La Autopsia del Bit: Resurrección de Datos Borrados.

Técnicas forenses avanzadas y validación judicial de archivos eliminados para desmantelar la impunidad digital.

Por: Profesor José Ramón Ramírez Sánchez CEO Grupo Educajuris. Analista Migratorio Experimentado.

INTRO: EL ARTE DE DESHACER LO HECHO

Imagínate en mi laboratorio, con las bajas luces y el zumbido constante de los ventiladores refrigerando servidores que procesan terabytes de información. Sobre la mesa, un teléfono celular seccionado en dos, y un disco duro conectado a un "bloqueador de escritura". Me miras y me preguntas: "Profesor, ¿se puede recuperar lo que borré?".

Aquí es donde, como experto, te doy la respuesta que los criminales temen y las víctimas esperan: "Todo depende de cuánto hayas usado ese dispositivo después de presionar 'borrar'". Querido lector, borra un archivo en tu computadora o celular no es comparable a quemar una carta; es más bien como sacar la ficha del catálogo de la biblioteca. El libro sigue en el estante hasta que alguien ponga otro libro en su lugar. Hoy vamos a realizar una autopsia digital. Vamos a revivir los mensajes que debían haber muerto, a restaurar las fotos que fueron eliminadas y a probar, byte por byte, que la memoria tiene voz y voto en la sala del tribunal.

ABSTRACTO

·        Technical essay on the forensic recovery of deleted evidence from electronic devices, detailing unallocated space analysis, carving techniques, and judicial validation under Law 53-07 and ISO 17025 standards.

·        Français: Essai technique sur la récupération médico-légale de preuves supprimées sur des appareils électroniques...

·        Deutsch: Technischer Aufsatz über die forensische Wiederherstellung gelöschter Beweise auf elektronischen Geräten...

·        Português: Ensaio técnico sobre a recuperação forense de evidências excluídas em dispositivos eletrônicos...

·        Italiano: Saggio tecnico sul recupero forense di prove eliminate su dispositivi elettronici...

·        Русский: Техническое эссе о судебно-медицинском восстановлении удаленных доказательств на электронных устройствах...

·        العربية: مقال تقني حول الاسترداد الطب الشرعي للأدلة المحذوفة من الأجهزة الإلكتronية...

·        中文: 关于从电子设备中删除证据的法医恢复的技术文章...

·        日本語: 電子機器から削除された証拠の法医学的回復に関する技術記事...

 

LA ILUSIÓN DEL "ELIMINAR"

1. CÓMO FUNCIONA EL SISTEMA DE ARCHIVOS

Para entender la recuperación, debemos entender cómo el sistema operativo "miente" al usuario. Tanto en Windows (NTFS), Android (ext4) o iOS (APFS), cuando borras un archivo, el sistema no pasa por cada cero y uno para borrarlo. Sería ineficiente.

·        El Puntero Roto: Lo que se destruye es la "entrada" en la tabla de archivos (el Master File Table en Windows o el inode en Linux). Es como si arrancaras la tarjeta del índice de un libro de la biblioteca. El libro (el archivo) sigue en el estante, pero nadie sabe dónde está.

·        El Espacio No Asignado: El área donde vivía ese archivo pasa a llamarse "espacio libre" o unallocated space. El sistema operativo se siente autorizado a escribir nuevos datos encima de él. Mientras eso no ocurra, los datos están ahí, intactos, esperando un forense digital.

 

TÉCNICAS DE RECUPERACIÓN AVANZADA: DE CERO A HÉROE

Como jurista, no soy solo un técnico; soy un buscador de la verdad. Aquí es como opera la magia.

2. Carving: La Arqueología Binaria

Esta es mi técnica favorita para recuperar archivos cuando las tablas de índice están corruptas o han sido formateadas.

·        Firma de Archivo (File Signature): Cada archivo tiene una "cabecera" única. Un JPEG empieza con FF D8 FF, un PDF con %PDF, un DOCX con 50 4B 03 04.

·        El Proceso: El software forense (como EnCase o FTK) escanea el disco crudo, byte por byte. Cuando encuentra una firma conocida, lee hacia adelante para determinar el final del archivo y lo "esculpe" (carve) hacia un nuevo archivo. Es como encontrar fósiles en capas geológicas; no sabemos qué libro eran, pero podemos reconstruir las páginas.

3. RECUPERACIÓN EN DISPOSITIVOS MÓVILES: EL RETO DE SQLITE

En teléfonos, los datos están fragmentados en miles de archivos de base de datos (SQLite), principalmente para mensajes de WhatsApp, Instagram y historial de llamadas.

·        Registros Eliminados: WhatsApp usa una tabla de base de datos llamada wa.db. Cuando se borra un chat, la fila se marca como DELETE (o desaparece en versiones nuevas), pero el contenido sigue en el espacio vacío dentro del archivo .db.

·        Decodificación de Decodmsgstore.db: En Android, los mensajes pueden estar encriptados en una base de datos de conversación, pero las copias de seguridad sin cifrar o los archivos de registros internos (wa.db.journal) a menudo retienen fragmentos de texto plano. Recuperar esto permite leer un "yo te voy a matar" que fue borrado meses atrás.

4. METADATOS: EL FANTASMA EN LA MÁQUINA

Incluso si no podemos recuperar la foto completa (el archivo fue sobrescrito por una canción nueva), a menudo podemos recuperar sus metadatos.

·        $MFT (Master File Table): En Windows, este archivo maestro registra el nombre, tamaño, fecha de creación y modificación de cada archivo.

·        La Evidencia: Si el acusado borró una foto de una víctima, el archivo de la foto puede estar perdido, pero el registro en la $MFT puede probar que existió un archivo con ese nombre y tamaño en esa fecha específica, y más importante, qué programa lo borró.

 

EL MARCO LEGAL: CIENCIA FORENSE ANTE EL JUEZ

Recuperar el dato es solo la mitad de la batalla. La otra mitad es explicarle al juez que ese dato es legítimo.

5. CADENA DE CUSTODIA Y HASH

Bajo la Ley 97-25 y los estándares internacionales de la ISO 17025 (que acredita los laboratorios), el procedimiento es inflexible.

·        Imagen Forense: Jamás se trabaja sobre el disco original. Se realiza una copia bit a bit (forensic image) y se calcula un Hash (ej. MD5 o SHA-256).

·        El Sello de Garantía: Si el perito presenta el archivo recuperado en el juicio, ofrece el Hash. Si el abogado defensor o el juez calculan el Hash en su momento y coincide, se prueba que el archivo es una copia exacta del disco original y no ha sido alterado.

6. ADMISIBILIDAD EN REPÚBLICA DOMINICANA

La Ley 53-07 (Crimen y Delitos de Alta Tecnología) y la reforma del Código Procesal Penal establecen que la evidencia digital debe ser "pertinente, útil y necesaria".

·        El Reto: Un abogado defensor argumentará: "Ese archivo borrado podría ser cualquier cosa". El perito debe contrarrestar: "No, señor. La estructura interna del archivo, la ruta de acceso (path) C:\Users\Sospechoso\Desktop\Foto.jpg y las marcas temporales demuestran que este archivo residía ahí antes de ser borrado intencionalmente para obstruir la investigación".

 

ESCENARIOS DE LA VIDA REAL Y CASOS DE ESTUDIO

Caso "El Formateo Desesperado": Un pedófilo es arrestado con un portátil. La policía llega tarde y él ha formateado el disco.

• La Recuperación: Se utiliza Carving sobre el disco duro físico. Se recuperan fragmentos de imágenes. La imagen está incompleta (grano, líneas cortadas).
• El Valor Jurídico: Aunque la foto es incompleta, los expertos forenses pueden atestiguar que coincide con el patrón de ropa o ubicación del crimen. En RD, esto ha sido aceptado como "indicio fuerte" en casos de la DIJ.

Caso "El WhatsApp Fantasma": Un traficante eliminó todos los chats de entrega de drogas cada día.

• La Recuperación: El forense no miró la base de datos actual, sino los backups automáticos que Android guarda en la carpeta /sdcard/Android/data/com.whatsapp/Databases/backup/.
• El Hallazgo: Se encontró un archivo de backup de 3 meses atrás. El traficante pensaba que estaba limpio, pero su propio teléfono lo había traicionado guardando lo que él borraba en la app principal.

 

MITOS, TABÚES Y PARADIGMAS

·        Mito: "Si paso un imán sobre el disco duro, se borra todo."

·        Realidad: En los discos duros modernos, necesitarías un campo magnético industrial (los de un desmantelador de coches) para dañar los platos. Un imán de nevera no hace absolutamente nada.

·        Mito: "Si tiro el celular al mar, los datos se van con él."

·        Realidad: Si el celular es encontrado, aunque esté corroído por la sal, a menudo los chips de memoria (eMMC/UFS) sobreviven y se pueden desoldar y leer en una estación de trabajo forense avanzada.

·        Tabú: "Si el archivo está encriptado, es irrecuperable."

·        Realidad: Es mucho más difícil, pero si la clave estaba guardada en la memoria RAM (frecuente en laptops que no se apagan por completo o en hibernate), a veces se puede recuperar la llave de la memoria volátil antes de que se apague por completo (Cold Boot Attack), aunque esto es técnica de guerra fría y muy específica.

 

FUENTES Y ENLACES VERIFICADOS

1.      Instituto Nacional de Ciencias Forenses (INACIF) - Área de Informática Forense: http://www.inacif.gob.do

2.      Policía Nacional (DIJ) - Cibercrimen: https://www.policianacional.gob.do

3.      Ministerio Público (PGR) - Departamento de Alta Tecnología: https://www.pgr.gob.do

4.      Ley 53-07 sobre Crímenes y Delitos de Alta Tecnología: https://www.pgr.gob.do/legislacion/ley-53-07

5.      Código Procesal Penal (Ley 76-02) y Reforma 97-25: https://www.pgr.gob.do/legislacion/ley-76-02

6.      Guidance Software (OpenText EnCase): https://www.opentext.com

7.      Cellebrite (Mobile Forensics): https://www.cellebrite.com

8.      Magnet Forensics (Magnet AXIOM): https://www.magnetforensics.com

9.      X-Ways Forensics: https://www.x-ways.net

10.   FBI Regional Computer Forensics Laboratory (RCFL): https://www.rcfl.gov

11.   INTERPOL - Cybercrime Working Group: https://www.interpol.int/Crimes/Cybercrime

12.   International Association of Computer Investigative Specialists (IACIS): https://www.iacis.com

13.   High Tech Crime Investigation Association (HTCIA): https://www.htcia.org

14.   American Academy of Forensic Sciences (AAFS): https://www.aafs.org

15.   Scientific Working Group on Digital Evidence (SWGDE): https://www.swgde.org

16.   ISO 27037: https://www.iso.org

17.   International Society of Forensic Computer Examiners (ISFCE): https://www.isfce.com

18.   Oxford University - Centre for Technology and Global Affairs: https://www.ox.ac.uk

19.   UNODC - Cybercrime: https://www.unodc.org

20.   CONANI - Protección de datos de menores: https://www.conani.gob.do

21.   Gobierno Digital RD: https://www.gob.do

22.   Escuela Nacional del Ministerio Público: https://www.enmp.gob.do

23.   Universidad Nacional Pedro Henríquez Ureña (UNPHU) - Informática Forense: https://unphu.edu.do

24.   PUCMM - Tecnología: https://pucmm.edu.do

25.   Kroll - Cyber Risk: https://www.kroll.com

26.   Control Risks - Digital Forensics: https://www.controlrisks.com

27.   NIST (National Institute of Standards and Technology): https://www.nist.gov/itl

28.   SANS Institute (Computer Forensics): https://www.sans.org

29.   Digital Forensics Magazine: https://www.digitalforensicsmagazine.com

30.   CyberTalks: https://www.cybertalks.com

 

TÉRMINOS CLAVE (GLOSARIO EXPLICATIVO)

1.      Forense Digital: Aplicación de la ciencia al examen y análisis de datos digitales.

2.      Espacio No Asignado: Área del disco donde no residen archivos activos (donde viven los datos borrados).

3.      Carving: Técnica para recuperar archivos basándose en sus firmas (headers).

4.      File System: Sistema utilizado por el SO para almacenar y organizar archivos.

5.      NTFS (New Technology File System): Sistema de archivos de Windows.

6.      FAT32 (File Allocation Table 32): Sistema de archivos heredado.

7.      EXT4: Sistema de archivos usado en Linux y Android.

8.      APFS: Sistema de archivos de Apple (iOS/macOS).

9.      Master File Table (MFT): Tabla maestra de archivos en NTFS.

10.   Inode: Estructura de datos que guarda información sobre un archivo en sistemas tipo Unix.

11.   Metadatos: Datos sobre otros datos (fecha, tamaño, autor).

12.   Hex Editor: Herramienta para ver y editar datos en código hexadecimal.

13.   Write Blocker: Dispositivo que impide la escritura en un disco durante la copia.

14.   Hash: Huella digital única (MD5, SHA-1, SHA-256) para verificar integridad.

15.   Imaging: Copia bit a bit de un dispositivo.

16.   Slack Space: Espacio residual al final de un cluster no usado por el archivo actual.

17.   RAM (Random Access Memory): Memoria volátil.

18.   Swap File: Espacio en el disco duro usado como extensión de la RAM.

19.   Hibernation File: Archivo que guarda el estado de la memoria al apagar el PC.

20.   Paginación: División de la memoria en bloques.

21.   Borrado Lógico: Eliminación del puntero del archivo.

22.   Borrado Físico (Wiping): Sobrescritura de datos con ceros y unos.

23.   Degaussing: Desmagnetización del disco duro.

24.   SQLite: Base de datos ligera usada en Android y muchas apps.

25.   WAL (Write-Ahead Log): Registro de transacciones en SQLite.

26.   Journaling: Mecanismo de los sistemas de archivos para evitar la corrupción.

27.   Headers: Magia o firma al principio de un archivo.

28.   Footers: Marca al final de un archivo.

29.   Cluster: Unidad mínima de asignación de espacio en disco.

30.   Sector: Unidad física mínima de almacenamiento (usualmente 512 bytes).

31.   Platter: Disco magnético dentro del disco duro.

32.   Actuator: Brazo mecánico que mueve la cabeza lectora.

33.   Solid State Drive (SSD): Disco de estado sólido (memoria flash).

34.   TRIM: Comando que le dice al SSD qué bloques pueden ser reutilizados (es enemigo de la recuperación).

35.   Wear Leveling: Técnica de los SSD para distribuir las escrituras.

36.   Chip-Off: Extracción directa del chip de memoria NAND.

37.   Firmware: Software que controla el hardware del disco.

38.   Partition: División lógica de una unidad de almacenamiento.

39.   Rooting: Obtener acceso de superusuario en Android.

40.   Jailbreak: Eliminación de restricciones en iOS.

41.   Encryption: Cifrado de datos.

42.   Decryption: Descifrado de datos.

43.   Key: Clave para encriptar o desencriptar.

44.   Password: Contraseña.

45.   Pattern Lock: Patrón de desbloqueo.

46.   PIN: Código de identificación personal.

47.   Salting: Agregar datos aleatorios a una contraseña antes de hashearla.

48.   Hashing: Proceso de convertir datos en una cadena de longitud fija.

49.   Chain of Custody: Cadena de custodia.

50.   Evidence: Evidencia/Prueba.

 

PREGUNTAS PARA EL DEBATE

1.      ¿Es ético legalmente que un tribunal admita una evidencia parcialmente recuperada (por ejemplo, una foto dañada) como prueba definitiva de un delito sin corroboración física?

2.      ¿Cómo afecta la función TRIM en los SSD modernos a la capacidad de recuperación forense, y las leyes (como la 53-07) deben prescribir el uso de herramientas que inhabiliten TRIM inmediatamente al incautar el dispositivo?

3.      ¿El borrado "seguro" (múltiples pasadas de escritura) realizado por el acusado constituye destrucción de evidencia (obstáculo a la justicia) si el FBI puede usar microscopía de fuerza magnética para leer la última capa?

4.      ¿En la República Dominicana, los peritos del INACIF cuentan con la certificación ISO 17025 para garantizar la admisibilidad internacional de sus análisis de recuperación?

5.      ¿Debe el acusado estar obligado a facilitar su contraseña o patrón de desbloqueo bajo la amenaza de ser condenado por obstrucción a la justicia si la evidencia borrada es crucial para el caso?

 

"El espacio vacío del disco duro es el lugar donde la memoria y la mentira se encuentran." — José Ramón Ramírez Sánchez

"Borrar un archivo no destruye el pasado, solo borra la referencia al futuro." — Joel-Gaston M. Spector

"En la era digital, la memoria es para siempre. La única forma de borrar un dato es destruir el medio que lo contiene, y a menudo ni eso es suficiente." — Edward Snowden

 

notas técnicas y especiales

"El método de Carving es a menudo la última esperanza. Si un borrador de archivos sobrescribió solo el principio del archivo de video, pero el final estaba en otro cluster distinto, a veces podemos recuperar el final del video. Aunque no tenga audio o principio, la imagen del crimen puede ser identificada por testigos."

"Los SSD (Solid State Drives) presentan un desafío único llamado 'Garbage Collection'. Cuando un archivo es borrado en un SSD, el controlador puede limpiar los bloques automáticamente en segundos para mantener el rendimiento. Esto hace que la ventana de recuperación sea de minutos en lugar de meses o años. Es una carrera contra el reloj para el perito."

 

 Contacto:
Tel: 809-505-9986

 Redes y plataformas:

Blog: lamesamigratoria.blogspot.com

·        YouTube: @LaEsquinaMigratoria

·        Instagram: @LaMesaMigratoria

·        X (Twitter): @Educajuris3

·        Truth Social: @lamesamigratoria

·        Mastodon: @lamesamigratoria