Forense Digital. La huella informática. Parte 4
Incorporación de especialistas: una necesidad, no una opción
Aunque la tecnología informática está hoy ampliamente difundida, esto no significa que junto con su accesibilidad haya aumentado también el conocimiento general sobre su funcionamiento. El entendimiento sobre la estructura y operación de los ordenadores, lamentablemente, no acompaña su uso masivo.
Las tecnologías de la información modernas buscan simplificar la interacción del usuario con el dispositivo, ocultándole los detalles técnicos. La actual concepción de los sistemas IT se basa en la idea de alejar al usuario del control directo sobre los procesos computacionales.
El desarrollo tecnológico avanza hacia una abstracción cada vez más profunda — la interfaz de usuario se vuelve extremadamente simple, mientras que los mecanismos internos del ordenador quedan fuera del alcance del entendimiento del usuario promedio.
- Los usuarios de los años 60 y 70 trabajaban con bytes y operaciones lógicas.
- En los años 80, los usuarios pensaban en símbolos y archivos.
- En los años 90, el enfoque se centraba en ventanas, carpetas y eventos.
- Hoy en día, el usuario interactúa con conceptos como documentos, almacenamientos y escritorios.
Para la mayoría de las personas no se requiere un conocimiento profundo sobre los procesos internos del ordenador — basta con saber manejar la interfaz. Pero para los especialistas en criminalística informática esto no es suficiente.
La criminalística exige otro enfoque
Realizar investigaciones relacionadas con delitos informáticos requiere que el experto se adentre en la esencia misma de los procesos digitales. Cuanto más comprenda el especialista sobre los detalles del funcionamiento de los sistemas de información, más rastros digitales podrá identificar de las acciones del usuario.
Al analizar la visita de un usuario a un sitio web, un investigador sin preparación especial puede creer erróneamente que todos los rastros deben buscarse solo en el dispositivo del usuario y en el servidor del sitio. Sin embargo, esto no es así.
Sin conocimientos profundos, no considerará las consultas a servidores DNS, especialmente al resolvedor local, y pasará por alto las solicitudes posteriores de este resolvedor a otros nodos DNS. Estas solicitudes pueden registrarse en logs y aportar información valiosa sobre qué sitios fueron visitados. Además, estos datos no solo complementan otras pruebas — pueden ser pruebas independientes y suficientemente sólidas.
Numerosos rastros — en una sola acción
Incluso una acción tan aparentemente simple como abrir una página web deja numerosos rastros digitales en diversos lugares. En el libro “Forense — Criminalística Informática” se describen más de una decena de estos rastros, que van desde los registros del navegador hasta la actividad de red.
Por qué el especialista es insustituible
El autor enfatiza: en todos los casos de actividades operativas o investigaciones relacionadas con información informática, la participación de un especialista en IT no es solo deseable, es imprescindible.
Solo una persona con conocimientos especializados es capaz de:
- descubrir información oculta;
- recuperar datos aparentemente perdidos;
- detectar engaños disfrazados como funcionamiento normal del sistema.
Además, el especialista puede evaluar críticamente las instrucciones y explicaciones estándar para usuarios, ya que entiende que la mayoría de los usuarios opera el ordenador en un nivel definido por el sistema. Todo lo que va más allá de ese nivel, está fuera de su competencia.
Conclusión
En el mundo actual, los conocimientos superficiales sobre informática no son suficientes para llevar a cabo una investigación seria. El especialista en criminalística informática es el guía en el mundo invisible de los rastros digitales, sin el cual es imposible comprender lo que realmente ocurrió en un sistema de información. Son sus conocimientos y habilidades los que permiten llegar a la verdad en el espacio digital.