la aplicación de la ley.
Primero, disipemos el viejo mito de que siempre se requiere una orden judicial para que un oficial de la ley examine un dispositivo digital como un teléfono o una computadora. Si bien ese es a menudo el caso, se pueden encontrar muchas «lagunas» (por falta de una palabra mejor) dentro del tejido de la ley.
Muchas jurisdicciones, como el Reino Unido y los Estados Unidos, permiten que los funcionarios de aduanas e inmigración examinen dispositivos electrónicos sin una orden judicial. Los oficiales fronterizos estadounidenses también pueden examinar el contenido de los dispositivos sin una orden judicial si hay un hilo inminente de evidencia que se está destruyendo, como lo afirma una sentencia del 11 ° Circuito de 2018.
En comparación con sus homólogos estadounidenses, los policías del Reino Unido tienden a tener más margen de maniobra para incautar el contenido de los dispositivos sin tener que presentar su caso ante un juez o magistrado. Pueden, por ejemplo, descargar el contenido de un teléfono mediante una legislación denominada Ley de pruebas policiales y penales (PACE), independientemente de que se presenten cargos. Sin embargo, si la policía finalmente decide que desea examinar el contenido, necesita la aprobación de los tribunales.
Legislación también otorga a la policía del Reino Unido el derecho a examinar dispositivos sin una orden judicial en determinadas circunstancias en las que existe una necesidad urgente, como en un caso de terrorismo, o cuando existe un temor genuino de que un niño pueda ser explotado sexualmente.
Pero en última instancia, independientemente del «cómo», cuando se confisca una computadora, simplemente representa el comienzo de un largo proceso que comienza con la extracción de una computadora portátil o un teléfono en una bolsa de plástico resistente a la manipulación y, a menudo, concluye con la presentación de pruebas en una sala de audiencias.
La policía debe adherirse a un conjunto de reglas y procedimientos para garantizar la admisibilidad de las pruebas. Los equipos de informática forense documentan cada uno de sus movimientos para que, si es necesario, puedan repetir los mismos pasos y lograr los mismos resultados. Utilizan herramientas específicas para garantizar la integridad de los archivos. Un ejemplo es un «bloqueador de escritura», que está diseñado para permitir a los profesionales forenses extraer información sin modificar inadvertidamente la evidencia que se examina.
Es esa base legal y el rigor procesal lo que determina si una investigación forense informática tendrá éxito, no la sofisticación técnica.
Plataformas móviles, Cajas móviles
Independientemente de las cuestiones legales, siempre es interesante tener en cuenta los muchos factores que pueden determinar la facilidad con la que las fuerzas del orden pueden recuperar los archivos eliminados. Estos incluyen el tipo de disco que se está utilizando, si el cifrado estaba en su lugar y el sistema de archivos de la unidad.
Tomemos los discos duros, por ejemplo. Aunque estos han sido superados en gran medida por unidades de estado sólido (SSD) más rápidas, las unidades de disco duro mecánicas (HDD) fueron el mecanismo de almacenamiento predominante durante más de 30 años.
Los discos duros usaban platos magnéticos para almacenar datos. Si alguna vez ha desmontado un disco duro, probablemente haya observado cómo se parecen un poco a los CD. Son circulares y de color plateado.
Cuando están en uso, estos platos giran a velocidades increíbles, generalmente de 5.400 o 7.200 RPM y, en algunos casos, hasta 15.000 RPM. Conectados a estos platos hay “cabezales” especiales que realizan operaciones de lectura y escritura. Cuando guarda un archivo en la unidad, este «cabezal» se mueve a una parte específica del plato y transforma una corriente eléctrica en un campo magnético, cambiando así las propiedades del plato.
Pero, ¿cómo sabe adónde ir? Bueno, mira algo llamado tabla de asignación, que contiene un registro de cada archivo almacenado en un disco. Pero, ¿qué sucede cuando se elimina un archivo?
¿La respuesta corta? No mucho.
Aquí está la respuesta larga: el registro de ese archivo se elimina, lo que permite que el espacio que ocupaba en el disco duro se sobrescriba más tarde. Sin embargo, los datos permanecen físicamente presentes en los platos magnéticos y solo se eliminan realmente cuando se agregan nuevos datos a esa ubicación particular en el plato.
Después de todo, eliminarlo requeriría que el cabezal magnético se mueva físicamente a esa ubicación en el plato y lo sobrescriba. Eso podría obstaculizar otras aplicaciones y ralentizar el rendimiento de la computadora. En lo que respecta a los discos duros, es más sencillo fingir que los archivos eliminados simplemente no existen.
Eso hace que la recuperación de archivos eliminados sea mucho más fácil para las fuerzas del orden. Solo tienen que recrear las partes que faltan dentro de la tabla de asignación, que es algo que se puede hacer con herramientas gratuitas, incluidas Recuva.
Sólido (estado) como una roca
Por supuesto, los SSD son diferentes. No contienen partes móviles. En cambio, los archivos se representan como electrones sostenidos por billones de transistores de puerta flotante microscópicos. En conjunto, estos se combinan para formar chips flash NAND.
Los SSD tienen algunas similitudes con los HDD, en la medida en que los archivos solo se eliminan cuando se sobrescriben. Sin embargo, algunas diferencias clave complican inevitablemente el trabajo de los profesionales de la informática forense. Y al igual que los discos duros, los SSD organizan los datos en bloques, y el tamaño varía enormemente entre los fabricantes.
La diferencia clave aquí es que para que un SSD escriba datos, el bloque debe estar completamente vacío de contenido. Para asegurarse de que el SSD tenga un flujo constante de bloques disponibles, la computadora emite algo llamado «comando TRIM», que informa al SSD qué bloques ya no son necesarios.
Para los investigadores, significa que cuando intentan encontrar archivos eliminados en una SSD, pueden encontrar que la unidad los ha puesto inocentemente mucho más allá de su alcance.
Los SSD también pueden dispersar archivos en varios bloques en la unidad para reducir la cantidad de desgaste ocasionado por el uso diario. Debido a que las SSD solo pueden soportar un número finito de escrituras, es importante que estén distribuidas en la unidad, en lugar de en una ubicación pequeña. Esta tecnología se llama nivelación del desgaste y se sabe que dificulta la vida de los profesionales de la ciencia forense digital.
Luego está el hecho de que las SSD a menudo son más difíciles de crear, porque a menudo no se pueden eliminar físicamente de un dispositivo.
Mientras que los discos duros casi siempre son reemplazables y están conectados a través de interfaces estándar, como IDE o SATA, algunos fabricantes de portátiles optan por soldar físicamente el almacenamiento a la placa base de la máquina. Hace que la extracción de contenido de una manera forense sólida sea mucho más difícil para los profesionales de las fuerzas del orden.
Las verdaderas complicaciones
Entonces, en conclusión: sí, las fuerzas del orden pueden recuperar los archivos que ha eliminado. Sin embargo, los avances en la tecnología de almacenamiento y el cifrado generalizado han complicado un poco las cosas.
Sin embargo, los problemas técnicos a menudo se pueden superar. Cuando se trata de investigaciones digitales, el mayor desafío al que se enfrentan las fuerzas del orden no son los mecanismos de las unidades SSD, sino su falta de recursos.
No hay suficientes profesionales capacitados para hacer el trabajo. Y el resultado final es que muchas fuerzas policiales de todo el mundo se enfrentan a una enorme acumulación de teléfonos, computadoras portátiles y servidores sin procesar.
Una solicitud de la Ley de Libertad de Información del periódico británico The Times mostró que las 32 fuerzas policiales de Inglaterra y Gales han más de 12.000 dispositivos pendientes de examen. El tiempo para procesar un dispositivo allí varía, desde un mes hasta más de un año.
Y eso tiene consecuencias. La base de cualquier sistema de justicia penal justo es que los acusados tengan un juicio rápido. Como dice el refrán, justicia demorada es justicia denegada. Este principio es tan fundamentalmente importante que incluso está representado en la Sexta Enmienda a la constitución de Estados Unidos.
Lamentablemente, no es un problema que se pueda solucionar fácilmente sin que las fuerzas gasten más dinero en reclutamiento y capacitación. No se puede resolver con más tecnología.