IT Forensics en Argentina/Corrientes

Un caso en Ctes.
Al parecer el análisis forense informático (o peritaje informático) no tuvo un buen momento en Ctes, Argentina en alguna fecha de 2006. Tuve en ese tiempo contacto con un caso donde se habían secuestrado computadoras como evidencia, y el peritaje de las mismas estuvo a cargo de un LSI con bastantes años de experiencia laboral. Según comentó el LSI IT Pro, el "peritaje" consistió en enchufar la máquina, bootearla y "mirar por el disco si no había algún tipo de información relevante para el caso" (usando Explorer).

Un procedimiento técnico de análisis forense informático debe garantizar que el hardware, el software y especialmente los datos, se conserven como fueron obtenidos, inalterados y por ello, admisibles como prueba en juicio.

Obviamente, bootear una PC definitiva e inevitablemente altera los datos contenidos en un disco rígido e invalida legalmente cualquier conclusión obtenida de esos datos.

Como para dar una perspectiva técnica, hablemos del tema particular dentro de IT forensics: los discos rígidos. El análisis de cualquier disco rígido nunca se realiza con el hardware del disco en capacidad de alterar físicamente los datos dentro del HD. Se toma una imagen del contenido del disco, pero antes se monta sobre el HD un dispositivo que impide el ingreso de cualquier orden de escritura (borrado, modificación), y que así garantiza que el contenido del disco permanece inalterado aún mientras se lo esté leyendo para tomar la imagen. Un simple "dd if= of=" es válido para la captura de la imagen.

Forensics en la justicia argentina
Puertas adentro de la Justicia en Argentina se suele considerar muchas actuaciones y sentencias basadas (indirectamente al menos) en evidencia informática, como altamente innovadoras en casi en cada caso.

Es crítico cuando algunos magistrados ignoran las incidencias positivas o negativas de la tecnología informática sobre alguna causa y se pierde valiosa evidencia simplemente por falta de un pertinente análisis por parte de un perito cualificado.

¿Para qué usar análisis forense informático en la justicia? Siguiendo el principio del análisis forense en general: para obtener conclusiones basadas en evidencia científica que respalden una decisión judicial que asigna y/o hace respetar responsabilidades a personas físicas y/o jurídicas.

Algunos casos típicos; un proveedor de software podría solicitar una pericia IT para deslindar responsabilidades por la pérdida de datos (por ejemplo: si la corrupción de un BD fue por causa de la aplicación o por malas prácticas de administración, etc.) . El caso jurídico típico de causas de familia, donde datos en una PC pueden servir de fundamento a importantes imperativos económicos dentro de un fallo en una causa de divorcio. Los casos en que los datos de una PC sirven para "guardar" a turbios personajes involucrados en pornografía infantil y similares.

Justamente estos últimos dos tipos de causas son las que más se benefician cuasi-regularmente de la evidencia informática y donde también se producen más errores de peritaje que conllevan serias consecuencias para brindar el servicio de justicia a los involucrados.

Conclusiones
Muy diferente a lo que se ve en películas/libros donde son protagonistas principales los (en realidad raros/pocos), casos espectaculares de hacking y cracking de altos niveles de seguridad.

Hay relativamente poco material sobre Forensics IT, pero lo bueno es que es bastante mejor que la media de calidad en libros/papers/tutoriales acerca de otros temas IT. Claro que es una especialidad no habitual y en crecimiento desde hace pocos años atrás, y de ahí tenemos muchos especialistas IT Pro a los que se encarga trabajo de IT forensics y no tienen los conocimientos apropiados para hacerlo.