Análisis en informática forense. El último paso es el análisis. La revisión detallada de los datos comienza cuando el investigador ha terminado la evaluación inicial y tiene una idea de la información que busca, como hojas de cálculo, correos electrónicos, un autor o un rango de fechas en el que se produjo el documento. Esta información puede utilizarse para crear términos de búsqueda para el resto de los datos.
Análisis en informática forense
La tarea principal del software forense es manejar los metadatos y cualquier archivo no estándar, como los buzones de correo electrónico, los archivos comprimidos, los archivos de copia de seguridad, las bases de datos, los scripts y los archivos creados con un software distinto del paquete de software base de la empresa.
Los archivos comprimidos, los archivos de correo electrónico y los datos del registro deben ser revisados por un software forense completo, que pueda preservar la integridad de los datos y que permita al investigador buscar y revisar el contenido de un archivo o fichero comprimido. El simple hecho de abrir un archivo y revisar su contenido puede destruir la integridad del archivo o desatar un virus que puede destruir otras pruebas.
Ejemplo:
En una evaluación inicial, el investigador puede encontrar que el sujeto tiene una hoja de cálculo en la que la información relevante se refiere a las iniciales en lugar del nombre completo de la empresa. En el caso del correo electrónico, no hay una manera fácil de revisar los archivos sin el riesgo de alterar los metadatos o comprometer la integridad de los datos.
Por ejemplo, un programa de correo electrónico puede tener un determinado correo electrónico listado como «no leído». Una vez que un investigador o auditor abre el correo electrónico para su revisión, esta etiqueta cambiará, al igual que cualquier información que el programa pueda conservar, como la fecha de recepción, la fecha de apertura y la fecha de revisión. Los programas de informática forense resuelven este problema dividiendo los archivos contenedores, como los buzones de correo y los archivos comprimidos, en componentes más pequeños, como los correos electrónicos individuales y los archivos adjuntos asociados, para su revisión y análisis, al tiempo que se preserva la integridad de los datos.
Los metadatos contenidos en el archivo informático pueden ser tan cruciales como las marcas de fecha y hora del archivo capturadas por el sistema operativo. Los metadatos de los libros de Excel y los archivos de Word pueden contener información importante, como quién revisó el documento y qué cambios se hicieron.
Esta información puede ser útil en el juicio y para determinar quién puede ser responsable del fraude. Las revisiones de los metadatos también pueden conducir a nuevas pistas o líneas de investigación a seguir.
Supongamos que un auditor cree que un sospechoso podría haber utilizado un dispositivo mencionado anteriormente, como una unidad de memoria USB. En ese caso, deberían mencionarlo al profesional de la informática forense. El registro y los archivos de registro de un ordenador basado en Windows pueden ser revisados para determinar si otros dispositivos estaban conectados al ordenador.
Reflexiones finales
Los examinadores pueden responder a la solicitud forense una vez que hayan pasado por estos pasos un número suficiente de veces. Ahora están en la fase de informe forense. Es la fase en la que los examinadores documentan sus conclusiones para que el solicitante pueda entenderlas y aplicarlas al caso. Aunque los informes forenses están fuera del alcance de este artículo, no se puede exagerar su importancia. La mejor forma de comunicar las conclusiones de los examinadores al solicitante es a través del informe final.
Los informes forenses son fundamentales porque el proceso forense sólo es tan valioso como la información que los examinadores proporcionan al solicitante. Tras el informe, el solicitante lleva a cabo un análisis del caso, en el que interpreta los resultados en el contexto de todo el caso (posiblemente en colaboración con los examinadores).
