¿Qué es una imagen forense y cuáles son sus aplicaciones en procesos judiciales?

¡Compártelo!
Facebook
Twitter
LinkedIn

Uno de los principales campos de acción de los laboratorios de informática forense es la recuperación de datos en discos duros, pendrives, tarjetas SD y otras unidades de almacenamiento. La pérdida de datos, el borrado intencionado y otras amenazas pueden comprometer información valiosa en procedimientos judiciales. Con el objetivo de recuperar pruebas y evidencias digitales, los peritos informáticos disponen de un recurso eficaz, preciso y verificable: la imagen forense.

Pero ¿qué es una imagen forense? Hablamos de una copia bit a bit o sector por sector —es decir, de todas las áreas— de un dispositivo de almacenamiento de datos. Este duplicado se realiza con exactitud, sin alterar en modo alguno la información alojada en la unidad original y conservando, por tanto, la totalidad de los datos y metadatos del dispositivo: nombres, fechas, autores, formatos, etcétera. Para extraer estas imágenes, los peritos forenses disponen de herramientas profesionales como EnCase Imager, FTK Imager, Paladin Toolbox, Magnet Acquire, Tableau Forensic Imager, CRU Ditto DX o Guymager, entre otras.

Para entender esta definición de imagen forense, veamos un ejemplo práctico: si los archivos de una tarjeta de memoria tipo SD han sufrido un borrado, la recuperación y copiado de esta información perdida será indispensable para su utilización eficaz en procedimientos judiciales; si los peritos fracasan en su intento, los datos permanecerían inaccesibles o carecerían de valor probatorio, por más que sean decisivos para la resolución de un caso en particular.

Por consiguiente, crear una imagen forense tiene la finalidad de investigar, obtener y certificar la información contenida en unidades de almacenamiento después de sufrir un borrado o una pérdida parcial o total de los mismos. Las imágenes forenses permiten, asimismo, identificar a los responsables de los datos y detectar posibles manipulaciones y adiciones, tan frecuentes en casos de estafa. Por último, esta herramienta es importante para la preservación de evidencias digitales, clave que la cadena de custodia se cumpla de acuerdo con las pautas establecidas.

Así, es fácil entender la utilidad de una imagen forense en informática en procesos y procedimientos judiciales. Con frecuencia, este recurso es la única forma de garantizar la integridad y veracidad de mensajes, archivos, correos electrónicos, etcétera, provenientes de unidades de almacenamiento implicadas en actividades delictivas. Otras aplicaciones de imágenes forenses de un disco duro incluyen la necesidad de respaldar datos o de preservación información relevante en auditorías empresariales.

La imagen forense puede clasificarse de acuerdo con el formato o extensión del archivo utilizado, condicionado este por el software usado para realizar la copia bit a bit. A continuación se detallan tres de los más populares:

■ La extensión EnCase (.E01) es la utilizada por el programa EnCase de Guidance Software para almacenar sus imágenes forenses, así como archivos como imágenes, documentos, etcétera.

■ El formato DD (.dd) proviene del software de nombre homónimo, que igualmente sirve para la creación de imágenes forenses. A diferencia de EnCase, DD se ejecuta principalmente en sistemas operativos como Unix y Linux.

■ La extensión AccessData Custom Content Image (.AD1) sirve para almacenar copias bit a bit de dispositivos de almacenamiento. Como los anteriores, este formato está ligado al uso de una herramienta en particular, Forensic Toolkit, desarrollada por AccessData para el escaneo de unidades de disco duro.

En definitiva, una imagen forense desempeña un rol decisivo en el contexto judicial, y su demanda en el futuro, lejos de disminuir, promete acrecentarse de forma paralela a las actividades delictivas que involucren dispositivos, medios, etcétera, que sean electrónicos y digitales.