Una imagen vale más que mil palabras. Es un dicho muy antiguo, pero muy cierto; Y totalmente aplicable a la informática forense.

Es muy conveniente documentar fotográficamente –y no sólo con cuadernos de notas-, todas aquellas actuaciones periciales en que actuemos. De hecho, si repasamos el término  proveniente del griego, “fotografía”, éste no puede ser más claro: foto significa luz. Y grafo significa letra, escritura. De estos términos emana, por tanto, el significado de la palabra fotografía: “escribir con la luz”.

El sistema Judicial español admite pruebas testificales, documentales y periciales. Dentro de este orden, la fotografía forense será una prueba documental más, en manos del perito informático. El artículo 336.2 LEC, permite que los dictámenes periciales adjunten aquellos documentos, instrumentos o materiales adecuados que ayuden al perito en la exposición y valoración de su praxis. Por tanto, utilicemos la fotografía como herramienta de ayuda para la mejor comprensión de nuestra argumentación. No olvidemos que, en muchos casos, los Juzgadores no conocen a fondo –ni tienen porqué conocerlas-, todas las nomenclaturas y dispositivos existentes en el mundo de la informática.

No es lo mismo, por ejemplo, presentar un documento escrito,  en el que se explica cómo se ha hecho la clonación de un disco duro para su posterior estudio, que acompañarlo con imágenes gráficas de todo el proceso de duplicación.

No obstante, de igual forma que no todos los documentos son válidos judicialmente, tampoco la fotografía ha de incorporarse a la praxis, sin antes haber cumplido con una serie mínima de requisitos técnico-prácticos, según demande la pericial.

Si utilizamos el ejemplo anterior, en el que procedemos a clonar (o duplicar de forma exacta) dos discos duros, convendrá incluir un reportaje fotográfico en el que se aprecie con toda claridad, tanto la procedencia del disco origen, como la del destino. Por tanto, será preciso fotografiar, primero, el ordenador en el que se encuentra el disco duro, asegurándonos de que aparezca cualquier detalle que identifique de forma fidedigna a esta máquina que lo contiene, como pueden ser las pegatinas con el Part Number, o el Nº de serie, o la etiqueta que identifica el número de serie del sistema operativo y la versión de este; segundo, el compartimento en el que se encuentra este disco duro, una vez abierta la tapa lateral de la CPU (en caso de ser sobremesa, o torre) , o la del habitáculo en el que este se encuentre, dentro del portátil.

Es importante que, una vez accedido al lugar en el que se encuentra el disco duro, se vuelva a hacer una fotografía que acredite suficientemente que “seguimos trabajando sobre la misma máquina”, al tiempo que aparezca algún detalle del disco duro a extraer para su clonado. La prueba más válida en este caso será capturar el Nº de serie del Disco Duro.

Una vez extraído el disco duro de la máquina convendrá hacer una foto de su frontal, en el que se aprecie claramente el Nº de serie, el Part Number, etc.

Ya tenemos un nexo de unión entre la máquina y el Disco de origen:

Nº de serie de la CPU -> Nº de Serie del Disco, aún en la CPU -> Nº de Serie del disco, ya extraído.

Ya en el disco duro virgen, sobre el que se clonará la información, convendrá hacer una foto, antes de desprecintar su  funda, obteniendo el Nº de serie, visible a través del embalaje antiestático semitransparente.

Posteriormente -y una vez extraído-, se hará una fotografía de su frontal, en la que aparecerá –al igual que en el disco de origen-, el número de serie, el modelo, etc.

Deberemos seguir documentando gráficamente cada paso, fotografiando ambos discos una vez conectados a la clonadora, de tal forma que se aprecien en cada foto sus números de serie. En caso de no disponer de una clonadora específica, convendrá que el perito Informático documente qué herramientas va a usar para proceder a la clonación (ordenador al que va a conectar los discos duros, software con que va a hacer la clonación, modo en que va a clonar, etc.)

No es objeto de este artículo especificar cómo se debe hacer la clonación (preservando en todo momento la integridad de los datos, etc..), por lo que no haremos hincapié en este aspecto. Tampoco es objeto de este cuaderno explicar  las técnicas fotográficas que han de emplearse para obtener las mejores fotos posibles. El Perito tendrá que disponer de estos conocimientos previamente.

Si por el contrario hacemos la clonación con cualquier programa diseñado para tal efecto, deberemos hacer las correspondientes fotografías, tanto de los discos duros –origen y destino- conectados, así como de la pantalla en la que aparezcan los datos de éstos, tales como Nº de serie de los discos duros, o sus respectivos Nº de modelo, o Part Number. De esta forma se corrobora a través del programa que, efectivamente, estos son los discos a clonar. Programas de uso habitual muestran todos estos datos de los que hablamos. Hay una gran variedad de programas en el mercado, que permiten clonar estos discos duros sin que ello afecte a la integridad del disco de origen.

Apuntar todos los datos del proceso, a la vez que acompañamos el informe con las fotografías correspondientes, ayudarán al Juzgador –y mucho-, a entender cómo se ha hecho la clonación del dispositivo y, por ende, darán mayor fuerza a la defensa del perito, cuando tenga que explicar de dónde vienen y cómo se obtuvieron los datos en los que se basa para su praxis.

José Aurelio García

Auditor y Perito Informático-Perito en Piratería Industrial e Intelectual-Informático Forense

Vp. Asociación Nacional de Ciberseguridad y Pericia Tecnológica – ANCITE

Informático Forense – El Blog de Auditores y Peritos Informáticos

[email protected]