La investigación del cibercrimen exige herramientas especializadas, procedimientos rigurosos y respeto absoluto por los derechos fundamentales. Los cuerpos y fuerzas de seguridad del Estado cuentan con distintas vías para perseguir los delitos tecnológicos. Este artículo se centra en tres aspectos clave: qué es la informática forense y sus fases, en qué consiste el hacking legal o real y qué función cumple el agente encubierto informático.
Cualquier actividad electrónica deja un rastro, aunque sea minúsculo. La informática forense intenta aislar dicho rastro y exponerlo a la luz. El propósito es mostrar las herramientas que existen para investigar un cibercrimen y qué medidas y requisitos existen en la legislación española.
¿Qué es la informática forense y cuál es su papel en la investigación del cibercrimen?
La informática forense es una disciplina dentro de la criminología. Se encarga del estudio y análisis de sistemas informáticos, con el objetivo de obtener pruebas y evidencias.
Es la encargada de asegurar, identificar, analizar y presentar las pruebas digitales para que, posteriormente, puedan ser aceptadas en un proceso legal. Estas evidencias digitales o electrónicas son pruebas de carácter inmaterial. Normalmente, son rastros registrados en equipos informáticos que la informática forense trata de descubrirlos dentro de una investigación legal. La volatilidad, el anonimato y la fácil duplicación son las principales características de las evidencias digitales.
➡️ Te puede interesar: 7 películas sobre cibercrimen que no te puedes perder
La informática forense se puede aplicar en el momento anterior al del fin criminal. Es decir, la informática forense se puede emplear para distintas finalidades.
- Prevención: Analizar los distintos equipos para examinar los posibles riesgos potenciales y prevenir incidentes informáticos como parte del sistema de seguridad. Se usan herramientas propias de la informática forense para verificar y auditar el cumplimiento correcto de los objetivos descritos en los estándares de seguridad.
- Corrección: Mantiene una relación con la prevención. La detección de cualquier fallo de seguridad informática pone en marcha una comisión encargada de corregir los fallos y efectuar soluciones de seguridad adecuadas.
- Finalidad probatoria: Después del registro de un incidente, es posible recabar información sobre el robo, daño o destrucción de un sistema, etc. Los datos recogidos, organizados y preservados adecuadamente se pueden usar como prueba legal ante un juzgado para permitir la persecución y condena de la actividad ilícita.
- Auditoria: Las auditorías de seguridad son realizadas por empresas especializadas. Se encargan de verificar periódicamente que los sistemas cumplen con los requisitos de seguridad y reciben un mantenimiento mínimo.
Para asegurar la calidad y que los resultados no se han manipulado, la informática forense debe asegurar lo siguiente:
- Evitar la contaminación de las pruebas obtenidas en el escenario: Verificar que el equipo que se analizará no sufra manipulaciones, modificaciones o copias.
- Actuar meticulosamente: Respetar los pasos, prestar atención a los detalles y tratar de no cometer errores.
- Control sobre las pruebas: Mantener un registro sobre las personas que han tenido en su poder las pruebas y qué se ha hecho con ellas. La finalidad es mantener la finalidad probatoria de cara al proceso judicial.
Fases de un análisis forense de máquinas
La investigación forense cuenta con unas fases y circunstancias que han de respetarse para mantener la legalidad de las evidencias digitales y pruebas obtenidas.
1) Asegurar a la escena: La primera cuestión que se plantea un investigador en la escena del delito es comprobar que ningún dispositivo haya sido manipulado, alterado o dañado para obstaculizar el análisis. Es recomendable fotografiar el entorno del equipo para evidenciar el estado primario de la escena, así como anotar fecha y hora de los equipos implicados.
2) Identificación y recogida de evidencias: El registro de la escena debe ser meticuloso. El rastro de las pruebas en los dispositivos puede variar según el nivel de conocimientos informáticos del investigado. Es crucial conocer qué datos pueden ser los más volátiles para recolectarlos primero, teniendo presente la accesibilidad según el tiempo disponible en el sistema.
➡️ Te puede interesar: Masterclass | Ciberinteligencia Criminal: estrategias y métodos para combatir el cibercrimen
En cuanto a la recolección de evidencias, se debe hacer una copia a bajo nivel que incluya todos los archivos: temporales, ocultos, eliminados, de configuración, entre otros. Los datos originales deben tener copias para contar con un respaldo y permitir el trabajo en el laboratorio.
3) Adquisición y preservación de evidencias: La cadena de custodia es de vital importancia para preservar y asegurar las evidencias.
El fin último es evitar la manipulación desde la salida de la escena del delito hasta la llegada a la sede judicial o a los laboratorios forenses. En esta fase, también se debe prestar especial atención a la naturaleza de los equipos confiscados, proteger el medio de transporte y asegurarse de que el lugar de almacenamiento cuente con unas mínimas condiciones de seguridad.
Análisis: Se trabajará con una copia, no con la evidencia original. Se trata de determinar qué o quién causó el incidente, qué efectos ha generado en el sistema, cómo se llevó a cabo, etc. La investigación debe ofrecer la máxima información posible, además los resultados han de ser siempre verificables y reproducibles.
5) Redacción y presentación de informes: Documentación de los antecedentes del evento, el trabajo realizado, el método empleado, las pruebas obtenidas y las conclusiones e impacto. Para ello, se redactará un informe ejecutivo con un lenguaje claro y sin tecnicismos, con un resumen de las evidencias digitales enfocado a un público con poco tiempo para dedicarle.
El otro informe será más técnico y muy detallado, enfocado a personal con conocimientos sobre la materia. El objetivo del informe será el análisis de las evidencias digitales, examinadas y documentadas para que puedan ser consideradas como pruebas por el tribunal.
Empleo del Hacking legal/real
Una pieza clave en la investigación criminológica es el hacking legal o real, aunque genera discusión por su intromisión en el derecho a la intimidad. Se trata de la introducción de un programa espía que utilizan los cuerpos y fuerzas de seguridad del Estado en el contexto de una investigación por un presunto hecho delictivo.
En otras palabras, se emplean datos de identificación y códigos para instalar un software que permite un acceso remoto y telemático. Así, se puede examinar a distancia y sin conocimiento del titular el contenido de cualquier dispositivo informático o electrónico.
Para realizar este tipo de actividad, se puede recurrir a profesionales del hacking, ya que sus conocimientos pueden ser necesarios o incluso imprescindibles para esclarecer la autoría de un ciberdelito. Si se niegan a prestar ayuda, pueden enfrentarse a consecuencias penales, como el delito de desobediencia.
La instalación del software no solo da acceso al contenido del dispositivo. También informa sobre las páginas web visitadas, las comunicaciones por correo electrónico, mensajería instantánea y el uso de imágenes u otros medios. Es una medida muy invasiva y restrictiva de derechos, por lo que está limitada a supuestos de ciberdelincuencia especialmente graves.
➡️ Te puede interesar: Tipos de cibercrimenes: económicos, sociales y políticos
En este sentido, este tipo de actividad se regula expresamente en el artículo 588 septies de la Ley de Enjuiciamiento Criminal y se necesita autorización judicial con ciertas características máximas de duración para investigar y perseguir solamente los siguientes delitos:
- Delitos cometidos en el seno de organizaciones criminales.
- Delitos de terrorismo.
- Delitos cometidos contra menores o personas con capacidad modificada judicialmente.
- Delitos contra la Constitución, de traición y relativos a la defensa nacional.
- Delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación o servicio de comunicación.
La ley exige respetar el derecho fundamental al secreto de las comunicaciones. Solo se permite interceptarlas si existe una garantía judicial mínima que lo autorice.
También se debe destacar la prevención, ya que, la intervención remota debe realizarse para actuar contra algún delito inminente grave, como los anteriormente mencionados, no como medida de prevención ante posibles delitos debido a la grave intrusión relacionada con el derecho a la intimidad de la persona.
➡️ Te puede interesar: Cibercriminología: qué es y cuáles son sus diferencias con la Criminología y la Ciberseguridad
Esta técnica se ha usado en otros países como Estados Unidos, aplicando algunas limitaciones, utilizando troyanos para grabar direcciones IP, pero sin grabar las comunicaciones concretas realizadas. En Alemania se ha autorizado para investigar y perseguir delitos de terrorismo internacional.
Esta medida de registro remoto de equipos se encuentra recogida en el Convenio sobre Cibercriminalidad de Budapest, pero sin aclarar en el apartado b) del artículo 32 quién es la persona legalmente autorizada. Por lo tanto, queda abierta la posibilidad de un registro remoto en un dispositivo ubicado en otro país si no lo autoriza el juez nacional del primero.
El papel del agente encubierto informático en la investigación del cibercrimen
El agente encubierto informático (AEI) es un miembro de la Policía Judicial que, mediante una autorización previa de un juez competente, podrá infiltrarse utilizando una identidad falsa en internet para investigar delitos. Especialmente delitos cometidos a través de las Tecnologías de la Información y de la Comunicación.
Los funcionarios de la Policía Judicial actúan bajo identidad supuesta en comunicaciones en canales cerrados con el objetivo de esclarecer delitos graves.
➡️ Te puede interesar: Qué es el cibercrimen y cuáles son los ciberdelitos más frecuentes
Algunos delitos se cometen directamente a través de ordenadores o redes sociales: instalación de malware, estafas, espionaje, robo de identidad digital o ciberacoso.
Las condiciones que debe contener la autorización para la actuación de un agente encubierto informático son:
- Autorizar al funcionario habilitado para intercambiar, en el periodo de tiempo habilitado, enviar archivos ilícitos por razón de su contenido.
- Mantener secreta y en pieza separada la resolución habilitante que estará en posesión del letrado de la Administración de Justicia.
- Grabar íntegramente las conversaciones en un soporte adecuado que se remitirá al juzgado para hacer constar las grabaciones e imágenes, además de las transcripciones.
- Si la investigación afecta a los derechos fundamentales, el agente debe solicitar al organismo judicial las autorizaciones que establezca la Constitución.
- Adoptar medidas de control para asegurar que no se produzca ningún comportamiento por parte del agente que pueda constituir una provocación al delito.
- Toda la información obtenida por parte del agente encubierto deberá ponerse a disposición del juzgado en el menor tiempo posible.
Finalmente, la investigación de un cibercrimen puede ser amplia. La investigación forense se emplea por investigadores capacitados y certificados para obtener un análisis completo, creíble y aceptado. Así, se consigue que las pruebas no contengan errores y se facilita la comprensión del juez.
Hay que destacar la necesidad de poseer conocimientos sobre herramientas de análisis forense y delitos informáticos, además de estar apoyado por un especialista en jurisprudencia en las leyes del país donde se desarrolla la investigación y se utilizan los métodos del hacking legal/real y el agente encubierto informático para respetar los derechos fundamentales y mantener la legalidad de las pruebas obtenidas.
➡️ Si quieres adentrarte en la Criminología o Ciberseguridad y adquirir habilidades profesionales, te recomendamos los siguientes programas formativos:
