La lógica y deducción usada por el famoso Sherlock Holmes para resolver crímenes no serviría de mucho en el mundo de hoy donde los delincuentes se valen de los instrumentos que brindan la ciencia y la tecnología para no dejar rastros que los conduzcan a ellos. Y aunque la técnica de deducción funcionara faltarían las evidencias necesarias para resolver el crimen e inculpar al criminal.

Sin embargo, los avances de esa misma ciencia y tecnología proporcionan las herramientas suficientes para reconstruir un caso y conseguir evidencias. Las modalidades de crimen como el ingenio han crecido a través de los tiempos y en la actualidad el cibercrimen es una de esas modalidades que ha surgido con la globalización del Internet y es la forma preferida por muchos para cometer fraudes, estafas, sabotaje, evasión de impuestos e incluso poner en práctica el espionaje corporativo.

Para capturar a delincuentes que creen que están a salvo de la ley, protegidos por el anonimato que ofrece la tecnología, y para evitar la fuga de información, principal activo de una empresa, se emplean las técnicas de computación forense.

Tras las huellas de la información

Al igual que en la serie de televisión SCI -Investigadores en la Escena del Crimen - los peritos de computación forense trabajan con las técnicas más modernas para recuperar información que permita tener evidencias sobre quién, cómo, cuándo y dónde se cometió un ilícito.


La investigación forense en computación es la aplicación de métodos y técnicas para obtener, analizar y preservar, evidencia digital susceptible de ser eliminada o sufrir alteraciones. Esto permite reunir pruebas para adelantar una acción penal.

“La computación forense es tan importante en el mundo informático hoy en día como lo es el auditor, aún más por la cantidad de incidentes que se pueden estar presentando dados: el posible anonimato que brinda Internet, la configuración insegura de determinados sistemas de información o las fallas inherentes a su funcionamiento” afirma Oscar Eduardo Ruíz, consultor en seguridad de Internet Solutions.

Son numerosos los riesgos a se ve avocada la información en una compañía. Generalmente los usuarios son administradores de sus propias máquinas e instalan programas que pueden poner en riesgo la información, violando la seguridad de la compañía. Igualmente, hay otras prácticas comunes como el chat que afecta directamente la productividad de los funcionarios y por ende a las empresas. Sin embargo; ambas actividades pueden ser fácilmente auditadas con técnicas de computación forense.

“Lo más típico hoy en día es el uso indebido de un sistema de información por un usuario que no es el autorizado y que por algún método pudo obtener el nombre de usuario acreditado y su clave para acceder a la información”, afirma Ruíz.

La fuga de información generalmente sucede porque pese a las medidas que toman las compañías para asegurar su hardware y software, no toman las suficientes para evitar los usos indebidos de los sistemas y evitar que esta información sea envíada a destinos no autorizados.

“Un usuario podría a comenzar a instalar software de captura de datos, los denominados “snifers” que son capturadores de passwords, contraseñas y conversaciones. Entonces puede investigar cuáles son las cuentas electrónicas o password de sus compañeros, bajar sus e-mails e incluso suplantarlos. Estas son cosas que pueden estar sucediendo en una compañía y casi nadie podría darse cuenta de lo que esta pasando” afirma Ruiz. “La computación forense permite determinar cómo fue la secuencia o cuáles son las pruebas para que una empresa emprenda una acción legal contra un empleado” agrega.

Desafortunadamente, muchos de los delitos informáticos no son denunciados por las empresas por miedo a ver afectada su reputación, poca confianza en las entidades de control o sencillamente por el desconocimiento de la existencia de unidades de control con grupos especializados.

Usos de la computación forense

Es importante para una empresa poder identificar las amenazas a las que está expuesta y adoptar las medidas pertinentes. La computación forense no sólo permite reconstruir el proceso de un ilícito, también permite hacer auditorías de sistemas detallados y una limpieza segura de los equipos.

En cuanto a los procesos ilícitos, no hay crimen perfecto. “Una persona pudo haber navegado, entrado por ejemplo a un sitio indebido, borrado el caché, haber hecho lo que en el nivel de conocimiento técnico puede ser haber borrado la evidencia, pero generalmente las personas no tienen conocimiento que ese no es un borrado físico sino es un borrado lógico. Dependiendo del valor de la información que se quiera recuperar y del tipo de caso se puede llegar a recuperaciones de tipo lógico e incluso de tipo físico”, afirma Ruiz.


“Estoy hablando que en caso de que por ejemplo destruyan un diskette si la información es tan importante como para enviar ese diskette a un laboratorio especializado para lograr la recuperación de datos se va a poder recuperar por propiedades electromagnéticas. Igual hay unos niveles para llegar a la parte física y a la parte lógica; sin embargo siempre hay evidencia. Cuando se utiliza una hand held, un teléfono celular, un zip drive, un dispositivo USB drive o cámaras fotográficas digitales, en todos estos equipos siempre va a quedar un registro de lo que fue el uso del sistema así se haya sobrescrito la información. Ese tipo de información queda indexada en alguna parte y permite determinar si el sistema alguna vez tuvo un archivo aunque ahora no lo tenga; pero estuvo ahí, el sistema guarda como un registro de su vida, es inherente al funcionamiento, igual sucede en un PC normal aunque ningún usuario lo pueda ver”.

En la actualidad existen varios programas de software, uno de ellos es EnCase, que son usados por las autoridades policiales para buscar evidencias digitales, recuperar datos borrados y archivos ocultos.

Existen herramientas de computación forense que permiten hacer datamining y correlación de eventos. Estos son usados por organismos de seguridad en el mundo para hacer triangulación e inteligencia y determinar con quien estuvo en contacto una persona.

Igualmente, hay entidades de control y recaudo de impuestos que tienen entidades de organismos de fiscalización que emplean la técnica forense en investigaciones especiales para casos de doble contabilidad; de esta forma verifican si la contabilidad que esta en un PC es única o si es que habían dos contabilidades y borraron una o buscar en otra PC que no sea de contabilidad si hubo un archivo contable.

Hacia donde va la computación forense
“Anteriormente, después de que pasaba un ilícito llevaban el disco duro o después de que no había vuelto a arrancar un equipo por algún motivo pasaba el perito forense a revisarlo, post-morten, hoy en día el concepto de computación forense va más allá, a tratar de prevenir que suceda un ilícito a través del monitoreo de comportamiento de un intruso que va a cometer el delito informático. El que va a cometer el delito normalmente tiene un modus operandi que es fácilmente rastreable si se tienen las herramientas adecuadas”

Delitos informáticos

Los ataques virtuales y delitos informáticos al igual que los delitos comunes y corrientes del mundo real, son analizados por unidades o laboratorios de computación forense en todo el planeta, los cuales buscan encontrar a los culpables y condenarlos.