Realización de investigaciones informáticas y análisis forense informático

Publicado el 6 septiembre, 2020

Salir con tu propio asesinato

El 2 de septiembre de 2015, la ciudad de Fox Lake, Illinois y toda la comunidad policial estaban de luto. El teniente de policía de Fox Lake, Joe Gliniewicz, comunicó por radio que salía de su patrullero para investigar a tres hombres sospechosos. El teniente Gliniewicz no volvería a ser visto con vida. El oficial enviado como respaldo lo encontraría muerto a tiros con su propia arma. Se inició una búsqueda masiva de los tres machos desconocidos.

El caso tomó un giro surrealista cuando el informe de la autopsia enumeró la forma de muerte como un “ suicidio ”. Cuando todos los hechos salieron a la luz, el suicidio de Gliniewicz fue el resultado del descubrimiento inminente del fraude masivo a largo plazo que lo envié a la cárcel. La informática forense tenía las claves para determinar los detalles del fraude.

Vigilancia, sorpresa, rapidez y seguridad

La vigilancia es el primer paso en el proceso de investigación. Los métodos de vigilancia pueden incluir grabación de audio, video, filtros de contenido de Internet y registros de acceso. Al preparar un plan para iniciar la vigilancia, el monitoreo inicial debe ser lo suficientemente amplio como para identificar con precisión todos los dispositivos objetivo. Si no se capturan todos los dispositivos de interés, se puede garantizar virtualmente que se producirá una manipulación.

Una vez que todas las máquinas que se van a analizar están debidamente identificadas, los investigadores no deben desperdiciar el elemento sorpresa. En este contexto, el elemento sorpresa es más que simplemente intentar atrapar a un objetivo antes de que pueda alterar, eliminar o robar los datos. Atrapar a un objetivo con la guardia baja también hace que sea más probable que un sujeto cumpla con la orden de abandonar inmediatamente su puesto.

La velocidad también es fundamental porque no asegurar todos los objetivos simultáneamente deja una oportunidad para que un sujeto lance un ataque destructivo a los datos. Si el número de máquinas a analizar es alto, es imperativo que haya suficiente personal en la estación cuando se produzca la incautación. La velocidad también dicta que los datos en los dispositivos de destino se muestren inmediatamente después de asegurar la unidad. Las imágenes pueden caracterizarse como una copia del disco duro, pero es un tipo de copia especial. En lugar de simplemente copiar archivo por archivo, la creación de imágenes captura el estado de la máquina exactamente como estaba cuando estaba protegida.

La prioridad primordial es manipular el material de tal manera que se refute cualquier reclamo de contaminación o manejo inadecuado. Para preservar la evidencia admisible, el investigador debe mantener meticulosamente un registro detallado de cada acción que tiene lugar. Esto se llama cadena de custodia . Romper la cadena de custodia puede ser perjudicial para un caso porque permite argumentar que la evidencia está contaminada.

En el caso de Gliniewicz, la vigilancia y la sorpresa no jugaron un papel importante, pero la velocidad y la seguridad sí lo hicieron. La velocidad se tuvo en cuenta porque una falla en asegurar rápidamente los dispositivos electrónicos de Gliniewicz les habría dado a sus cómplices una ventana de tiempo bastante grande para alterar la evidencia.


La conservación del contenido del dispositivo requiere una respuesta rápida con una ejecución impecable.
Proceso forense de compensación

Recuperar los datos

El análisis informático forense a menudo comienza recuperando información eliminada. Arrastrar un archivo a la Papelera de reciclaje o la Papelera no destruye el archivo ni lo hace irrecuperable. En muchos casos, la eliminación de información simplemente marca los datos como “de uso gratuito”, pero no se produce una verdadera destrucción de los datos hasta que se escriben físicamente nuevos datos sobre la información anterior. Como resultado, las personas muy interesadas en ocultar sus huellas digitales utilizarán un proceso que formatea un disco duro y posteriormente escribe ceros en todo el disco. Este proceso a menudo se realiza repetidamente en un esfuerzo por garantizar la pérdida total de datos. Un análisis forense de varios aparatos electrónicos pertenecientes a Gliniewicz reveló que el plan había estado en curso durante varios años, que posiblemente había malversado más de $ 100,000,

Un análisis forense de un teléfono celular perteneciente a Gliniewicz descubrió un mensaje de texto previamente eliminado que decía: “Esta situación de aquí le daría los medios para CRUCIFICARme si fuera descubierta”. En las primeras etapas de la investigación, Gliniewicz fue el único enfoque, pero a medida que salieron a la luz mensajes como este, se desarrollaron serias preguntas en torno a los cómplices y la participación de los miembros de la familia. Si la informática forense no hubiera establecido que la esposa de Gliniewicz estuvo involucrada en el fraude, es posible que nunca hubiera sido acusada. Al final resultó que, ella estaba profundamente involucrada y será responsable de su parte.

En muchos casos, los sistemas de respaldo externos permiten a los investigadores examinar los metadatos en un esfuerzo por encontrar anomalías sospechosas. Los metadatos se pueden caracterizar como una hoja de ruta hacia otros datos. En muchas bases de datos, la manipulación se puede identificar al encontrar lugares donde los metadatos y los archivos a los que se refieren ya no son coherentes entre sí. Cuando se descubren anomalías, el análisis forense puede caracterizar qué datos faltan y por qué los datos ya no se describen con precisión.

Resumen de la lección

Debido a que casi todos los esquemas de fraude involucran una computadora de algún tipo, la informática forense a menudo revela detalles de un esquema que de otro modo podría estar oculto. En las primeras etapas de una investigación, un investigador debe determinar qué dispositivos deben analizarse. Cuando se complete esta determinación, el equipo debe prepararse para tomar el control de manera inesperada, rápida y efectiva de los datos y dispositivos de la organización.

Una vez que los dispositivos han sido asegurados, la admisibilidad en la corte requiere que haya una cadena de custodia documentada que explique cada acceso o movimiento del dispositivo y brinde garantías de que no se ha producido manipulación. Con el fin de garantizar que se conserven todos los datos necesarios para el análisis, se realiza una copia completa e idéntica del disco duro. Esta copia a menudo se llama imagen.

El análisis forense también puede incluir una evaluación de metadatos . Los metadatos son información que proporciona una hoja de ruta hacia otros datos. Si se manipulan los archivos, la información contenida en los metadatos ya no coincide con los datos que se supone deben describir.

Cuando el caso Gliniewicz terminó, la recuperación de datos forenses había asegurado suficientes datos para describir cómo ocurrió la malversación, identificar quiénes eran los actores clave y detallar dónde cambió de manos el efectivo. En este caso, los forenses demostraron que la esposa de Gliniewicz estaba involucrada, que el fraude era continuo y costoso, y que Gliniewicz creía que el auditor de la ciudad había descubierto el plan.

5/5 - (2 votes)

Artículos recomendados:

  1. Análisis forense de drogas: propósito y proceso
  2. Diseño y realización de investigaciones científicas basadas en consultas
  3. Forense en vivo en investigaciones de fraude
  4. Realización de investigaciones científicas a largo plazo: lección para niños
  5. Realización de investigaciones científicas: Preocupaciones y regulaciones de seguridad
  6. Realización de investigaciones psicológicas en el mundo real
  7. Realización de investigaciones sobre personas: directrices generales
  8. Realización y publicación de investigaciones sobre justicia penal
  9. Recopilación y análisis de datos para investigaciones físicas
  10. Software informático en análisis estadístico: función y ejemplos