Cuando elimina un archivo del disco duro de su computadora, nunca desaparece. Con suficiente esfuerzo y habilidad técnica, a menudo es posible recuperar documentos y fotos que antes se creían borrados. Estos análisis forenses informáticos son una herramienta útil para la aplicación de la ley, pero ¿cómo funcionan realmente?
Establecer las bases legales
Antes de entrar en las malezas técnicas, vale la pena discutir los aburridos aspectos procesales y legales de la informática forense en el contexto de la aplicación de la ley.
Primero, disipemos el viejo mito de que siempre se requiere una orden judicial para que un agente de la ley examine un dispositivo digital como un teléfono o una computadora. Si bien ese es a menudo el caso, se pueden encontrar muchas "lagunas" (por falta de una mejor palabra) dentro de la estructura de la ley.
Muchas jurisdicciones, como el Reino Unido y los Estados Unidos, permiten a los funcionarios de aduanas e inmigración examinar los dispositivos electrónicos sin una orden judicial. Los oficiales fronterizos estadounidenses también pueden examinar el contenido de los dispositivos sin una orden judicial si se destruye un hilo inminente de evidencia, como lo afirma una sentencia del 11º Circuito de 2018 .
En comparación con sus homólogos estadounidenses, los policías del Reino Unido tienden a tener más margen para aprovechar el contenido de los dispositivos sin tener que presentar su caso ante un juez o magistrado. Pueden, por ejemplo, descargar el contenido de un teléfono mediante el uso de una legislación llamada Ley de evidencia criminal y policial (PACE) , independientemente de si se presentan cargos. Sin embargo, si la policía finalmente decide que desean examinar el contenido, necesitan la aprobación de los tribunales.
La legislación también otorga a la policía del Reino Unido el derecho de examinar los dispositivos sin una orden judicial en ciertas circunstancias donde existe una necesidad urgente, como en un caso de terrorismo, o donde existe un temor genuino de que un niño pueda ser explotado sexualmente.
Pero en última instancia, independientemente del "cómo", cuando se incauta una computadora, simplemente representa el inicio de un largo proceso que comienza con la extracción de una computadora portátil o teléfono en una bolsa de plástico resistente a la manipulación, y a menudo concluye con la presentación de evidencia en Un juzgado.
La policía debe cumplir con un conjunto de normas y procedimientos para garantizar la admisibilidad de las pruebas. Los equipos de informática forense documentan cada uno de sus movimientos para que, si es necesario, puedan repetir los mismos pasos y lograr los mismos resultados. Utilizan herramientas específicas para garantizar la integridad de los archivos. Un ejemplo es un "bloqueador de escritura", que está diseñado para permitir a los profesionales forenses extraer información sin modificar inadvertidamente la evidencia que se está examinando.
Es esa base legal y rigor procesal lo que determina si una investigación forense informática tendrá éxito, no la sofisticación técnica.
Bandejas móviles, cajas móviles
A pesar de los problemas legales, siempre es interesante tener en cuenta los muchos factores que pueden determinar la facilidad con la que la policía puede recuperar los archivos eliminados. Estos incluyen el tipo de disco que se está utilizando, si el cifrado estaba en su lugar y el sistema de archivos de la unidad.
Tome discos duros, por ejemplo. Aunque estos han sido superados en gran medida por unidades de estado sólido (SSD) más rápidas , las unidades de disco duro mecánicas (HDD) fueron el mecanismo de almacenamiento predominante durante más de 30 años.
Los discos duros utilizan platos magnéticos para almacenar datos. Si alguna vez ha desmontado un disco duro, probablemente haya observado cómo se parecen un poco a los CD. Son circulares y de color plateado.
Cuando están en uso, estos platos giran a velocidades increíbles, generalmente 5.400 o 7.200 RPM, y en algunos casos, tan rápido como 15,000 RPM. Conectados a estos platos hay "cabezas" especiales que realizan operaciones de lectura y escritura. Cuando guarda un archivo en la unidad, este "cabezal" se mueve a una parte específica del plato y transforma una corriente eléctrica en un campo magnético, cambiando así las propiedades del plato.
¿Pero cómo sabe a dónde ir? Bueno, analiza algo llamado tabla de asignación, que contiene un registro de cada archivo almacenado en un disco. Pero, ¿qué sucede cuando se elimina un archivo?
La respuesta corta? No mucho.
Aquí está la respuesta larga: el registro de ese archivo se elimina, lo que permite que el espacio que ocupaba en el disco duro se sobrescriba más tarde. Sin embargo, los datos permanecen físicamente presentes en los platos magnéticos y solo se eliminan realmente cuando se agregan nuevos datos a esa ubicación particular en el plato.
Después de todo, eliminarlo requeriría que el cabezal magnético se mueva físicamente a esa ubicación en el plato y lo sobrescriba. Eso podría obstaculizar otras aplicaciones y ralentizar el rendimiento de la computadora. En lo que respecta a los discos duros, es más simple pretender que los archivos eliminados simplemente no existen .
Eso hace que la recuperación de archivos eliminados sea mucho más fácil para las fuerzas del orden. Solo tienen que recrear las partes faltantes dentro de la tabla de asignación, que es algo que se puede hacer con herramientas gratuitas, incluida Recuva .
RELACIONADO: Cómo recuperar un archivo eliminado: la guía definitiva
Sólido (Estado) como una roca
Por supuesto, los SSD son diferentes. No contienen partes móviles. En cambio, los archivos se representan como electrones mantenidos por billones de transistores microscópicos de puerta flotante. Colectivamente, estos se combinan para formar chips flash NAND .
Los SSD tienen algunas similitudes con los HDD, en la medida en que los archivos solo se eliminan cuando se sobrescriben. Sin embargo, algunas diferencias clave complican inevitablemente el trabajo de los profesionales de informática forense. Y al igual que los HDD, los SSD organizan los datos en bloques, con un tamaño que varía enormemente entre los fabricantes.
La diferencia clave aquí es que para que un SSD escriba datos, el bloque debe estar completamente vacío de contenido. Para garantizar que el SSD tenga un flujo constante de bloques disponibles, la computadora emite algo llamado " comando TRIM ", que informa al SSD qué bloques ya no son necesarios.
Para los investigadores, significa que cuando intentan encontrar archivos eliminados en un SSD, pueden descubrir que la unidad los ha dejado inocentemente lejos de su alcance.
Las unidades SSD también pueden dispersar archivos a través de múltiples bloques en el disco para reducir la cantidad de desgaste ocasionado por el uso diario. Debido a que los SSD solo pueden resistir un número finito de escrituras , es importante que se distribuyan por la unidad, en lugar de en una ubicación pequeña. Esta tecnología se llama nivelación de desgaste y se sabe que dificulta la vida de los profesionales forenses digitales.
Luego está el hecho de que los SSD a menudo son más difíciles de visualizar, porque a menudo no puedes eliminarlos físicamente de un dispositivo.
Mientras que los discos duros son casi siempre reemplazables y están conectados a través de interfaces estándar, como IDE o SATA , algunos fabricantes de portátiles eligen soldar físicamente el almacenamiento en la placa base de la máquina. Hace que extraer los contenidos de manera forense sea mucho más difícil para los profesionales de la aplicación de la ley.
Las verdaderas complicaciones
Entonces, en conclusión: Sí, la policía puede recuperar los archivos que ha eliminado. Sin embargo, los avances en la tecnología de almacenamiento y el cifrado generalizado han complicado un poco las cosas.
Sin embargo, los problemas técnicos a menudo se pueden superar. Cuando se trata de investigaciones digitales, el mayor desafío que enfrentan las fuerzas del orden no son los mecanismos de las unidades SSD sino su falta de recursos.
No hay suficientes profesionales capacitados para hacer el trabajo. Y el resultado final es que muchas fuerzas policiales en todo el mundo se enfrentan a una demora aplastante de teléfonos, computadoras portátiles y servidores sin procesar.
Una solicitud de la Ley de Libertad de Información del periódico británico The Times mostró que las 32 fuerzas policiales en Inglaterra y Gales tienen más de 12,000 dispositivos pendientes de examen . El tiempo para procesar un dispositivo allí varía, de un mes a más de un año.
Y eso tiene consecuencias. La base de cualquier sistema de justicia penal justo es que a los acusados se les ofrece un juicio rápido. Como dice el refrán, la justicia retrasada es justicia denegada. Este principio es tan fundamentalmente importante que incluso está representado en la Sexta Enmienda a la constitución de los Estados Unidos.
Lamentablemente, no es un problema que se pueda solucionar fácilmente sin que las fuerzas gasten más dinero en reclutamiento y capacitación. No puedes resolverlo con más tecnología.
0 Comentarios