Forense digital: cómo funciona la investigación de ciberdelitos

La informática forense o forense digital es la disciplina que se ocupa de la identificación, preservación, análisis y presentación de evidencias digitales en investigaciones legales. Cuando ocurre un ciberdelito, un fraude informático o un incidente de seguridad grave, los investigadores forenses son los encargados de reconstruir qué ocurrió, cómo, cuándo y quién lo hizo, trabajando con las huellas digitales que todo proceso informático deja inevitablemente.

Qué es la evidencia digital y por qué es frágil

La evidencia digital tiene características que la diferencian fundamentalmente de la evidencia física y que determinan cómo debe manejarse:

Es volátil. La memoria RAM de un sistema en ejecución contiene información crítica (procesos activos, conexiones de red, claves de cifrado en uso) que desaparece al instante cuando se apaga el equipo. Por eso los investigadores forenses a menudo capturan la memoria del sistema antes de apagarlo.

Es fácilmente alterada. El simple hecho de conectar un disco sospechoso a un ordenador sin las precauciones adecuadas puede modificar las marcas de tiempo de acceso a los archivos, contaminando la evidencia. Por eso se usan bloqueadores de escritura (write blockers) hardware que permiten leer el disco sin escribir nada en él.

Es duplicable con precisión perfecta. A diferencia de una huella dactilar que se deteriora al copiarla, una imagen forense bit a bit de un disco es idéntica al original y verificable criptográficamente mediante su hash MD5 o SHA-256. Las investigaciones se realizan siempre sobre copias forenses, nunca sobre los originales.

Puede estar dispersa en múltiples dispositivos y jurisdicciones. Los ciberdelitos rara vez ocurren en un único dispositivo: el atacante pasa por servidores en distintos países, usa proxies y VPNs, y las evidencias están fragmentadas en sistemas de diferentes jurisdicciones legales, lo que complica enormemente la investigación.

Las fases de una investigación forense digital

1. Identificación. Determinar qué dispositivos y sistemas pueden contener evidencias relevantes: ordenadores, móviles, tablets, servidores, dispositivos de red, unidades USB, copias de seguridad, logs de servicios cloud, registros de proveedores de internet.

2. Preservación. Asegurar la evidencia antes de que pueda ser alterada o destruida. Incluye el aislamiento del sistema (desconexión de la red sin apagarlo si hay evidencias volátiles), la creación de imágenes forenses verificadas criptográficamente y el establecimiento de la cadena de custodia.

3. Análisis. Examinar las copias forenses para reconstruir los hechos: qué archivos se accedieron, crearon o borraron, qué conexiones de red se establecieron, qué procesos se ejecutaron, qué artefactos del sistema operativo revelan la actividad del usuario o del atacante.

4. Documentación. Registrar de forma precisa y reproducible cada paso de la investigación para que los hallazgos puedan ser verificados por otros expertos y presentados ante un tribunal.

5. Presentación. Comunicar los hallazgos de forma comprensible para audiencias no técnicas (jueces, jurados, directivos) sin perder precisión técnica.

Herramientas que usan los investigadores forenses

Autopsy. La interfaz gráfica más usada para análisis forense de disco en entornos de código abierto. Integra múltiples módulos de análisis: recuperación de archivos borrados, análisis de artefactos del sistema operativo (registro de Windows, historial de navegación, listas de archivos recientes), análisis de emails, geolocalización de fotos y mucho más. Completamente gratuito.

The Sleuth Kit (TSK). El conjunto de herramientas de línea de comandos sobre el que se construye Autopsy. Análisis de sistemas de archivos, recuperación de archivos borrados y análisis de particiones.

Volatility Framework. La herramienta de referencia para el análisis de memoria RAM. Permite extraer procesos en ejecución, conexiones de red activas, claves de registro en memoria, contraseñas en caché y artefactos de malware de una imagen de memoria RAM capturada.

FTK (Forensic Toolkit) y EnCase. Las soluciones comerciales más usadas en entornos corporativos y por fuerzas de seguridad. Más costosas pero con soporte técnico, actualizaciones certificadas y aceptación amplia en los tribunales.

Para entender cómo los principios forenses se aplican en el contexto del hacking ético y el pentesting profesional, el artículo sobre hacking ético: cómo aprender desde cero ofrece el contexto metodológico que conecta el mundo ofensivo con la documentación de evidencias.

La cadena de custodia: el puente entre la evidencia técnica y el tribunal

La cadena de custodia es el registro documentado e ininterrumpido de quién tuvo acceso a la evidencia, cuándo y para qué. Es el requisito legal que convierte las evidencias digitales en pruebas admisibles en un tribunal.

Una cadena de custodia correcta incluye: identificación única de cada elemento de evidencia, registro de cada acceso con fecha, hora, identidad del accesante y propósito, almacenamiento seguro que impide el acceso no autorizado y verificación de integridad mediante hashes que confirmen que la evidencia no ha sido modificada.

Si la cadena de custodia tiene una brecha (alguien accedió a la evidencia sin registro, o los hashes no coinciden), la evidencia puede ser impugnada y descartada en el juicio, independientemente de su relevancia técnica.

Artefactos forenses clave en sistemas Windows

Los sistemas Windows dejan un rastro abundante de la actividad del usuario y del sistema que los investigadores forenses saben leer:

Registro de Windows. Una base de datos jerárquica que almacena configuraciones del sistema, software instalado, dispositivos conectados (incluyendo USB que se conectaron en el pasado), cuentas de usuario y mucha información sobre la actividad reciente.

Prefetch y Superfetch. Archivos que Windows crea para acelerar el lanzamiento de aplicaciones. Revelan qué programas se ejecutaron, cuántas veces y cuándo por última vez, incluso si los archivos ejecutables han sido borrados.

LNK files (accesos directos). Windows crea automáticamente archivos LNK para cada archivo abierto recientemente. Contienen la ruta completa del archivo original, marcas de tiempo y metadatos del sistema donde estaba el archivo, lo que puede revelar que documentos de otros dispositivos (unidades USB, unidades de red) fueron accedidos.

Event Logs. El registro de eventos de Windows (eventvwr.msc) registra inicios de sesión, cambios de contraseña, instalación de servicios, errores del sistema y muchos otros eventos con marcas de tiempo precisas.

El forense móvil: el reto del siglo XXI

Los teléfonos móviles son hoy el dispositivo con más evidencias relevantes en la mayoría de las investigaciones. Comunicaciones, ubicaciones, fotos, búsquedas, apps usadas: el móvil es el diario digital más completo de una persona.

El reto del forense móvil es el cifrado: los iPhones modernos y los Android con cifrado activado son prácticamente impermeables sin la contraseña del dispositivo o sin vulnerabilidades del firmware específicas de la versión. Las agencias de seguridad y las herramientas comerciales como Cellebrite UFED trabajan con vulnerabilidades de versiones específicas del sistema operativo para extraer datos, pero su efectividad varía enormemente según el modelo y la versión del dispositivo.

Conclusión

La informática forense es una disciplina fascinante que combina conocimiento técnico profundo con rigor metodológico y comprensión del marco legal. Es también un campo con creciente demanda laboral: la proliferación de los ciberdelitos y la dependencia digital de la sociedad hacen que los profesionales capaces de reconstruir lo que ocurrió en un sistema comprometido sean cada vez más necesarios en empresas, bufetes de abogados, fuerzas de seguridad y organismos reguladores.