Una de las cosas más importantes que tienen que hacer las empresas es asegurarse de no estropear las pruebas buscando lo que hacía el empleado. En muchos casos, justo después de que alguien se marche, el director o alguien del departamento de informática revisará el ordenador para ver a qué archivos se ha accedido recientemente. El problema es que el empleado puede haber descargado archivos en CD para llevárselos. Si alguien navega por un ordenador para ver qué se ha robado, está alterando los metadatos del archivo, como la fecha en que se accedió a él por última vez. Puede hacer que un archivo que se grabó en un CD junto con otra colección de archivos tenga su fecha de último acceso alterada. En la informática forense, a menudo buscamos agrupaciones de archivos con fechas y horas similares. Por ejemplo, si alguien graba una serie de archivos en un CD, la hora de último acceso puede estar separada por un segundo en los archivos que se grabaron recientemente en un CD. A menudo, podemos averiguar qué se grabó en el CD mirando las fechas de acceso, porque cuando el ordenador lee el archivo para grabarlo en el CD, altera las fechas de acceso. El gestor que accede al ordenador para echar un vistazo acaba de hacer que se modifiquen las fechas de acceso, por lo que hace más difícil para los forenses reconstruir la información probatoria.

El paso más importante es asegurarse primero de que las pruebas no se alteren, y en la mayoría de las situaciones (por ejemplo, los sistemas operativos Windows), basta con desconectar el ordenador. Al desconectar el ordenador se evita el expolio de pruebas y se conservan las fechas de último acceso relevantes. Las excepciones son Linux, los servidores y otras estructuras de archivos más complejas que no se recuperan bien de una pérdida de energía.

Si alguien necesita reutilizar el ordenador, debería retirar el disco duro en cuestión y comprar un nuevo disco duro para el ordenador. De este modo, las pruebas se conservan razonablemente. Pueden guardar el disco duro de pruebas en un sobre sellado con una firma y una cinta adhesiva transparente, y así cualquier alteración de las pruebas puede ser detectada por la manipulación del paquete.

¿Cuál es el método más eficaz para autentificar las pruebas?

El primer paso para autentificar las pruebas es contactar con un perito de informática forense para preservar las pruebas originales retirándolas del uso normal y sellándolas para evitar posibles manipulaciones. Una vez que se conservan las pruebas, hay que hacer una copia forense que no altere el original. La copia es utilizada por los expertos para realizar su análisis. Antes de realizar el análisis, las pruebas deben ser autentificadas. Autenticar las pruebas, en esencia, es certificar que la copia es exactamente igual al original.

En nuestra profesión, se utiliza un valor hash para autentificar las pruebas. Un valor hash se genera cuando se aplica un algoritmo hash contra una colección de 0’s y 1’s que existen como datos en un disco duro o cualquier otro tipo de medio de almacenamiento. Ese valor es tal que la alteración de un solo carácter en un documento de Word, por ejemplo, el cambio de una S mayúscula a una s minúscula, provocaría la alteración de la colección de 0’s y 1’s en el medio de almacenamiento. Esto haría que el valor hash generado fuera algo totalmente diferente. Por lo tanto, cuando copiamos datos, estamos copiando todos los 0 y 1 en el nivel más micro del medio de almacenamiento. Estamos aplicando el algoritmo hash, y como resultado final, estamos obteniendo un valor hash único, que es muy parecido a una huella digital. Después de copiar, aplicamos ese mismo algoritmo a la copia, para el mismo número de sectores. Si los valores hash coinciden, sabemos que tenemos una copia perfecta. Una vez que hemos copiado las pruebas y las hemos autentificado, estamos listos para trabajar con los datos.

Si el juez permite el descubrimiento electrónico sin limitaciones, ¿es aconsejable pedir una impresión de todos los archivos del ordenador?

Antes de hacer una impresión, tiene mucho sentido aplicar la tecnología para eliminar mucha de la información innecesaria. Una característica exclusiva de la informática forense es la capacidad de saber primero lo que hay en el disco duro: los archivos que existen en el disco duro, borrados o no, cuándo se accedió a ellos y se crearon, su tamaño, etc. Ese es un gran punto de partida porque permite evaluar, si se imprimen los archivos, cuántas páginas resultarían y cuál es el universo de datos.

Una vez que se sabe lo que hay en el disco duro, se puede realizar un análisis de hash mediante el cual analizamos el valor de hash de cada archivo individual y comparar la huella digital del archivo individual con la base de datos del NIST (Instituto Nacional de Ciencia y Tecnología), que publica una base de datos con los valores de hash o huellas digitales de todos los archivos conocidos que existen. La base de datos hash del NIST contiene los archivos que aparecen en los CD del sistema operativo y en las aplicaciones de software. Después de analizar y comparar todos los archivos del disco duro del sujeto con esta base de datos, se puede eliminar gigabytes de información que no son en absoluto pertinentes para los datos creados por ese usuario. Se puede eliminar esos archivos de la lista, lo que elimina los archivos de texto de ayuda inútiles y otros archivos que vienen con el ordenador. Eso ahorra al cliente mucho tiempo, además de dinero.