La memoria histórica de tu ordenador

  • Opinión
Aldama

¿Eres de los que siguen creyendo que al formatear tu equipo, estás realmente eliminando todos tus archivos? Piénsalo otra vez, ya que uno de los principales errores que cometemos a la hora de hacer uso del ordenador es, precisamente, que no somos conscientes de cómo funciona. Esto, por obvias razones, puede suponer un gran riesgo tanto para los usuarios, como para las empresas.

Por ejemplo: ¿qué ocurre cuando cambiamos un ordenador o un teléfono? Por lo general, pasamos todos los datos a un nuevo dispositivo y lo formateamos, pero pocas veces nos paramos a pensar qué ocurre con el antiguo. Estos equipos suelen acabar en empresas de venta de segunda mano, pasan a otro compañero de trabajo o simplemente en un contenedor (esperemos que de reciclaje). El caso es que no volvemos a tener control del mismo y, lo más importante, que en el momento en el que le das un dispositivo a otra persona, también le estás dando la mayoría de tus datos y archivos privados.

El riesgo es evidente. Imaginemos una empresa que quiere renovar sus equipos, los formatea y los vende creyendo que su información está segura. Sin embargo, nunca se imaginaría que mediante técnicas forenses, es posible recuperar los datos de ordenadores formateados, ya que en realidad, cuando se “formatea”, lo único que realmente se hace es eliminar visualmente el índice que apunta a los archivos, pero estos siguen almacenados. Por supuesto, existen formas de eliminar los datos de manera indefinida a través de un “borrado seguro”.

Con todo esto, si hay un área en el que saber cómo rastrear los archivos y datos que han sido borrados es fundamental, es en el ámbito de la ciberdelincuencia. No hay que olvidar que el disco duro es el “corpus delicti” que siempre nos va a dejar un rastro que podamos seguir. Muchas veces, el delincuente cree que con el simple borrado del programa con el que ha llevado a cabo el delito es suficiente, sin embargo, para investigar el crimen, hay una infinidad de datos que se pueden obtener de cualquier dispositivo de almacenamiento.

Sin ir más lejos, en la memoria RAM, la riqueza de datos que podemos encontrar es grandísima. Por ejemplo, si tenemos una unidad de disco duro cifrada y el usuario no nos facilita la clave, ésta habrá sido almacenada temporalmente en la memoria RAM, con lo cual, con hacer un volcado de los datos a un fichero y su posterior análisis, podremos sacar total o parcialmente la clave para acceso al disco. Asimismo, ¿qué ocurre si el ordenador se apaga? Como los datos se van eliminando con el paso del tiempo (minutos), lo que se hace es “congelar” mediante nitrógeno la memoria para que esta no se degrade y posteriormente analizarla.

En este punto es posible que te preguntes, ¿cómo se lleva a cabo la investigación en caso de delito informático? El análisis de un ordenador mediante herramientas forenses nos permite hacer una línea temporal de actuación para posteriormente clasificar e indexar todos los datos pudiendo examinar tanto la información existente como la eliminada. Estos son algunos de los pasos a seguir:

Recuperación de todos los elementos eliminados: Mediante técnicas forenses se pueden recuperar incluso datos previos a formateos.

Análisis de la papelera de reciclaje: Aunque parezca mentira, muchos ciberdelincuentes descuidan estos datos y los almacenan en la papelera, por lo que no han sido eliminados, simplemente ocultados.

Comprobación de navegación y de cookies: Permitirá ver la navegación del usuario y las cookies, que nos mostrarán datos sensibles que todavía no habían sido almacenados en disco, tales como usuarios y claves.

Análisis de los accesos de usuario: Existen múltiples archivos que permiten comprobar los accesos, por lo que se puede descubrir el nombre de usuario, clave, código de seguridad y directorio de trabajo. Se obtiene el perfil, unidades de red asignadas, accesos al sistema, usuarios conectados en un determinado momento, fechas, inicios fallidos y un largo etcétera.

Comprobación de registro del sistema: Esencial para tener información de las aplicaciones nativas y de terceros instaladas, así como de las configuraciones de máquina y usuario. Además, nos informará de los dispositivos de almacenamiento que han sido conectados, los equipos ocultos, los últimos archivos usados, etc. En definitiva, nos mostrará todo el histórico de actividad del equipo informático.

Análisis de archivos temporales: Además del análisis de volcado de memoria RAM, existen otros archivos temporales que se van eliminando con el paso del tiempo, pero que su examen resulta vital, como los ficheros de impresión.

Análisis de datos de red: Se comprueban los datos que han sido enviados/recibidos a través de la red y que puedan dar lugar a encontrar operaciones cometidas a través de diferentes puertos, además de examinar si ha existido fuga de datos a través del medio examinado.

Con todo este examen se tiene certeza de los diferentes delitos cometidos por el usuario investigado y se podría determinar si existe necesidad de elaboración de informe pericial y defensa del mismo en los Juzgados.

Así pues, todo lo anterior deja una clara muestra del cuidado que se debe tener con los dispositivos que ya no estamos usando y, sobre todo, tener claro que tal y como dice el principio de Locard, todo contacto deja una huella y siempre va a existir un perito informático capaz de seguirla para sacar toda la verdad a la luz.

Carlos Aldama Perito informático y director de Aldama Informática