En el mundo de las Evidencias Digitales y de la Computación Forense un
texto clásico es "Descubrimiento Forense", de los reconocidos pioneros
de esta área, Dan Farmer y Wietse Venema. En el capítulo 1 "El Espíritu
del Descubrimiento Forense" abordan el problema de la volatilidad de los
datos; problema de importancia capital en el ciclo de recopilación de
datos y procesamiento de la información obtenida.

Allí describen lo difícil de disponer de un tiempo promedio de vida de
los datos del computador, sin perturbación alguna que imposibilite un
futuro análisis forense. Sin embargo, proponen una tabla en donde se
enuncia que un disco interno puede estar en el orden de los minutos y
ciertos medios de almacenamiento externos en el de años. Es decir, lo
ideal es que un investigador llegue antes de una hora, a la "escena del
crimen informático" y obtenga una imagen exacta del disco duro
involucrado. Con memorias USB, puede demorarse mucho más y bien podría
ser posible que procese información cierta.

Farmer y Venema explican además, científicamente, como el principio de
incertidumbre del físico alemán Werner Heisenberg, incide en la
imposibilidad técnica de capturar una imagen completa de toda la
información almacenada en el computador, sin que el mismo proceso de
captura distorsione parte de lo que recopila. Es decir, incluso con la
propia operatividad normal de un computador, las evidencias pueden ser
alteradas irreversiblemente.

Ahora bien, para estos casos se espera que ninguna manipulación deliberada
y ajena, haya acontecido sobre el computador o algunas de sus partes, y
por ello existen principios y protocolos para el manejo de las pruebas
electrónicas. Si los mismos son aplicados rigurosamente, un investigador,
y más tarde un juez, puede tener mayor confianza en que la cadena de
custodia de la evidencia digital fue debidamente preservada.

"Nunca podremos realmente recuperar el pasado. Pero vamos a demostrar que
no es necesario poseer todos los datos para extraer conclusiones
razonables sobre lo que pasó" añaden los expertos autores del libro.

Y aquí se llega a un punto clave del análisis forense, debe ser
razonablemente lógico. Y ello coincide con el espíritu de cualquier
investigación criminalística - policial; no se puede soportar en creencias
de buena fé y menos, resultar incoherente o contradictoria a lo que se
obtenga. De modo que, si una prueba indica que uno o más archivos fueron
extrañamente agregados al sistema, antes de que el investigador ejecutara
su trabajo, no se puede concluir que el sistema no pudiera haber resultado
"contaminado" a popósito sin una exhaustiva, detallada y profunda
investigación. Ello porque ahora habrá que descartar la hipótesis presente
de que se manipuló inebidamente el contenido del computador.

Esto es nuevamente materia muy clara en la disciplina y por ello Farmer y
Venema agregan: "El análisis informático forense tiene fuertes paralelismos
con la prueba de Turing. Usted examina la información de un sistema
informático e intenta sacar conclusiones a partir de esa información. Pero,
¿cómo sabe que puede confiar en esa información? ¿Usted realmente busca en
las huellas de lo que ocurrió en una máquina, o está buscando algo en lo
que un intruso quiere que usted busque? Esa es la prueba de computador de
Turing para el análisis forense.

Con el fin de evitar caer en una trampa que fuese creada por un intruso,
usted tiene que examinar cuidadosamente cada bit de información disponible,
en busca de posibles incoherencias que puedan revelar tentativas de
encubrimiento. Mientras más fuentes de información tenga y más independientes
sean esas fuentes, unas de otras, más convencido podrá estar sobre sus
conclusiones."

Como se puede comprender, en el análisis de evidencias digitales las tareas
resultan complejas y demandan una experticia técnica real. Concluir algo se
hace con elementos reales que, unidos a través de una línea de tiempo de
hechos -que se construye-, se pueden articular en hechos lógicos comprobables.
Farmer y Venema escriben que la adecuada captura de datos para un análisis
forense es "algo análogo a la grabación de una escena de asesinato físico
para prevenir que se destruyan las pruebas, que la misma se hace para preservar
las pruebas, para permitir que otros puedan verificar las conclusiones, y
para reducir al mínimo la manipulación de datos."

Y aquí aparece otro elemento más de un análisis forense hecho por conocedores
competentes y apegados a los mejores códigos de ética profesional, se puede
verificar las pruebas y llegar a las mismas conclusiones. No se trata de
que alguien explique a otros lo que hizo, si no que permita que se validen
científicamente sus resultados. Así se evita que un investigador pueda acusar
falsamente o errar peligrosamente.

De manera que si este tipo de proceder no se aplica fielmente, entonces existen
sobradas razones para poner en duda lo que haya dictaminado el análisis forense.
El problema con el reciente informe de Interpol sobre los supuestos computadores
de Raúl Reyes, radica en que las conclusiones no resultann derivables de las
pruebas instrumentales efectuadas; peor aún, resultan contradictorias a las
mismas. Y no vale la pena describir eso, ya que muchos otros autores, entre
ellos Pascual Serrano, lo han aclarado suficientemente.

El informe parece tener una sección técnica con afirmaciones contundentes,
hechas por personal adiestrado en el tema, y una conclusión del Secretario
General de la Interpol, con fundamentos políticos que no guarda relación con
lo escrito por los expertos. Además resulta preocupante, escuchar la rueda de
prensa de Ronald K. Noble, en donde responde sobre la autoría y propiedad de
las evidencias sin sostén técnico alguno, más bién por un torpe razonamiento
fundamentado en premisas no verificadas que le suministraron las autoridades
colombianas. Silogismos débiles que nada tienen que ver con el análisis
forense moderno y, que lucen hechos para impresionar a incautos que todo lo
creen y divulgan sin pensar. En especial cuando se les habla en inglés.

Un espectáculo mediático aderezado con afirmaciones como que los técnicos
que examinaron el computador no hablaban español -sabrá Dios que comprueba
eso, porque yo sin hablar Mandarín se que existe la China continental
comunista y la capitalista Taiwan-. Se agregaron algunos términos como
"hash" para darle un aura de técnica a la rueda de prensa del secretario.
Noble no explicó pra nada que la función "hash" no se usa para revelar
autoría de documentos sino para comprobar la exactitud de contenido de
copias digitales. Y ello no descarta que los documento hayan sido
"sembrados", solo demuestra que el mismo contenido estaba dentro y afuera
de los computadores.

Algo parecido surgió con la afirmación de que se creo un alfabeto particular
durante las pruebas instrumentales. Algo muy común en el mundo de la
computación pero que la audiencia se tragaría como un prodigio científico
digno del premio nóbel.

También se recurrió a asombrar a la gente con indicaciones de haber
descifrados miles de archivos sin indicar longitud de claves, ni tiempo
computacional en juego. El tema clave de la commplejidad algoritmica
brilló por su ausencia. Solamente se expresó que se conectaron cerca de
una docena de computadores -no se especificó modelo ni software- durante
dos semanas y listo, se hizo la magia. Nadie describió haber rotos anillos
de claves PGP, que en notas de prensa previas se había afirmado servían
para que Raúl Reyes protegiera la confidencialidad de la información que
guardaba. Tampoco se mencionó la existencia de alguna firma digital, que
con el PGP es muy posible de tener, y que si sirven pra verificar la
autoría de algo escrito.

En fin, toda una payasada del innoble abogado; no hay cronología de
eventos, nadie explica cómo se certificó la autenticidad de las fechas
de los archivos y carpetas. Mucho menos se razona el porqué se encendieron,
apagaron los laptops y luego se alteró el Sistema de Operación. Un circo
como para que el matemático británico Alan Turing -uno de los padres de
la computación y del criptoanálisis- se revuelque en la tumba lleno de
indignación y verguenza ajena.

alberto_salazar_2007@yahoo.com