Al hablar de evidencias digitales, los metadatos son vitales para contextualizar un delito; al descubrirlos podemos demostrar y mantener las características requeridas de integridad, autenticidad, conservación, trazabilidad y permitir su acceso a largo tiempo.
El software especializado EnCase Forensic, EnCase Enterprise, EnCase eDiscovery, EnCase Cybersecurity o EnCase Analytics además de recuperar evidencia, también tiene la capacidad de mostrar los metadatos de los diferentes tipos de archivos almacenados en distintos formatos como son: Microsoft Office, Open Office, PDF, JPG, entre muchos otros. Estos documentos son utilizados comúnmente por las personas y organizaciones que cometen un delito a través de su computadora. Dichas personas jamás se fijan en las propiedades del documento y aunque conocen el concepto, piensan que solo existen datos como la fecha de creación.
El reto para los investigadores forenses y los auditores es analizar minuciosamente los metadatos, con el fin de obtener otro tipo de información que se convierta en la prueba máxima dentro de una investigación.
¿Qué tipo de información se puede extraer de los metadatos? Nombre del archivo, su ubicación (puesto que la ubicación de un archivo es una combinación de la máquina, el disco y la estructura de directorios donde se encuentra el archivo), estos datos dan un indicio del camino hacia donde ir para encontrar otro dato sobre dato y es una primera prueba dentro de una investigación. Los metadatos pueden proporcionar un medio para que los investigadores o los auditores los medios de reconstruir la cronología de los eventos y responder "quién", "qué", "cuándo" dónde "y" cómo ".
Otros datos relevantes son la MAC (hora y fechas de creación, acceso y modificación del archivo), tipo de archivo y de permisos (derechos de acceso) y su tamaño lógico y físico.
Con éstos y muchos datos más el investigador forense o el auditor va un paso adelante en el proceso que le permite atar con otras evidencias; como por ejemplo: el análisis forense de un computador y una cámara, donde se captura un señor cerca de un colegio y junto con él una cámara fotográfica, el cual manifestó que se la había encontrado. Este señor está acusado de estar espiando niñas de los colegios; posterior a esto se realiza un allanamiento en su vivienda y se incauta su computador. Al realizar el análisis forense de los dispositivos se hallan varias fotografías de niñas menores de edad; los investigadores forenses determinaron gracias a los metadatos, que las fotografías encontradas dentro del computador mostraron la fecha de toma de las mismas, el fabricante y el modelo de cámara utilizada. También, encontraron otra información fundamental que sirvió para concluir que las mismas imágenes en el computador fueron tomadas con la misma cámara que se le encontró al sospechoso.
El análisis minucioso de metadatos pudo proporcionar esta información, esto sin mencionar que además se encontró una miscelánea de fotografías de la misma naturaleza por la que se estaba denunciado el sospechoso. Como se observó, los metadatos de las fotografías y de cualquier tipo de archivo pueden ser evidencia que incriminen o, así mismo, eximan a un acusado de haber cometido el delito.
Por lo tanto, es importante analizar los metadatos que contengan las evidencias digitales para poder obtener de ellas pruebas contundentes y suficientes que sustenten una acusación o una defensa ante un juez.
Es de resaltar que sin las herramientas forenses como EnCase versus las herramientas comunes, es difícil tener éxito en las investigaciones digitales alrededor del mundo, ya que son muchos los casos que han sido resueltos gracias al análisis digital de los metadatos, puesto a través de ésta herramienta forense se puede realizar análisis sin mayor esfuerzo y con la facilidad de mostrarla en reportes e informes.
Y para concluir, los datos visibles que encontramos en los dispositivos digitales son: documentos, fotografías digitales, listados, logs y correos electrónicos. Así mismo, a través de EnCase Forensics y la pericia del experto forense se encuentran metadatos tales como: usuarios del sistema y sus claves, actividad en el sistema operativo, líneas de tiempo, actividad en internet, ubicación geográfica de una computadora, correo, impresiones realizadas, medios removibles conectados, fotos digitales y su correlación con cámaras.
El Reto Forense En Discos De Estado Sólido (SSD)
La Evidencia Digital En Latinoamérica
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
No hay comentarios :
Publicar un comentario