Computación Forense
 

Nada que ver con los muertos, se trata de examinar equipos de computación en investigaciones judiciales, examinar equipos e intentar la recuperación de datos borrados. A continuación se indican algunas técnicas básicas para analizar información con sus respectivas contramedidas, todo ello referido a los computadores personales en el entorno Windows 9x

Un computador, especialmente si se trata de un PC es un instrumento ideal para investigar a una persona. muchas actividades  quedan registradas en el disco tales como los e-mail enviados y recibidos, los documentos que escribe, los sitios web que ha visitado, la agenda o libreta de direcciones, etc. 

El hecho de que los archivos se graben con fecha y hora también puede dar una indicación (aunque no fideligna) que muestre si en determinado momento la persona se encontraba o no usando  su equipo o si estaba en otro lugar, también se pueden determinar rutinas sobre el tiempo que dedica a trabajar en el equipo y las horas aproximadas en que lo hace. Una revisión de los login en su ISP puede indicar a que horas se conectó a Internet, a quienes envió y de quienes recibió correo, etc.

El computador deja una multitud de "huellas" de todo lo que se la persona va haciendo. Algunas de estas huellas son:

  • Al borrar un archivo, en Windows 9.x como sabemos, no se borra realmente sino que solo se mueve a una carpeta llamada "papelera de reciclaje"

 

  • Cuando "vaciamos la papelera" tampoco se borran realmente  los archivos, simplemente el primer caracter de su nombre en la FAT (file allocation table) se reemplaza por un signo ? y, si aun no se ha sobreescrito, el archivo puede ser "desborrado" con el comando del DOS Undelete o con las utilidades Norton o similares

 

  • Y si el archivo ya fue sobreescrito no todo esta perdido, porque Windows usa un archivo de intercambio temporal (swap) que copia porciones de la memoria en el disco para hacer caché, estos archivos, con nombres y extensiones que no dicen mucho, por lo general guardan gran cantidad de información histórica aún después que esta ha sido "borrada"

 

  • Es decir que con un editor hexadecimal podemos revisar la FAT y los archivos temporales o con nombres más o menos sospechosos y usando la función de búsqueda se puede ubicar bastante información útil

 

  • Inclusive la información sobreescrita varias veces puede ser recuperada con dispositivos especiales capaces de leer las "huellas" que quedan en el disco

 

  • Finalmente el propio software de aplicación deja archivos temporales de respaldo cada cierto tiempo que pueden ser recuperados. dependiendo de como esté configurado el software es posible seguir la pista a cada una de las modificaciones que se le han hecho a un documento, por ejemplo del Office.

Vigilancia desde el escritorio

Otro problema es cuando deseamos vigilar o llevar un registro de lo que se está haciendo en un computador determinado, existen muchos programas para ello desde los utilitarios que van grabando en una archivo de texto cada uno de los accesos de disco y programas ejecutados hasta utilidades que graban las pantallas, una a auna de todo lo que se ha hecho en un computador desde un determinado momento. Existe un programa shareware llamado Desktop Surveillance, que puede descargarse desde http://www.omniquad.com que "en lugar de obstruir las acciones del usuario -uno de los medios mas antiguos de protección que se conocen- se aplica el método de observar y descubrir.

El programa es el equivalente en software de una cámara de vigilancia y trabaja grabando la actividad del escritorio. Puede operar en dos modos: mostrando un signo de advertencia o secretamente monitoreando las actividades.

La aplicación puede guardar dias completos de actividad y puede ser configurada para virtualmente cualquier situación. Por ejemplo la actividad puede ser grabada a partir de ciertas horas solamente, o bien cuando se ejecuten ciertas aplicaciones o programas o cuando se conecta a Internet, etc."

(del archivo Readme.txt del programa)

Contramedidas

 

Esos son algunas de las huellas que dejamos cada vez que ocupamos un computador ¿que contramedidas se pueden tomar si no queremos dejar estos registros de nuestro trabajo?

  • Si al borrar un archivo mantenemos apretada la tecla Shift, éste no se irá a la papelera de reciclaje sino que se borra directamente

 

  • Existe software especial para borrar los archivos .tmp y similares que van quedando en el disco duro, mucho de este es shareware como por ejemplo el Space Manager.o Diskstate, que se puede descargar de  http://geekcorp.com/diskstate/

 

  • También hay software que evita la grabación de respaldos y de archivos temporales para ciertos software determinados

 

  • Existen utilidades como Norton y el propio PGP que sobreescriben varias veces espacios en blanco sobre datos que deseemos borrar, de esta manera se puede evitar que sean leidos con dispositivos especiales de recuperacion de datos. La utilidad PGP Wipe incluida en PGP DIsk 6.x es particularmente buena ya que sobreescribe todos los espacios en blanco y borra las entradas de directorio marcadas para borrado

 

  • Finalmente para saber si estamos siendo vigilados por algún programa de monitoreo bastará que apretemos Ctrl-Alt-Supr cada vez que tengamos sospecha o deseemos asegurarnos que esto no ocurra, en ese punto chequeamos la lista de aplicaciones que están ejecutándose en segundo plano y cerramos todas aquellas que nos parezcan sospechosas