El perito informático forense intenta responder a preguntas básicas como: quién, cómo, dónde, cuándo y por qué.
Para que un análisis forense en el mundo digital sea válido, como es lógico y al igual de nuevo que en el mundo real, hay que garantizar que “las pruebas o evidencias no han sido alteradas”. Para ello es preciso el uso de herramientas forenses muy específicas, una de las herramientas más empleadas son los clonadores, dispositivos que permiten copiar los contenidos de soportes de información como discos duros o pendrives sin que se produzca alteración alguna durante dicho proceso de copiado.
El perito informático forense no solo utiliza “protocolos, procedimientos y herramientas” que permitan garantizar la validez de las “evidencias y de los resultados” sino también la posibilidad de repetir todas las pruebas encontradas si se aplican los mismos procedimientos y herramientas “sobre las evidencias”.
Sin embargo, en el peritaje informático concluyen una seria de factores:
- Las evidencias digitales son más frágiles.
- Este tipo de evidencias se pueden copiar las veces que sea necesario y se puede llegar a demostrar que esas copias son idénticas al original.
- En ocasiones es difícil demostrar que se ha copiado determinado archivo. Algo problemático en casos de “robo” de propiedad intelectual debido a que los archivos originales quedan inalterados.
Y como anunciabamos en el título de esta entrada lo más complicado es determinar quién ha sido el autor de un ataque informático.
A esto se une que el atacante no necesita un motivo para poner un sistema en su punto de mira y, si hablamos de la llamada ciberguerra, “en el mundo digital no hay disuasión, basta con tener el ciberarma para usarla sin más”, precisamente por lo difícil que resulta la atribución, es por ello que existen herramientas para engañar a los atacantes y poder extraer información sobre sus procedimientos.
Estas son alguna de las funciones que realiza un perito informático forense, podéis leer la noticia completa aquí.
