Foresenics, firma especializada en prueba digital, explica cómo se realiza una investigación digital para encontrar pruebas en casos de corrupción.
– Definir el campo de la intervención. Si bien es cierto que los investigadores se van a encontrar con esos miles de documento digitales, sólo hay que revisar una porción. Definir lo que se busca es fundamental. Uno puede estar tentado de descubrir hechos ajenos a lo que en verdad es materia de prueba. La práctica indica, por ejemplo, que solo el 5% de los correos electrónicos que se encuentran almacenados en los ordenadores, celulares o servidores es realmente conducente como evidencia en el proceso.
– Identificación de los usuarios. Habrá que definir quién usaba qué ordenador, quiénes eran los titulares de los celulares (y tablets) corporativos u oficiales, cuáles fueron los servidores donde se encuentra la información, por ejemplo la referente a los encuentros entre investigados. Identificar GPS, fotocopiadoras, cámaras de seguridad, etc.
– Adquisición de dispositivos. Para todos los dispositivos identificados, habrá que realizar una copia forense de la información. Utilizando las herramientas adecuadas es posible copiar la información de un disco rígido completo. Aunque la misma haya sido borrada o el disco formateado, hay mucha información que puede recuperarse. También para celulares, tablets y otros dispositivos electrónicos se copia el contenido de manera forense.
– “Hashing”. Este procedimiento, previo a la revisión, consiste en eliminar de la búsqueda todos los archivos que son parte del Sistema Operativo y de los programas comerciales conocidos, de modo de acotar el universo de documentos sobre los cuales buscar.
– Revisión de los documentos digitales. Si se trata de correos electrónicos, los filtros “de” y “para” permiten indicar qué mensajes proceden de cada uno de los usuarios investigados. En esta etapa también hay que eliminar los documentos duplicados, proceso que toma muy poco tiempo. Los investigadores también podrán buscar la raíz de muchos de los documentos. Entonces, hay que revisar solamente los documentos filtrados. Existen herramientas para analizar todos los archivos e identificar los mensajes de WhatsApp, Skype, navagación Web, etc.
– Palabras clave y etiquetado. Se trata de colectar, mediante determinadas palabras en común, a aquellos documentos que realmente sean pertinentes. Algunos documentos también se revisarán manualmente y se etiquetarán los relevantes para clasificarlos. De modo que queden dos conjuntos: uno es el de los documentos relevantes para la investigación. El otro, es el de los documentos que no son relevantes, porque sencillamente no están relacionados con ella.
– Análisis. Una vez que se separaron y clasificaron todos los documentos relevantes, corresponde realizar el análisis de los mismos y su cotejo con otras fuentes de la investigación.
– Datos legibles. Finalmente, hay que presentar la información de un modo claro y amigable para su lectura, teniendo en cuenta que los que los van a leer –fiscales y jueces- a veces no son especialistas en tecnología.