Enséñame la placa

Su herramienta de trabajo es un PC y practican autopsias a discos duros. Son profesionales de élite, aunque no salen de la oficina. Así es una persecución policial por el ciberespacio.

Un virus informático para robar datos de tarjetas de crédito, delincuentes que entran en servidores sin permiso, para modificar o sustraer información, redes de pederastia que desafían la legislación internacional para lucrarse con la venta de imágenes execrables... Estos son algunos de los delitos tecnológicos más habituales, y para capturar a sus autores, los ciberdelincuentes, ha surgido una nueva raza de investigadores: los ciberpolicías.

FORENSES TECNOLÓGICOS

Llevan batas blancas y mascarillas para hacer autopsias a los discos duros, pero no buscan restos de sangre ni de ADN. Para ellos, lo prioritario son los rastros que dejan los delincuentes cuando utilizan un ordenador como arma del "crimen". La mayoría de los ciberpolicías cree que su trabajo no es distinto del que realizan sus compañeros, los que investigan los delitos tradicionales. Su labor comienza cuando acceden al lugar de los hechos para encontrar las evidencias del delito que presentarán en el juzgado, para que los culpables se sienten en el banquillo de los acusados. En la unidad de Policía Científica de la Ertzaintza explican: "Los delitos informáticos más denunciados tienen como principal motivación conseguir dinero". De hecho, el mayor número de denuncias se refiere a estafas en internet. No en balde, muchas de las empresas de todo el mundo disponen de algún servicio de internet; y si a esto, como reconoce el ciberpolicía, "le sumamos que los criminales cada vez tienen mayores conocimientos y habilidades con la tecnología; obtenemos un constante aumento de delitos informáticos". Tienen una curiosa característica: el delincuente no está "presente" en el lugar del delito, que no es otro que el "cibermundo".

Aunque lo cierto es que su modus operandi no es muy distinto del de los criminales de toda la vida. Bernardo Provenzano, el jefe de la mafia siciliana, fue detenido en el mes de abril en Corleone, una localidad de Sicilia. El capo dei capi utilizaba los pizzini, unos papelitos escritos en clave, para comunicar sus órdenes. A veces, los pizzini llegaban inmediatamente a su destinatario. En otras ocasiones, podían tardar días, e incluso semanas. La Policía científica italiana investiga minuciosamente los pizzini, para lograr pruebas que incriminen a otros mafiosos y conocer mejor el funcionamiento de la poderosa organización de delincuentes.

Algo muy similar sucede cuando los ciberpolicías recuperan los datos contenidos en soportes digitales para examinarlos posteriormente. Pero, ¿qué es lo que encuentra un ciberpolicía?

ALGUIEN ME VIGILA

Este es un ejemplo: un usuario denunció a la Unidad de la Policía Científica de la Ertzaintza que se sentía "espiado". Los investigadores realizaron una "autopsia" del disco del ordenador y comprobaron que era cierto. Nuestro contacto en la Ertzaintza explica: "Descubrimos dos programas espía que habían sido introducidos en el disco duro del denunciante". Además, recuperaron los informes generados por aquellos programas "intrusos" y los correos electrónicos a los que habían sido enviados. Fin de la investigación: el "cibermalo" había sido identificado.
Los pizzini  del capo Provenzano pueden desaparecer con una simple cerilla. La información que contiene un disco duro no se esfuma tan fácilmente, como muy bien supo Dennis L. Rader. Dennis fue un asesino múltiple que tuvo en jaque a la Policía del estado de Kansas (EEUU) durante treinta años. Se hizo conocer con las siglas BTK (Bind, Torture and Hill, es decir; "atar; torturar y matar”) y cometió al menos diez crueles asesinatos. BTK solía enviar a la prensa notas en las que reconocía la autoría de los crímenes, pero en la última ocasión, sólo 10 días antes de que los helicópteros de la Policía rodearan su domicilio, envío su anónima confesión en un disquete a un periódico.

En aquel disquete había mucha información, invisible a los ojos de BTK, pero no a los de un ciberpolicía. Se emplearon programas para recuperar archivos borrados, y ahí estaban las pistas que condujeron hasta Rader. Pero ¿cómo accedió la Policía a esos archivos, si estaban borrados?

El disco duro se puede romper, quemar, o lo más inocuo, resetear(borrar). En casi todos los casos es posible recuperar información. Los sistemas operativos dejan huellas que facilitan la rehabilitación de los discos Juan Martos, responsable del departamento de Informática Forense de Recovery Labs (expertos en recuperación de datos), lo explica así: "Imaginemos que tenemos un libro que contiene un índice y a continuación los capítulos que aparecen relacionados en dicho índice. Imaginémonos que arrancamos una de las hojas del índice, con lo que un lector pensará que el libro tiene menos capítulos de los que en realidad contiene. A no ser, claro está, que pase las hojas del libro una a una y se encuentre con la sorpresa de que hay algunos capítulos que puede leer y que no aparecen en el índice.

Los sistemas de archivos funcionan de manera similar. Cuando borramos un archivo, no estamos haciendo desaparecer la información del disco; al menos no de forma instantánea. El sistema operativo se limita a decimos que un determinado archivo ya no existe, aunque en realidad, el contenido de dicho archivo sigue existiendo dentro del disco, si bien está diseminado".

RECOMPONER EL PUZZLE

Cuando los forenses informáticos llegan al lugar del crimen, lo primero que hacen es requisar los ordenadores y realizar una copia íntegra de los discos duros. De esa forma, los ordenadores se guardan para su custodia y las copias sirven para realizar la investigación. Ahora comienza el trabajo técnico.

Pueden encontrarse con que han intentado destruir físicamente el ordenador. Entonces, hay que buscar la "avería" e intentar repararla. Para ello cuentan con un instrumental de precisión "nanométrica". Veamos un caso. Objetivo: diagnosticar los daños de un disco duro. Para empezar, hay que saber que la cabeza lectora "vuela" por encima de la superficie del plato a una distancia de unos 20 nm (nanómetros) -es decir, 5.000 veces menor que el diámetro de un cabello humano-, sin llegar a tocar a superficie del plato. Esto significa que cualquier partícula insignificante podría dañarlo para siempre; con lo cual, adiós a recuperar cualquier cosa.

El forense tecnológico trabaja dentro de las llamadas "cámaras limpias", áreas absolutamente aisladas en las que por cada metro cúbico de aire no puede haber más de 100 partículas que tengan un diámetro mayor de 0,005 micras. "Dentro de la cámara que tenemos en nuestro laboratorio", explican en Recovery Labs, "hay dos cabinas de flujo laminar. Son verdaderas 'cortinas de viento', que expulsan cualquier mota de polvo, partícula de humo o impureza del aire". Por supuesto, los forenses informáticos llevan guantes, mascarilllas y atuendo esterilizado.

En esas condiciones es posible diagnosticar el mal que aqueja al sistema y repararlo. Pero ahora hay que analizar los discos. Se trata de lograr una foto que sirva para conocer el uso habitual que se le ha dado a esa máquina. Con paciencia, y ayuda de software creado ex profeso, el experto debe elaborar una escala temporal: algo parecido a una agenda, que sirva para reconstruir minuto a minuto los sucesos. El objetivo es reunir la información para saber cuándo se han producido los accesos a determinados archivos, qué comandos ha ejecutado el usuario y qué páginas ha visitado. Después, revisan la actividad de la máquina y de todos los elementos relacionados, tales como impresoras y servidores, entre otros. Una vez que se han obtenido las pruebas o los indicios que había en la máquina, todavía queda documentarlas y mantener la "cadena de custodia" que garantice el origen de las pruebas, lo que resulta imprescindible para que el caso termine en el juzgado.