Clonado forense de discos duros y dispositivos de almacenamiento

En cualquier proceso judicial, es fundamental, que todas las evidencias digitales almacenadas en cualquier tipo de dispositivo de almacenamiento, se mantengan inalteradas desde el instante en que son intervenidas. Con esto se consigue certificar la originalidad de las mismas, en cualquier instante posterior a su intervención. Si no tenemos en cuenta esto, es muy probable que las evidencias digitales sean invalidadas, por lo que es de obligado cumplimiento para un perito informático mantener y certificar la cadena de custodia de las evidencias digitales contenidas en estos dispositivos. El método habitual que debe seguir un perito informático para la custodia de las evidencias digitales almacenadas en un dispositivo de almacenamiento es el clonado forense.

Un clonado forense de un dispositivo de almacenamiento consiste en copiar todo el contenido de un disco duro, bit a bit, en otro dispositivo de almacenamiento o fichero de imagen, obteniendo la firma hash de los bits leídos durante el proceso. Con ello se obtiene una copia exacta a bajo nivel de todo el contenido del disco duro además de certificar la correspondencia de su contenido con el original mediante la coincidencia de las firmas hash. Una firma hash no es más que una cadena de caracteres alfanumérica obtenida a partir de la información clonada. Cuando se genera la firma hash del dispositivo origen y del dispositivo destino, ambas tienen que coincidir para certificar la cadena de custodia. Si un solo bit cambia en el proceso de clonado implicará que la firma hash del dispositivo origen y la de destino no coincidan, no habiéndose mantenido la cadena de custodia y produciéndose la alteración de la prueba.

El perito informático deberá documentar exhaustivamente el proceso de clonado forense del disco duro, incluyendo la situación y tipología del dispositivo original intervenido, así como las características del dispositivo donde se va a volcar la información clonada. Todo ello deberá incorporarse en el informe de peritaje informático, de forma detallada e inteligible, a fin de asegurar la cadena de custodia de las evidencias digitales aprehendidas, físicas y lógicas, antes de proceder al estudio de las mismas.

La clonación forense de discos duros requiere de un laboratorio de informática forense móvil compuesto por dispositivos electrónicos específicos así como de software concreto para realizar el clonado forense, bit a bit, de los dispositivos a intervenir. Es muy fácil que un perito inexperto y sin equipamiento adecuado contamine las evidencias, invalidándolas de cara a un proceso judicial. Por ejemplo, conectar el disco duro intervenido sin bloquear su escritura producirá ya una alteración en el dispositivo que lo invalida como prueba.

En FORENSICTECH, disponemos de laboratorio móvil para el clonado forense de discos duros, pudiendo realizar intervenciones “in situ”, e incluso en dependencias judiciales ante el letrado de la Administración de Justicia.

Consideraciones

Como se ha visto, si no se realiza correctamente un clonado forense las evidencias digitales pueden ser impugnadas dando al traste con todo el procedimiento. Para realizar esta tarea correctamente es fundamental la intervención de un perito informático colegiado.
 
Asimismo, debemos tener en cuenta que en los últimos años, ha aumentado el número de trabajos y dictámenes periciales informáticos que se desestiman en los litigios y no son tenidos en cuenta a la hora de dictar sentencia. La razón no es otra que un enorme aumento de peritos informáticos que no están legalmente habilitados para actuar ante la Justicia, y que por tanto incurren en delito de intrusismo profesional. Podemos encontrar un ejemplo claro en la Sentencia del Tribunal Superior de Justicia de Madrid 531/2017, Sala de lo Social, Sección 4ª, del 19 de julio del 2017, en la que se expone en el punto primero de los fundamentos de derecho, que:

“El fallo que se recurre, se fundamenta esencialmente en la ineficaz e inválida prueba pericial que se ha aportado como única justificación de los hechos imputados en la carta de despido al actor.- Y ello por varias razones que explica la Magistrada de Instancia en su Resolución. La primera porque entiende que el perito presentado por la empresa carece de titulación oficial en informática, aunque en este punto se reconoce que el citado perito es la persona que presta asistencia informática a la empresa como autónomo, lo que implica al menos un conocimiento práctico por el que está contratado. Por otro lado se argumenta el carácter informal con el que se ha realizado la prueba pericial y el cuestionamiento de la cadena de custodia. También se hace especial mención en el incumplimiento de las garantías del derecho de intimidad del actor a la hora de llevar a cabo la inspección y el registro del equipo informático, declarándose probado que este no estaba presente. En definitiva que la Magistrada de Instancia, valorando esta prueba y las testificales aportadas al juicio oral concluye que los defectos que presenta la práctica de la prueba pericial realizada por la empresa impiden otorgar valor probatorio a este medio de prueba, y dado que resulta esencial para acreditar los hechos imputados al actor, declara improcedente el despido.”

La prueba informática debe estar certificada en un dictamen pericial informático, elaborado por un perito informático colegiado y legalmente habilitado. En nuestra sección de Preguntas frecuentes podrá encontrar más información al respecto.

¿Por qué contratar nuestros servicios?

Desde FORENSICTECH proporcionamos a nuestros clientes la seguridad de contar con:

  • Un perito informático especializado en su caso, colegiado y legalmente habilitado para actuar en los tribunales de justicia españoles.
  • Instrumental adecuado y software especializado para desarrollar su pericial.
  • Métodos de investigación y aseguramiento de la cadena de custodia reconocidos legalmente.
  • Un trabajo eficaz y eficiente en el dictamen solicitado.
  • Un dictamen pericial informático visado, lo que aumenta enormemente su credibilidad y fiabilidad ante los órganos judiciales, al estar respaldado por un colegio profesional.
  • Un perito informático capaz de afrontar la ratificación en juicio oral en todos los órdenes jurisdiccionales.
  • Nuestra actuación en todos los tribunales de justicia de toda España en todos los ámbitos jurisdiccionales.

SUSCRIBIRSE

Recibe las últimas novedades por email

Recuerde que puede darse de baja enviando un correo a info@forensictech.es
Ir al contenido